Apple, macOS Tahoe 26.4 a introduit une nouvelle fonctionnalité de sécurité qui détecte les commandes potentiellement dangereuses collées dans le Terminal. Lorsque de telles commandes sont identifiées, le système interrompt l'exécution et affiche un avertissement avant que l'utilisateur puisse continuer. Ce changement n'était pas mentionné dans les notes de version officielles d'Apple pour macOS Tahoe 26.4, et les utilisateurs l'ont remarqué pour la première fois après la mise à disposition de la version candidate.

Cette mesure de sécurité semble viser les attaques ClickFix, où les utilisateurs sont persuadés de coller des commandes malveillantes dans le Terminal, souvent sous prétexte de résoudre un problème ou de vérifier quelque chose. Comme l'utilisateur doit coller les commandes manuellement, les protections de sécurité standard sont souvent contournées.

Fonctionnement de l'avertissement de collage dans macOS Tahoe 26.4

Lorsqu'un utilisateur copie une commande depuis Safari et la colle dans Terminal, le système retarde l'exécution et affiche un avertissement. L'avertissement informe les utilisateurs que la commande n'a pas encore été exécutée et avertit que les escrocs distribuent généralement des instructions malveillantes via des sites Web et d'autres canaux.

Les utilisateurs ont deux options : s'ils ne font pas confiance à la source ou ne sont pas sûrs de la commande, ils peuvent annuler le collage, ou s'ils reconnaissent la commande et souhaitent l'exécuter, ils peuvent continuer l'exécution. Apple recommande aux utilisateurs de continuer tant qu'ils comprennent ce que fait la commande.

Selon des tests d'utilisateurs rapportés sur Reddit, l'avertissement apparaît uniquement une fois par session Terminal. Dans un test, le collage de commandes destructrices connues utilisées dans des activités malveillantes n'a pas déclenché d'avertissements supplémentaires après le rejet du premier avertissement. Un autre utilisateur a noté que le collage de commandes inoffensives n'a pas déclenché l'avertissement, ce qui indique qu'une sorte d'analyse de commande est effectuée, mais Apple n'a pas fourni d'explication claire sur le fonctionnement de la détection.

Portée et limites de la nouvelle protection de collage dans le Terminal

Apple n'a pas publié de document d'assistance expliquant comment fonctionne le système d'avertissement, ce qui crée une incertitude quant aux critères de détection utilisés ou aux modèles de commande qui déclenchent les avertissements. De plus, il n'est pas clair si la coupure s'applique aux commandes collées à partir de sources autres que Safari ou si les sessions Terminal lancées via des automatisations ou des scripts sont contrôlées de la même manière.

Étant donné que la méthode de détection n'a pas été expliquée, les utilisateurs ne doivent pas se fier uniquement à l'avertissement pour se protéger contre les attaques ClickFix. Les commandes provenant de sites Web non fiables, d'e-mails ou de chats d'assistance ne doivent pas être exécutées, même si un avertissement apparaît. BleepingComputer a contacté Apple pour obtenir des éclaircissements, mais pour l'instant, l'entreprise n'a pas répondu publiquement aux questions concernant cette fonctionnalité.