Avec macOS 26.4, Apple a ajouté un petit message dans un cas précis : si une personne veut coller dans le terminal de macOS une commande qui provient de Safari (notamment), le système peut indiquer que c'est potentiellement une mauvaise idée. Mais une question se posait dans notre présentation de la fonction : nous n'avions pas réussi à reproduire l'alerte. Et pour une (plusieurs, en fait) bonne raison.
macOS 26.4 ajoute un avertissement au moment de copier une commande inconnue dans le Terminal
Adam Codega a cherché ce qui déclenchait l'alerte et ce n'est pas le contenu de la commande, comme nous pourrions l'imaginer, mais bien plusieurs points précis qui ciblent les néophytes. Il explique ce qu'il a découvert sur GitHub.
Premièrement, l'origine de ce qui est collé depuis le presse-papier doit venir d'une liste d'apps précise. C'est Apple qui gère la liste, et elle contient 74 apps. On trouve des navigateurs (Safari, Chrome, etc.), des clients pour les emails (Mail par exemple) et des apps de messagerie, comme Message, Telegram, etc. Le contenu n'est pas vérifié, donc il ne s'agit même pas nécessairement d'une commande pour le terminal, en réalité. Une explication qui contredit une autre explication, mais que nous avons pu vérifier : le message de notre capture est apparu avec un simple morceau de texte.
macOS 26.4 : comment Apple bloque les commandes malveillantes collées dans le Terminal
Deuxièmement, il y a cinq conditions qui expliquent que nous n'avions pas réussi à reproduire l'alerte. La première est donc la source. La seconde est particulière : le Mac doit avoir été installé depuis plus de 24 heures. Une installation récente dans une machine virtuelle, par exemple, n'affichera pas l'alerte. Troisièmement, le terminal ne doit pas avoir été ouvert pendant les 30 derniers jours. C'est ce qui explique que l'alerte vise les néophytes : une personne qui a déjà ouvert le terminal de macOS est probablement au courant qu'il ne faut pas coller une commande sans raison. La quatrième condition est simple : la personne ne doit jamais avoir cliqué sur « Coller quand même ». De façon concrète, si vous collez bien la commande quand vous voyez l'alerte, vous ne verrez plus jamais le message.
La dernière condition montre encore plus qu'Apple veut éviter qu'un utilisateur aguerri ne soit dérangé par l'alerte : si le Mac est utilisé par un développeur, le message n'apparaîtra pas. macOS vérifie la présence de Xcode, Docker, VS Code et quelques autres outils de développement, et s'ils sont présents, l'alerte est désactivée.
Il est tout de même assez étonnant de voir autant de conditions pour une protection de ce type : Apple veut visiblement éviter que les développeurs voient le message. Mais un utilisateur lambda qui pourrait éventuellement se faire avoir par de faux sites mis en place par des malandrins qui en veulent à vos données. Reste à voir si l'alerte servira vraiment, étant donné les nombreuses conditions nécessaires pour qu'elle apparaisse.
De faux sites Homebrew et LogMeIn font installer des malwares via le Terminal de macOS
