Dans le monde Mac, les logiciels malveillants sont relativement rares, mais pas absents. Nous vous parlons d'AMOS (Atomic macOS Stealer) depuis 2023 et le logiciel utilisé par des malandrins pour vous voler vos données évolue de façon régulière. La dernière méthode en date passe par ChatGPT et Grok, en profitant d'un problème récurrent sur les Mac : la capacité du SSD.
Les chercheurs de chez Huntress détaillent les nouveautés, découvertes en décembre 2025. Premièrement, ils utilisent une question courante pour un utilisateur lambda d'un Mac : comment nettoyer le disque et gagner quelques gigaoctets d'espace libre. C'est une question courante sur un moteur de recherche, étant donné qu'Apple livre encore une bonne partie de ses appareils avec un SSD de seulement 256 Go par défaut. Ils expliquent que la méthode a été découverte en tapant « Clear disk space on macOS » dans Google.
Le piège vient des réponses : des liens vers des conversations pour deux chatbots, ChatGPT et Grok. Il ne s'agit pas de sites malicieux, mais de simples résultats sponsorisés, qui renvoient vers des pages qui semblent parfaitement légitimes. Mais le contenu des messages, lui, ne l'est pas. Sous couvert de conversations qui semblent expliquer comment gagner un peu d'espace sur le SSD du Mac, les différentes informations dispersées sont les différentes étapes qui permettent d'installer le malware sur un Mac.
La façon dont les différentes étapes sont créées n'est pas totalement claire, mais elles résultent *a priori* d'une demande spécifique qui n'est pas rendue publique, et qui va lister les points que l'IA doit donner dans ses réponses. C'est une utilisation détournée des différents outils. Une fois la « bonne » réponse proposée par ChatGPT ou Grok, il est possible de sauver le résultat pour le rendre public.
C'est toute la « beauté » de la chose : un néophyte qui a confiance dans les réponses d'un chatbot comme ChatGPT ou Grok n'a aucune raison de penser que les différentes étapes (compliquées) proposées sont malicieuses et permettent d'installer un malware. L'utilisateur va littéralement permettre l'installation d'AMOS, presque consciemment. Les protections intégrées dans les navigateurs ou avec certains résolveurs DNS ne peuvent pas réellement bloquer ce genre d'attaques (elles sont simples à reproduire et bloquer ChatGPT ou Grok est inenvisageable) et la confiance dans les chatbots actuellement est trop grande pour que les personnes qui tombent sur ce genre de réponses se méfient réellement.
En l'état, la seule recommandation à faire est de vous méfier, et (surtout) de ne pas taper votre mot de passe de façon automatique. Une ligne de commande à copier dans le terminal n'est jamais totalement anodine et celles trouvées sur ChatGPT, Grok, GitHub ou n'importe quel site Internet (oui, même MacGeneration) doivent être considérées dans tous les cas avec méfiance.
