macOS 26.4 a amélioré la sécurité du Terminal. L’utilitaire bloque désormais certaines lignes de commande suspectes, par exemple celles mises en avant par des pirates sur des sites malveillants afin d'installer des malwares. Mais comment tout cela fonctionne-t-il ? Le chercheur en sécurité pour Jamf Ferdous Saljooki a apporté quelques éléments de réponse dans un thread Twitter.
Depuis des années, des pirates invitent les internautes à coller des commandes dans le Terminal via différents moyen, souvent en promettant l’installation d’une app habituellement payante. Apple a récemment mis en place un pop-up demandant à l’utilisateur s’il est sûr de bien vouloir coller une commande et avertissant du potentiel téléchargement d’un virus. L'idée est de faire comprendre aux néophytes qu'une commande Terminal peut avoir des effets dangereux.
macOS Tahoe 26.4 alerte avant le collage d’une commande suspecte dans le Terminal
Si Apple laisse tout de même le choix d’aller plus loin, Ferdous Saljooki explique que la protection bloque aussi purement et simplement certaines commandes. La sécurité tourne grâce au daemon de XProtect, qui scanne les éléments collés. Il compare les noms de domaine avec la liste du Safari Safe Browsing Service, en charge de vérifier que les sites visités sont réels et pas des contrefaçons destinées au hameçonnage.
Autrement dit, ce n’est pas le Terminal lui même qui bloque la commande, mais le processus CoreServicesUIAgent qui affiche une alerte. La détection est gérée par Xprotect, qui analyse le contenu du presse-papiers quand il s'apprête à être collé. Il vérifie si le logiciel visé est liée à un Terminal, ce qui fait que la sécurité apparaît également sur des apps alternatives comme iTerm2 ou Ghostty.
Lorsque vous collez du texte, xprotectd extrait les URL et les adresses IP à l'aide de la fonction parseIPAddressesAndURLs. Chaque domaine est vérifié par le Safari Safe Browsing Service, le même qui vous avertit de la présence de sites web frauduleux [dans le navigateur]. Les domaines nouvellement signalés sont bloqués sans qu'une mise à jour de macOS soit nécessaire.
L’alerte n’apparaît que quand le contenu du presse-papiers provient d’un navigateur (une vingtaine sont enregistrés). Cette protection se manifeste si le mécanisme de System Integrity Protection (SIP) est activé et si le drapeau CopyPasteBlocking est enclenché. Il devrait l’être par défaut sur macOS 26.4.
