IPB

Bienvenue invité ( Connexion | Inscription )

> Recherche internet et IA: danger, attention aux liens proposés
Options
annapurna
posté 11 Dec 2025, 12:27
Message #1


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 417
Inscrit : 31 Dec 2005
Lieu : La Drôme
Membre no 52 618
Merci The Eclectic Light Company

https://eclecticlight.co/2025/12/11/how-onl...nstall-malware/

traduction:

Comment la recherche en ligne et l'IA peuvent installer des logiciels malveillants

Google est désormais si utile lorsque vous lui demandez de résoudre un problème, comme par exemple comment libérer de l'espace sur votre Mac. Non seulement il peut faire ses propres suggestions, mais il peut également puiser dans celles d'IA comme ChatGPT et Grok. Cet article montre comment cela peut vous apporter des logiciels malveillants, grâce aux récentes recherches de Stuart Ashenbrenner et Jonathan Semon chez Huntress.

Veuillez ne rien essayer de ce que vous voyez dans cet article, à moins que vous ne souhaitiez un logiciel malveillant de type AMOS stealer sur votre Mac.

J'ai commencé par saisir une requête de recherche courante, clear disk space on macOS (libérer de l'espace disque sur macOS), le genre de chose que de nombreux utilisateurs de Mac pourraient demander.

En haut des résultats sponsorisés de Google se trouve une réponse de ChatGPT, donnant son adresse web de confiance. Lorsque j'ai cliqué dessus, cela m'a conduit à ChatGPT, où se trouve un ensemble d'instructions claires et bien décrites, de manière impeccable, exactement comme on peut l'attendre d'une IA.

Ceci m'explique gentiment comment ouvrir le Terminal en utilisant Spotlight, de manière très professionnelle.

Il me fournit ensuite une commande que je peux copier en un seul clic, et coller directement dans le Terminal. Il explique même ce qu'elle fait.

Lorsque j'appuie sur Retour, mon mot de passe m'est demandé, que je saisis.

Bien que j'aie été un peu surpris de voir cette invite, elle semble authentique, alors je l'ai autorisée.

Loin de libérer de l'espace sur mon Mac, le logiciel malveillant, un AMOS stealer, s'est mis au travail, sauvegardant une copie du mot de passe que je lui ai donné, dans le dossier /tmp, et installant sa charge utile nommée update.

Des scripts comme .agent sont installés dans mon dossier Accueil (Home folder), et mon Mac (virtuel) est désormais bel et bien la propriété de son attaquant.

Comme le soulignent Ashenbrenner et Semon, cela marque un changement nouveau et profondément inquiétant, que nous allons voir beaucoup plus souvent. Nous avons appris à faire confiance à de nombreuses étapes qui s'avèrent ici nous mener à des ennuis, et macOS ne peut pas faire grand-chose pour nous protéger. Cet exploit repose presque entièrement sur notre faiblesse humaine à accorder notre confiance à ce qui est intrinsèquement dangereux.

Comment vous protéger

Défiez tout ce que vous voyez dans les moteurs de recherche. Évaluez de manière critique ce qu'ils vous renvoient, en particulier tout ce qui est promu. C'est promu pour une raison, et c'est l'argent. Avant de cliquer sur n'importe quel lien, demandez-vous comment cela essaie de gagner de l'argent grâce à vous. Si cela est associé à l'IA, soyez encore plus soupçonneux, et ne croyez rien de ce qu'elle vous dit ou vous propose. Supposez qu'il s'agit d'une hallucination (plus crûment, d'un mensonge), ou qu'elle a été manipulée pour vous piéger.

Vérifiez la provenance et l'authenticité de l'endroit où ce clic vous mène. Dans ce cas, c'était une conversation ChatGPT qui avait été empoisonnée pour vous tromper. Lorsque vous cherchez des conseils, recherchez une URL qui fait partie d'un site que vous reconnaissez comme étant un spécialiste Mac réputé. Ne suivez jamais un lien raccourci sans le désabréger en utilisant un utilitaire comme Link Unshortener de l'App Store, plutôt que l'un des sites potentiellement malveillants qui prétendent effectuer ce service.

Lorsque vous pensez avoir trouvé une solution, ne la suivez pas aveuglément, soyez critique. N'exécutez jamais de commande dans le Terminal à moins qu'elle ne provienne d'une source réputée qui l'explique entièrement, et que vous vous soyez assuré de comprendre exactement ce qu'elle fait. Dans ce cas, la commande fournie était obscurcie pour cacher sa véritable action, et aurait dû déclencher l'alarme dès que vous l'avez vue. Si vous preniez quelques instants pour lire ce qu'elle contient, vous auriez vu la commande curl, qui est couramment utilisée par les logiciels malveillants pour récupérer leurs charges utiles sans qu'aucun attribut de quarantaine (xattr) ne leur soit attaché. Même si le reste du script avait été masqué par un encodage base-64, cela ressort clairement.

Si vous êtes allé jusqu'à exécuter le script malveillant, il y avait un autre bon indice qu'il ne s'agissait de rien de bon : il vous a demandé un System Password: L'invite correcte devrait être simplement Password:, et immédiatement après devrait se trouver un caractère clé distinctif généré par macOS à cet effet. Ensuite, lorsque vous tapez votre mot de passe, aucun caractère ne devrait apparaître, alors que ce logiciel malveillant les montrait en clair pendant que vous les saisissiez, car il exécutait en réalité un script pour voler votre mot de passe.

Pourquoi macOS ne peut-il pas vous protéger de cela ?

Parce qu'à chaque étape, vous avez été incité à contourner ses protections. Le Terminal n'est pas destiné à être un endroit où les innocents collent des commandes obscurcies les invitant à renoncer à leur mot de passe et à télécharger du code exécutable pour exploiter leur Mac. curl n'est pas censé permettre aux logiciels malveillants d'arriver sans être mis en quarantaine. Et les signatures ad hoc ne sont pas censées permettre l'exécution de ce code malveillant.

Alors que je préparais cet article, la recherche Google a cessé de proposer les liens sponsorisés malveillants, mais je m'attends à ce qu'ils reviennent une autre fois.

L'IA est certainement en train de transformer nos Mac, dans ce cas en nous incitant à divulguer nos secrets les plus précieux. Ce n'est pas un événement isolé, et nous devons nous attendre à voir des attaques de plus en plus sophistiquées à l'avenir. Il est maintenant temps de remplacer la confiance par la suspicion, et d'être déterminé à ne pas en être victime.

Ce message a été modifié par annapurna - 11 Dec 2025, 16:32.


--------------------
Imac 27" I7 4,2Ghz 48Go de Ram Radeon pro 580 Ventura 13.7.8 / Iphone 13 pro iOS 26.0.1 256Go
MacBook Pro 15"Core i7 2,8ghz SSD 1To mid 2014 Ventura 13.7.8 OCLP 2.4.1 pâte thermique changée le 04/08/22
“La photographie est une brève complicité entre la prévoyance et le hasard.” John Stuart Mill
Go to the top of the page
 
+Quote Post

Les messages de ce sujet
- annapurna   Recherche internet et IA: danger   11 Dec 2025, 12:27
- - mazelle jeanne   Merci beaucoup pour ce message, ça fait peur ...   11 Dec 2025, 19:19
- - DOMY   “147 euros par an” : les victimes des arnaques...   11 Dec 2025, 19:31
|- - ch21   Citation (DOMY @ 11 Dec 2025, 19:31) “...   11 Dec 2025, 21:25
|- - baron   Citation (ch21 @ 11 Dec 2025, 21:25) […...   11 Dec 2025, 23:31
||- - ch21   Citation (baron @ 11 Dec 2025, 23:31) Cit...   12 Dec 2025, 08:49
|- - DOMY   Citation (ch21 @ 11 Dec 2025, 21:25) J...   12 Dec 2025, 10:07
|- - ch21   Citation (DOMY @ 12 Dec 2025, 10:07) Je c...   12 Dec 2025, 11:11
|- - jesopog   Citation (DOMY @ 12 Dec 2025, 10:07) Cita...   12 Dec 2025, 11:20
- - ide508   Salut, Le n° de la plaque ID de la voiture suffi ...   12 Dec 2025, 19:30
- - annapurna   finalement on en vient à parler d'autre chose...   12 Dec 2025, 21:49

« Sujets plus anciens · Autres Logiciels · Sujets plus récents »
 

Reply to this topicStart new topic
4 utilisateur(s) sur ce sujet (4 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

Modes d'affichage: Passer au mode : Standard · Passer au mode : Linéaire+ · Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 16th December 2025 - 21:16
Powered By IP.Board 2.3.6 © 2025  IPS, Inc.