🍏💀 Shamos : quand les Mac découvrent qu’ils ne sont pas faits d’Adamantium

Shamos, le nouveau infostealer qui se propage via de faux correctifs (« ClickFix attacks »), vient le rappeler avec la délicatesse d’un parpaing lancé à travers une vitre d’Apple Store.
Il fut un temps oĂą les utilisateurs de Mac vivaient dans une bulle confortable.
Un monde enchanté où les malwares, c’était « un truc de pauvres sur Windows », et où l’argument de vente d’Apple était :
« Achetez un Mac, vous n’aurez jamais de virus. »

Eh bien, spoiler : c’est fini. Rappelez-vous, on avait évoqué début juillet AMOS

🎭 Le piège : fausses solutions, vrais problèmes

Le modus operandi est d’une simplicité crasse (et donc redoutable) :

  1. L’utilisateur Mac rencontre un bug ou cherche à résoudre un problème.
  2. Google ou un forum vérolé lui propose une « solution miracle ».
  3. Il télécharge un « fix » présenté comme un petit patch ou un utilitaire.
  4. Et hop, il installe Shamos lui-mĂŞme, en toute confiance.

C’est presque poĂ©tique : l’ingĂ©nierie sociale a toujours plus de succès que la technique pure.
Pourquoi se casser la tête à exploiter une faille obscure quand on peut convaincre l’utilisateur qu’il est en train de réparer son Mac ?

🕵️ Shamos, le voleur en col roulé noir

Une fois installé, Shamos fait du classique, mais efficace :

  • Vol de mots de passe (navigateurs, gestionnaires faibles).
  • Collecte de cookies de session (merci pour les accès automatiques aux comptes).
  • RĂ©cupĂ©ration d’infos système (pratique pour la revente).
  • Aspirateur Ă  portefeuilles crypto (parce que oui, le hipster en MacBook Pro a souvent un wallet MetaMask qui traĂ®ne).

Bref, rien de révolutionnaire côté technique. Mais le génie du mal n’est pas là :
il rĂ©side dans le fait de cibler une population persuadĂ©e d’être hors de portĂ©e.

🍏 Le mythe du Mac invulnérable

Les utilisateurs macOS ont toujours aimé se croire différents.
Pendant que les Windowsiens installaient Avast, Kaspersky et Spybot S&D en 2006, les Mac users répondaient :
« Moi je n’ai pas besoin, j’ai un Mac. »

Sauf que depuis quelques années, le Mac n’est plus ce petit écosystème marginal.

  • Les entreprises Ă©quipent leurs devs et crĂ©a en Mac.
  • Les Ă©tudiants achètent des MacBook Air comme d’autres achètent des sneakers.
  • Les managers, eux, adorent leur MacBook Pro « parce que c’est beau ».

Résultat ? La cible est devenue intéressante pour les cybercriminels.
Et là où il y a de l’argent, il y a du malware.

🏢 Mac + Active Directory : le cocktail explosif qu’on cache sous le tapis

En réunion CODIR, ça se passe souvent comme ça :

  • Le Directeur Marketing veut un MacBook Pro « parce que tout le monde dans la com’ a ça, ça fait pro ».
  • Le Directeur Artistique refuse d’utiliser « un truc moche sous Windows ».
  • Et comme personne n’a envie de se fâcher avec ceux qui ramènent du chiffre, la DSI dit « oui »… et se dĂ©brouille ensuite pour que ça marche avec l’infra.

RĂ©sultat ? Des Mac intĂ©grĂ©s (mal) Ă  l’Active Directory, qui deviennent vite le chaĂ®non faible du SI.

🔑 Ce que ça implique dans un AD

Un Mac connecté à l’AD, ce n’est pas juste une jolie machine design, c’est :

  • Des comptes Kerberos stockĂ©s et utilisĂ©s → parfaits pour une Ă©lĂ©vation de privilèges si l’endpoint est compromis.
  • Des GPO absentes → lĂ  oĂą un PC Windows reçoit des dizaines de règles de sĂ©curitĂ©, le Mac reste souvent livrĂ© Ă  lui-mĂŞme.
  • Un Shadow IT institutionnalisé → beaucoup d’apps macOS installĂ©es en direct, sans validation, parce que « bah, sur Mac on fait comme ça ».
  • Des EDR bancals → la majoritĂ© des solutions EDR de l’entreprise protègent correctement Windows, mais la version macOS est souvent une sous-version, avec une couverture limitĂ©e.

Autrement dit : un Mac compromis, c’est un ticket direct vers l’Active Directory, et donc vers la couronne du SI.

🤡 L’illusion de sécurité

Et le plus ironique ?
Les utilisateurs de Mac adorent narguer leurs collègues Windows :
« Haha, moi je n’ai pas besoin d’antivirus, je suis sur Mac. »
Sauf que dans un rĂ©seau d’entreprise, ce n’est pas ton Mac qui compte, mais ce Ă  quoi il donne accès.
Et quand ce Mac compromis se balade avec des tokens, des certificats, et un accès VPN vers le cœur du SI… c’est une bombe posée au milieu du réseau, avec une jolie pomme gravée dessus.

🚨 Pourquoi c’est grave

Un attaquant qui prend le contrôle d’un poste Windows standard va déjà faire mal.
Mais un attaquant qui prend le contrĂ´le d’un Mac intĂ©grĂ© Ă  l’AD, c’est jackpot :

  • Il peut extraire les tickets Kerberos et commencer un pass-the-ticket.
  • Il a souvent accès à des environnements sensibles (design, code source, projets stratĂ©giques) non surveillĂ©s.
  • Il profite du fait que la DSI a souvent moins de visibilité sur ce poste que sur un Windows classique.

Bref : ce n’est pas juste un risque, c’est une stratĂ©gie d’attaque premium.

🛠️ La réalité côté DSI

Les équipes SSI, elles, savent très bien que les Mac sont un casse-tête :

  • Les outils de dĂ©tection sont moins performants.
  • Les logs sont diffĂ©rents et plus pauvres.
  • Le MDM (quand il y en a un) est souvent bridĂ© ou mal exploitĂ©.
  • Les patchs macOS arrivent quand Apple veut, sans granularitĂ©, sans vrai contrĂ´le centralisĂ©.

Et malgré ça, la direction continue d’imposer des Mac au nom du « prestige » ou du « design ».
En gros, la DSI rame dans une barque trouée, pendant que le CODIR demande de jouer du violon façon Titanic.

🏢 En entreprise : Mac ≠ zone grise de la cybersécurité

Petit message aux DSI : si vos politiques de sécurité sont taillées pour Windows et que les Mac « passent entre les gouttes », vous êtes dans le déni.
Un Mac compromis, c’est :

  • Des accès Kerberos dans l’AD (oui, vos Mac s’authentifient aussi).
  • Des tokens d’API stockĂ©s en clair dans des projets de dev.
  • Des VPN et accès SaaS ouverts comme une pinte le vendredi soir.

La bonne nouvelle : les mêmes recettes que pour Windows s’appliquent.

  • MDM obligatoire (Jamf, Intune, peu importe).
  • Restriction d’applications installables.
  • EDR compatible macOS (CrowdStrike, SentinelOne, etc.).
  • Sensibilisation : « Non, cher designer, tu ne tĂ©lĂ©charges pas un fix random sur un forum russe. »

🧨 Conclusion

Un Mac dans un rĂ©seau Active Directory, ce n’est pas un « poste safe et cool », c’est un cheval de Troie corporate, choisi parce qu’il brille en rĂ©union PowerPoint.
Et tant que les CODIR préféreront l’image à la sécurité, les RSSI pourront toujours préparer leurs slides d’incident majeur en ajoutant une petite pomme croquée dans le coin.

🤦 Le problème n’est pas Apple, c’est vous

Soyons clairs : ce n’est pas la faute d’Apple si Shamos s’installe.
Gatekeeper, notarisation, App Store… tout ça existe.
Mais si l’utilisateur clique lui-mĂŞme sur un .pkg venu de nulle part en pensant que c’est « un fix officiel », aucun mĂ©canisme ne pourra le sauver.

C’est un peu comme verrouiller sa porte avec une serrure blindée… puis filer le double des clés à un inconnu qui dit « je suis plombier ».

🧑‍🎓 Leçon du jour

Shamos n’est pas une révolution technique, mais un rappel pédagogique :

  • macOS n’est pas invincible.
  • L’ingĂ©nierie sociale bat la technique, encore et toujours.
  • L’ego des utilisateurs (« moi je suis au-dessus de ces problèmes ») est la plus belle porte dĂ©robĂ©e du monde.

Alors oui, continuez à siroter votre latte dans un coworking branché avec votre MacBook en alu brossé.
Mais sachez que quelque part, un infostealer vous regarde déjà avec un grand sourire carnassier.

🎯 TL;DR sarcastique

Les Mac sont désormais des cibles de choix, Shamos le prouve.
Si vous pensez être protégés parce que votre clavier est rétroéclairé et votre machine coûte 2500€, dites bonjour à votre mot de passe Netflix déjà revendu pour 50 centimes.

🍏💀 Shamos : quand les Mac découvrent qu’ils ne sont pas faits d’Adamantium
Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut