Virus Mac OS X : supprimer et prévenir le malware Mac Protector

Liens rapides

• Visite avec captures d’écran d’une infection Mac Protector
• Suppression de Mac Protector / Defender
• Comment prévenir l’infection

Introduction

Les Mac ne sont pas immunisés contre les malwares. Ce guide décrit comment fonctionne le faux antivirus connu sous des noms comme Apple Security Center, Apple Web Security, Mac Defender, Mac Protector, comment le supprimer et comment limiter le risque de réinfection. Ce guide est basé sur l’analyse d’une infection observée sur des postes de travail réels.

Important : n’entrez jamais vos informations bancaires dans les fenêtres du faux logiciel. Ne payez pas la « licence » demandée.

Visite guidée (captures d’écran) d’une infection Mac Protector

L’infection commence généralement par une redirection depuis un site web qui affiche un faux dialogue semblable à une alerte macOS.

La page frauduleuse présente un message qui ressemble à une vraie fenêtre d’alerte macOS.

Si l’utilisateur clique sur le bouton pour « supprimer » ou « nettoyer », un paquet d’installation est téléchargé automatiquement.

Après le téléchargement, l’installateur macOS démarre automatiquement sur certaines configurations. À l’époque de l’exemple, l’utilisateur devait encore lancer manuellement l’installation.

L’installateur suit le flux macOS habituel et demande un nom d’utilisateur et mot de passe administrateur pour autoriser l’installation.

Une fois installé, le logiciel affiche souvent une icône en forme de bouclier dans la barre de menus.

Le faux programme prétend ensuite « charger des définitions » et lance des scans factices.

Il bombarde l’utilisateur de fausses notifications et popups indiquant des infections.

Si l’utilisateur clique sur « cleanup » ou l’un des avis, on lui demande d’acheter une licence.

Si l’utilisateur ferme la fenêtre principale, le programme exige un numéro de série pour continuer.

Suppression de Mac Protector / Defender

Suivez ces étapes dans l’ordre. Définition rapide : un « élément de démarrage » est une application configurée pour s’exécuter automatiquement lors de la session.

1. Fermer les fenêtres actives

   • Fermez toutes les fenêtres du faux logiciel (raccourci command+Q ou bouton rouge).

   

2. Fermer le processus en cours

   • Ouvrez Finder > Applications > Utilitaires > Moniteur d’activité.
   • Cherchez un processus nommé MacProtector, MacDefender ou similaire.
   • Sélectionnez-le et cliquez sur Quitter le processus → Forcer à quitter si nécessaire.

   

   

3. Retirer l’élément de démarrage

   • Ouvrez le menu Pomme > Préférences Système.

   

   • Sélectionnez Utilisateurs et groupes.
   • Déverrouillez le cadenas si nécessaire en entrant un compte administrateur.

   

   • Sélectionnez votre utilisateur > onglet Ouverture (Login Items).
   • Sélectionnez MacProtector (ou entrée douteuse) et cliquez sur le bouton « - » pour la supprimer.

   

4. Supprimer l’application

   • Allez dans le dossier Applications, trouvez MacProtector / MacDefender.
   • Faites glisser l’application vers la Corbeille ou faites un clic droit > Déplacer vers la corbeille.
   • Videz la Corbeille si vous êtes certain de la suppression.

   

5. Vérifier les restes et dossiers système

   • Recherchez dans ~/Library et /Library les dossiers contenant macprotector, macdefender, apple web security.
   • Supprimez tout élément manifestement lié au nom du faux logiciel.
   • Faites attention : ne supprimez pas les fichiers système essentiels sans certitude.

6. Scanner avec un antivirus réputé

   • Analysez les téléchargements et le système avec un antivirus à jour (Symantec, Malwarebytes pour Mac, etc.).

   

7. Changez les mots de passe sensibles

   • Si vous avez entré des identifiants ou des informations de carte bancaire, changez les mots de passe et contactez votre banque.

Important : si vous avez déjà payé, contactez votre banque immédiatement et signalez la transaction comme frauduleuse.

Comment prévenir l’infection

• Ne téléchargez pas d’installateurs provenant de sites non fiables.

• Désactivez l’ouverture automatique des fichiers « sûrs » après téléchargement dans Safari.

  

• Utilisez un bloqueur de popups et évitez d’autoriser les redirections de sites inconnus.

• Scannez les fichiers téléchargés avec un antivirus avant d’exécuter un package.

• Tenez votre macOS et vos logiciels de sécurité à jour.

Google a déjà signalé certains installeurs comme dangereux, mais la prévention principale reste la prudence lors de la navigation.

Procédure (SOP) rapide pour nettoyage

Objectif : remettre un poste utilisateur dans un état sûr en 20–45 minutes.

Étapes critiques :

1. Isoler la machine du réseau (déconnecter Ethernet/Wi‑Fi).
2. Quitter et fermer le faux programme.
3. Forcer l’arrêt du(s) processus(s) via Moniteur d’activité.
4. Retirer élément(s) d’ouverture et supprimer l’application.
5. Recherche et suppression des fichiers résiduels dans ~/Library et /Library.
6. Redémarrer en mode normal, analyser avec antivirus à jour.
7. Changer mots de passe sensibles et communiquer au service IT si nécessaire.

Critères d’acceptation

• Le processus malveillant ne tourne plus au redémarrage.
• Aucun élément de démarrage lié n’apparaît.
• L’analyse antivirus ne détecte plus la menace.
• L’utilisateur confirme qu’il n’a pas entré d’informations financières (ou banque notifiée).

Checklists par rôle

Checklist — utilisateur non‑technique

• Ne payez pas et ne donnez jamais vos informations bancaires.
• Fermez la fenêtre du programme (command+Q).
• Contactez le support IT si vous n’êtes pas sûr.

Checklist — administrateur IT

• Isoler la machine du réseau.
• Collecter logs et copies des fichiers suspects pour analyse.
• Suivre la SOP ci‑dessus et exécuter un scan complet.
• Effectuer une recherche dans /Library et ~/Library pour entrées persistantes.
• Vérifier les mises à jour et corriger la vulnérabilité de navigation (bloqueurs, redirections).

Arbre de décision pour réaction rapide

flowchart TD
  A[Démarrage: Alerte d'infection] --> B{Avez‑vous téléchargé un fichier récemment?}
  B -- Oui --> C[Déconnecter du réseau]
  B -- Non --> D[Vérifier l'origine de l'alerte]
  C --> E[Fermer le programme et arrêter le processus]
  E --> F[Supprimer élément de démarrage et application]
  F --> G[Scanner l'ordinateur]
  G --> H{Menace détectée encore?}
  H -- Oui --> I[Isoler, collecter artefacts, restaurer depuis sauvegarde si nécessaire]
  H -- Non --> J[Changer mots de passe et surveiller]
  D --> J

Glossaire (une ligne)

• Faux antivirus : programme malveillant qui simule la détection de menaces pour extorquer un paiement.

Contre‑exemples et limites

• Si le malware a installé un rootkit ou a compromis des comptes administrateur, la suppression manuelle peut échouer. Dans ce cas, restaurer depuis une sauvegarde fiable ou réinstaller macOS est la méthode la plus sûre.
• Les anciennes versions de macOS peuvent autoriser des comportements automatiques différents ; adaptez la procédure selon la version.

Conseils de sécurité et vie privée (notes GDPR / confidentialité)

• Ne conservez pas de logs contenant des numéros de carte en clair. Si des données personnelles ont été exposées, suivez la procédure interne de notification de violation de données.

Résumé

• Mac Protector est un faux antivirus qui infecte via des redirections web et un installateur malveillant.
• Ne payez jamais, ne saisissez jamais d’informations financières dans ces fenêtres.
• Fermez le programme, tuez le processus, retirez l’élément de démarrage, supprimez l’application et scannez avec un antivirus à jour.
• Prévenez la réapparition en désactivant l’ouverture automatique des fichiers, en maintenant le système à jour et en évitant les téléchargements douteux.

Avez‑vous rencontré ce malware récemment? Partagez votre expérience dans les commentaires pour aider la communauté.