ZATAZ découvre des sites web paraissant légitime, un « captcha » surgit, puis un message vous pousse à lancer une commande Terminal. Ce n’est pas une vérification anti-robot : c’est une tentative d’intrusion. Explication.
Le scénario est classique : un faux captcha déclenche une invite Terminal qui réclame l’exécution d’une commande. Même sans mot de passe saisi, le script peut faire des dégâts à l’échelle de l’utilisateur. Cet article explique pourquoi ce mécanisme est dangereux, ce que cherche l’attaquant et comment vérifier. ZATAZ a pu constater plusieurs faux blogs en .fr tentant de piéger les lecteurs.
Le leurre technique derrière le faux captcha
Une balade sur le web, des liens dans des réseaux sociaux et vous voilà sur des blogs, des sites web vous proposant de lire des articles, d’en diffuser aussi. Parmi les exemples constatés par ZATAZ, le blog : .facileacomprendre[.]fr. Un domaine existant depuis plus de 10 ans. Il y a quelques jours, en visitant cet espace, est apparu une étrange fenêtre. Un captcha. Un captcha est un test anti-robot. Son but : vérifier qu’un humain utilise le site, pas un script, pas un robot. Le fonctionnement courant est de cocher « Je ne suis pas un robot » ; choisir des images (ex. vélos, ordinateurs, un chat, Etc.) ; recopier un texte déformé ; déplacer un curseur ou résoudre une mini-énigme. Un vrai captcha reste dans le navigateur. Celui croisé sur plusieurs blogs et sites français exigeait d’ouvrir Terminal et d’exécuter une commande locale.
Le piégé constaté par ZATAZ exploite une confusion : l’écran imite un anti-bot et affiche une instruction copiable. L’utilisateur la colle dans le Terminal. Un Terminal est l’application macOS qui donne accès à la ligne de commande. Il ouvre un outil baptisé « shell » (par défaut zsh) pour exécuter des ordres texte. Cela sert à naviguer dans les dossiers, lancer des scripts, configurer le système, administrer une machine. Pour le pirate, prendre la main sur votre machine. Le script malveillant déclenche un téléchargement et exécute immédiatement le contenu du fichier téléchargé.
Pourquoi c’est dangereux ? Parce que vous donnez à un serveur externe le contrôle direct d’une session shell. Le code téléchargé peut : inventorier le système, lire des fichiers accessibles, modifier des préférences, installer une persistance utilisateur, détourner le navigateur, récupérer des cookies, exfiltrer des jetons d’accès, ou préparer une escalade de privilèges. Pas besoin immédiat de votre mot de passe pour nuire : tout ce qui est accessible à votre compte utilisateur est potentiellement à portée. C’est d’ailleurs pour cela qu’une demande de mot de passe, de votre mot de passe, apparait. Ne surtout pas le fournir si vous avez commencé à répondre à ce faux captcha.
Le fait que le Terminal ait demandé un mot de passe indique que le script a tenté une action administrative. L’absence de saisie a bloqué ces étapes. Toutefois, un attaquant bien outillé prévoit un « plan B » : installer une tâche en espace utilisateur, injecter un élément de lancement dans ~/Library/LaunchAgents, ajouter un élément d’ouverture, déposer un exécutable dans ~/Library/Application Support, ou persister dans le navigateur. Ces actions ne réclament pas forcément l’administrateur.
L’intitulé trompeur « BotGuard: Answer the protector challenge » ajoute un parfum de légitimité. Le nommage n’engage à rien : c’est un simple texte d’habillage autour d’un dropper, de l’outil pirate permettant le téléchargement. La variation du nom de fichier ou du paramètre dans l’URL sert à contourner des listes de blocage et à tracer chaque victime. ZATAZ a pu constater que les blogs (faux ou piégés) renvoyaient vers le même script caché via l’adresse (fermée) : https://ho[.]xrxo2[.]ru/33d.check?t=1mmbqpar
Ce que cherche l’attaquant
Objectif prioritaire : exécution de code. Une fois ce premier pied posé, l’attaquant cherche l’un ou plusieurs des gains suivants.
D’abord, la reconnaissance. Le script peut collecter la version macOS, le modèle, l’architecture, la langue, la liste des applications, l’IP publique, et des empreintes du navigateur. Cette cartographie aide à choisir la suite : simple adware, vol de données, ou exploitation plus avancée.
Ensuite, la persistance. Le choix dépend des droits disponibles et de la version de macOS. Sans mot de passe de votre part, l’écriture ou l’installation d’un agent système sera plus compliquée, mais pas indispensable à court terme.
Puis vient la monétisation. Plusieurs voies existent : publicité forcée via détournement du navigateur, trafic de recherche redirigé, minage de cryptomonnaie quand la machine est au repos, revente de cookies de session et de jetons d’API, accès au compte iCloud s’il reste des traces d’authentification utilisables, ou transformation de la machine en relais de trafic pour d’autres opérations (proxy). Toute donnée à haute valeur, comme des coffres de mots de passe mal protégés, des clés SSH, des projets sensibles, attire l’œil.
Enfin, la discrétion. Le code peut s’auto-supprimer en surface, chiffrer ses communications, changer régulièrement de nom, et recourir à des domaines jetables. Les fichiers déposés portent souvent des noms banals : updater, helper, agent, sync, accrochés à des éditeurs ou services légitimes. L’attaquant compte sur la fatigue de l’utilisateur et la complexité des réglages pour passer sous le radar.
Surveiller, détecter, assainir
Commencez par isoler. Si l’incident est en cours, coupez le Wi-Fi, quittez les navigateurs et applications ouvertes. Reconnectez-vous quand vous êtes prêt à examiner.
Mises à jour d’abord. Ouvrez Réglages système, Mise à jour de logiciels, installez les correctifs macOS et Safari/Chrome. Apple déploie des signatures de détection et des remédiations dynamiques ; être à jour augmente vos chances.
Inspectez les éléments d’ouverture. Dans Réglages système, Général, Ouverture à l’ouverture de session, supprimez tout élément inconnu ou non essentiel. Notez les noms et chemins avant suppression pour archive.
Contrôlez les profils. Dans Réglages système, Profils (s’il existe), supprimez tout profil inattendu. Les profils peuvent modifier des politiques et réinjecter des réglages au démarrage.
Vérifiez le pare-feu. Réglages système, Réseau, Pare-feu : activez-le si inactif. Ouvrez les options avancées et désactivez toute règle permissive ajoutée récemment.
Passez en revue les extensions de navigateur. Dans Safari : Réglages, Extensions. Dans Chrome/Brave/Edge : chrome://extensions. Désactivez puis supprimez ce que vous n’avez pas explicitement installé. Réinitialisez la page d’accueil et le moteur de recherche si modifiés.
Examinez les dossiers sensibles. Dans Finder, utilisez Aller au dossier : ~/Library/LaunchAgents/ et ~/Library/Application Support/. Triez par date de modification. Cherchez des fichiers .plist créés depuis l’incident. Un agent suspect contient une clé ProgramArguments pointant vers un binaire ou un script non signé. Supprimez-les prudemment après avoir noté leur contenu. Dans le doute, faites appel à un professionnel qui agira avec reflexion et efficacité.
Rejoignez ZATAZ sur les réseaux :
Aucun spam – Désinscription en un clic – Vie privée respectée
Les mains dans le code
Utilisez le Terminal pour gagner du temps, commande par commande, sans ligne dangereuse :
Historique shell : tail -n 200 ~/.zsh_history. Recherchez la commande curl|bash exécutée et tout téléchargement associé.
Journal unifié des deux derniers jours :
log show –last 48h –predicate ‘eventMessage CONTAINS « curl » OR process == « bash » OR process == « sh »‘ | less.
Repérez les URL et chemins invoqués par le script.
Agents et démons modifiés récemment :
find ~/Library/LaunchAgents /Library/LaunchAgents /Library/LaunchDaemons -type f -mtime -7 -print.
Ouvrez les .plist suspects : plutil -p
Éléments d’ouverture par AppleScript :
osascript -e ‘tell application « System Events » to get the name of every login item’.
Tâches planifiées : crontab -l et ls -la /etc/cron.*.
Connexions réseau à l’instant T : lsof -i -P | grep -i ESTABLISHED.
Écoute sur des ports locaux : lsof -i -P | grep -i LISTEN.
Clés SSH et accès distant : ls -la ~/.ssh puis cat ~/.ssh/authorized_keys pour détecter une clé ajoutée.
Modifications du fichier hosts : sudo tail -n 50 /etc/hosts. N’acceptez la demande de mot de passe que pour lire, pas pour exécuter un binaire inconnu.
Dossiers temporaires : ls -lt /tmp /var/tmp. Les malwares aiment les noms anodins.
Ce que vous cherchez ? Des fichiers récents, noms trop génériques, exécutables non signés, connexions sortantes vers des domaines suspects (.cc, .ru, cn, Etc.), extensions de navigateur apparues sans action volontaire.
Changez vos mots de passe clés depuis un autre appareil sain : Apple ID, messagerie, banque, réseaux sociaux, administrateur du Mac. Activez l’authentification à deux facteurs si possible. Ensuite, déconnectez les sessions actives de vos comptes pour invalider d’éventuels jetons volés.
Sur le Mac, réinitialisez les navigateurs. Safari : Fichier, Nouvelle fenêtre privée, puis effacez historique et données de site. Chrome : Paramètres, Réinitialiser les paramètres. Effacez les cookies et les sessions.
Faut-il réinstaller ? Oui si vous avez le moindre doute, à condition de le faire proprement. Deux approches existent :
-
Effacer contenu et réglages. Sur Mac Apple Silicon ou Intel récent, Réglages système, Général, Transférer ou réinitialiser, Effacer contenu et réglages. Cela supprime les données utilisateur et réinitialise les réglages sans toucher au système signé. C’est rapide et fiable pour éliminer des persistances côté utilisateur.
-
Réinstallation complète via la récupération. Éteignez. Démarrez en maintenant le bouton d’alimentation (Apple Silicon) jusqu’à Options, ou
Cmd+Rsur Intel. Effacez le volume de données via Utilitaire de disque, puis réinstallez macOS. Cette voie garantit un système propre.
Dans les deux cas, ZATAZ rappelle que la restauration depuis une sauvegarde Time Machine doit être sélective. Évitez de restaurer « Applications » et « Réglages système » en bloc. Privilégiez Migration Assistant pour ne rapatrier que les comptes utilisateurs et leurs documents, puis réinstallez manuellement les logiciels depuis les sources officielles. Cette discipline réduit le risque de réimporter un agent de persistance.
Avant d’effacer, sauvegardez. Time Machine sur un disque externe suffit pour les fichiers. Vérifiez la sauvegarde : ouvrez quelques documents directement depuis le disque pour tester. Recopiez vos codes de double authentification et vos clés de récupération. Après réinstallation, mettez macOS à jour, réactivez FileVault, le pare-feu, puis restaurez les données. Ne reconnectez vos comptes cloud qu’une fois le système patché.
Derniers contrôles après nettoyage : refaites un passage dans Library/LaunchAgents, les éléments d’ouverture, et les extensions de navigateur. Surveillez le Moniteur d’activité pendant une heure. Toute connexion sortante permanente ou un processus au nom douteux mérite enquête. Gardez les journaux et captures d’écran de vos trouvailles au cas où vous auriez besoin d’aide ultérieurement.
