Ransomware sur Mac : risque réel et comment se protéger (2026)
Beaucoup d'utilisateurs Mac croient encore que les ransomwares ne ciblent que Windows. Cette conviction — confortable mais fausse — est précisément ce qui rend certains utilisateurs vulnérables. En 2023, le groupe LockBit a publié un ransomware compilé spécifiquement pour Apple Silicon. Ce guide explique le risque réel, les vecteurs d'infection, et la stratégie de protection concrète.
Historique : les ransomwares Mac qui ont existé
KeRanger (2016) — Le premier ransomware Mac documenté
KeRanger a été distribué via le client BitTorrent légitime Transmission, dont le site officiel avait été compromis. Les utilisateurs téléchargeaient Transmission et obtenaient KeRanger en prime. L'app attendait trois jours avant de commencer à chiffrer les fichiers — délai pour éviter la détection immédiate. Apple a rapidement révoqué le certificat de signature, limitant les dégâts.
EvilQuest (2020) — Ransomware + spyware
EvilQuest (également connu sous le nom de ThiefQuest) combinait chiffrement de fichiers ET vol de données — clés de portefeuilles crypto, fichiers de mots de passe. Distribué via des copies piratées de logiciels Mac (Little Snitch piraté, Mixed in Key, Ableton). Un cas classique : la méfiance envers les cracks est justifiée.
LockBit pour Apple Silicon (2023)
En 2023, des chercheurs en sécurité ont découvert que le groupe LockBit — responsable de milliers d'attaques contre des entreprises mondiales — avait développé une version de son ransomware compilée en ARM pour Apple Silicon. En test, il présentait des bogues, mais l'existence même de ce ransomware confirme que les groupes criminels ciblent maintenant activement macOS.
MacRansom, Patcher et autres
Plusieurs autres variantes ont circulé — souvent mal codées, avec des clés de chiffrement non stockées (rendant la récupération impossible même après paiement). Ces ransomwares artisanaux sont souvent plus dangereux que les professionnels : il n'y a aucun moyen de récupérer les fichiers.
Comment un ransomware infecte un Mac
Vecteur 1 : Logiciels piratés et cracks
C'est le vecteur le plus courant sur Mac. Les sites de torrents et de cracks distribuent régulièrement des logiciels macOS (.dmg, .pkg) modifiés pour inclure un malware. Le risque est particulièrement élevé pour :
- Suites Adobe piratées
- Final Cut Pro craqué
- Microsoft Office "activé"
- Outils de productivité premium sans licence
Règle absolue : N'installez que des apps provenant du Mac App Store ou directement des sites officiels des développeurs.
Vecteur 2 : Pièces jointes email malveillantes
Fichiers .dmg, .pkg ou même des documents Office avec macros malveillantes. Les attaques de phishing ciblées (spear phishing) visent des profils spécifiques — comptables (fausses factures), avocats (faux documents juridiques), dirigeants d'entreprise.
Vecteur 3 : Fausses mises à jour
Sites web qui affichent "Votre Flash Player est obsolète, mettez à jour maintenant" — Flash n'existe plus depuis 2020. Ces alertes distribuent des malwares. Idem pour les fausses mises à jour de Java, de navigateurs, ou même de macOS sur des sites non officiels.
Vecteur 4 : Accès réseau non sécurisé
Si votre Mac a le partage de fichiers activé sur un réseau non sécurisé, un ransomware infectant un PC Windows du même réseau peut se propager aux dossiers partagés Mac. Ce scénario est plus courant en environnement d'entreprise qu'à domicile.
Vecteur 5 : Vulnérabilités non patchées
Les mises à jour macOS corrigent régulièrement des failles de sécurité. Un Mac non mis à jour reste exposé à des exploits connus. La majorité des infections "sans action de l'utilisateur" exploitent des vulnérabilités déjà corrigées dans les mises à jour disponibles.
La stratégie de protection : sauvegardes avant tout
La protection la plus efficace contre un ransomware n'est pas un antivirus — c'est une stratégie de sauvegarde solide. Si vous pouvez restaurer vos données, le ransomware perd son pouvoir.
La règle 3-2-1
3 copies de vos données importantes
2 supports différents (ex: disque local + cloud)
1 copie hors site (cloud ou disque stocké ailleurs)
En pratique pour un utilisateur Mac :
- Copie 1 : Votre Mac (données originales)
- Copie 2 : Disque Time Machine local (branché ponctuellement, pas en permanence)
- Copie 3 : iCloud, Backblaze, ou un disque stocké chez un proche / au bureau
Time Machine — Atouts et limite critique
Time Machine est excellent pour la restauration de fichiers effacés ou corrompus. Il crée des snapshots locaux (APFS) même sans disque externe connecté. Mais sa limite face aux ransomwares :
Si votre disque Time Machine est connecté en permanence quand le ransomware frappe, il peut aussi être chiffré. Solution : déconnectez votre disque Time Machine après chaque sauvegarde. Ou activez le verrouillage Time Machine (macOS Ventura et plus récent) qui empêche la suppression des sauvegardes.
Sauvegarde cloud — La couche hors site
iCloud Drive synchronise vos fichiers mais n'est pas une sauvegarde à proprement parler — si un fichier est chiffré localement, la version chiffrée peut se synchroniser avec iCloud avant que vous vous en rendiez compte.
Pour une vraie sauvegarde cloud résistante aux ransomwares, utilisez un service avec historique de versions (Backblaze, Arq Backup) qui conserve les versions antérieures de vos fichiers. Vous pouvez alors restaurer la version d'avant le chiffrement.
Détection comportementale : l'autre couche de protection
Les sauvegardes vous permettent de récupérer après une infection. La détection comportementale peut vous alerter pendant l'infection, avant que le chiffrement soit complet.
Maclaw surveille les comportements caractéristiques des ransomwares :
- Un processus inconnu qui accède massivement au système de fichiers en lecture/écriture
- Des connexions réseau vers des serveurs de commande et contrôle inconnus
- Des comportements anormaux de processus système
Quand Maclaw détecte un comportement anormal, il vous envoie une alerte Telegram immédiate sur votre téléphone. Si vous recevez une alerte à 2h du matin pendant que votre Mac fait une "mise à jour", vous pouvez réagir avant que le chiffrement soit complet.
Ce n'est pas une garantie absolue — aucun outil ne l'est — mais c'est une couche supplémentaire qui peut faire la différence entre perdre 10 fichiers et perdre 10 000.
Checklist de protection ransomware Mac
- macOS à jour (Réglages Système → Général → Mise à jour de logiciels)
- Time Machine actif, disque déconnecté entre les sauvegardes
- Sauvegarde cloud avec historique de versions (Backblaze ou équivalent)
- Aucun logiciel piraté ou craqué installé
- Partage de fichiers désactivé si non nécessaire (Réglages Système → Général → Partage)
- Vigilance sur les pièces jointes email inattendues
- Surveillance comportementale active (Maclaw ou équivalent)
- FileVault activé (chiffrement du disque Mac) pour limiter l'impact en cas de vol physique
Si vous pensez être infecté : Ne redémarrez pas. Ne payez pas la rançon — il n'y a aucune garantie de récupérer vos fichiers. Déconnectez-vous immédiatement du réseau et appelez le 418-255-8998. Chaque minute compte.
Que faire si votre Mac est infecté par un ransomware?
- Déconnectez immédiatement du réseau (Wi-Fi et Ethernet) pour stopper la propagation
- Ne redémarrez pas — vous pourriez perdre des preuves et compliquer la récupération
- Ne payez pas la rançon — statistiquement, environ 40% des victimes qui paient ne récupèrent pas leurs fichiers
- Documentez — prenez des photos de l'écran, notez les processus actifs
- Contactez un spécialiste au 418-255-8998 — la récupération est parfois possible via Time Machine ou des snapshots APFS
- Après résolution : Changez tous vos mots de passe depuis un autre appareil
Questions fréquentes
Les Macs peuvent-ils vraiment être infectés par un ransomware?
Oui. KeRanger (2016) a été le premier ransomware Mac documenté. LockBit a développé en 2023 une version pour Apple Silicon. La fréquence est moins élevée que sur Windows, mais le risque est réel — surtout pour les professionnels dont les données ont de la valeur.
Comment un ransomware infecte-t-il un Mac?
Principalement via des logiciels piratés, des pièces jointes email malveillantes, des fausses mises à jour, et des accès réseau non sécurisés. Les Macs à jour avec des apps de sources officielles uniquement sont bien moins exposés.
Qu'est-ce que la règle 3-2-1 pour les sauvegardes?
3 copies de vos données, sur 2 supports différents, dont 1 hors site. Exemple : votre Mac + Time Machine local + sauvegarde cloud. Si le ransomware chiffre votre Mac et votre Time Machine connecté, la copie hors site vous sauve.
Time Machine protège-t-il contre les ransomwares?
Partiellement. Time Machine permet de restaurer des versions antérieures de fichiers. La limite : si votre disque Time Machine est connecté lors de l'infection, il peut aussi être chiffré. Solution : déconnecter le disque entre les sauvegardes.
Maclaw peut-il détecter un ransomware sur Mac?
Maclaw surveille les comportements caractéristiques des ransomwares : processus inconnus accédant massivement au système de fichiers, connexions réseau suspectes. C'est une couche de détection comportementale qui peut alerter avant que le chiffrement soit complet.
Lire aussi
- 7 signes que votre Mac est infecté par un virus
- Moniteur réseau Mac gratuit — Top outils 2026
- Little Snitch : toutes les alternatives en 2026
- Votre Mac envoie-t-il des données à Apple?
Votre Mac affiche une demande de rançon ou des fichiers chiffrés?
Ne redémarrez pas et ne payez pas. Déconnectez-vous du réseau et appelez notre équipe immédiatement au 418-255-8998. La récupération est parfois possible via les snapshots APFS — mais chaque heure compte.
Urgence — Contacter un technicien