Mon Mac a peut-être été piraté — comment collecter des preuves pour un expert ?

@ Jérémie Amsellem - 30 Mar, 2025

Mon Mac a peut-être été piraté — que faire ?

Ce guide a été préparé par l’équipe de Fenrir.pro. Il vous explique, étape par étape et en termes simples, comment nous transmettre les informations dont nous avons besoin pour analyser votre ordinateur.

Pas de panique. Aucune de ces étapes ne supprimera quoi que ce soit sur votre Mac. Comptez environ 15 à 30 minutes.

⚠️ Lisez ceci avant de commencer

  • Ne redémarrez pas votre Mac avant d’avoir terminé ce guide.
  • Ne lancez pas d’antivirus ni d’outil de nettoyage pour l’instant.
  • Si vous pensez qu’une intrusion est en cours, déconnectez le Wi-Fi — puis continuez ce guide.

Illustration : Mac compromis avec connexion suspecte vers un attaquant distant

Étape 1 — Notez la version de votre Mac

Cliquez sur la pomme en haut à gauche de votre écran, puis sur « À propos de ce Mac ».

Une fenêtre s’ouvre. Notez quelque part (dans l’application Notes, sur papier…) :

  • La version macOS affichée (ex : macOS Sonoma 14.4.1)
  • Le nom de votre Mac (ex : MacBook Pro de Marie)
  • Ce que vous avez remarqué d’anormal (lenteurs, fenêtres inattendues, programmes inconnus…)

Étape 2 — Ouvrez le Terminal

Le Terminal est un outil qui permet de donner des instructions directement à votre Mac. Ne vous inquiétez pas — nous vous dirons exactement quoi copier-coller.

Appuyez simultanément sur ⌘ (Commande) + Espace, tapez Terminal, puis appuyez sur Entrée.

Une fenêtre sombre s’ouvre — c’est le Terminal. C’est normal.

💡 Comment l’utiliser ? Pour chaque commande indiquée dans ce guide : copiez le texte, collez-le dans le Terminal avec ⌘ + V, puis appuyez sur Entrée.

Illustration : guide visuel du Terminal — coller une commande, saisir le mot de passe, valider

Étape 3 — Créez le dossier de collecte

Copiez-collez la commande suivante dans le Terminal, puis appuyez sur Entrée :

mkdir -p ~/Desktop/fenrir_collecte

Un dossier fenrir_collecte apparaît sur votre Bureau. Tous les fichiers collectés dans ce guide y seront automatiquement enregistrés.

Étape 4 — Collectez les informations système

Copiez-collez chaque commande dans le Terminal, une par une, en appuyant sur Entrée après chacune.

Informations générales du système :

system_profiler SPSoftwareDataType SPHardwareDataType > ~/Desktop/fenrir_collecte/info_systeme.txt

Date et heure actuelles :

date -u >> ~/Desktop/fenrir_collecte/info_systeme.txt

Durée depuis le dernier redémarrage :

uptime >> ~/Desktop/fenrir_collecte/info_systeme.txt

Étape 5 — Programmes actifs et connexions réseau

Ces commandes permettent de voir quels programmes tournent sur votre Mac et à quoi il est connecté sur Internet.

Liste des programmes actifs :

ps auxww > ~/Desktop/fenrir_collecte/programmes_actifs.txt

Connexions réseau actives :

netstat -anv > ~/Desktop/fenrir_collecte/connexions_reseau.txt

Fichiers ouverts avec connexion Internet (votre mot de passe vous sera demandé) :

sudo lsof -i > ~/Desktop/fenrir_collecte/connexions_ouvertes.txt

🔑 Mot de passe demandé ? Tapez-le et appuyez sur Entrée. Les caractères ne s’affichent pas — c’est normal, c’est une sécurité de macOS.

Étape 6 — Historique des connexions utilisateur

Ces commandes révèlent qui s’est connecté à votre Mac et quand.

who > ~/Desktop/fenrir_collecte/utilisateur_actuel.txt

last > ~/Desktop/fenrir_collecte/historique_connexions.txt

Étape 7 — Programmes qui se lancent au démarrage

Les pirates installent souvent des programmes qui redémarrent automatiquement. Ces commandes permettent de les repérer.

ls -la /Library/LaunchAgents/ > ~/Desktop/fenrir_collecte/demarrage_systeme.txt 2>&1

ls -la ~/Library/LaunchAgents/ >> ~/Desktop/fenrir_collecte/demarrage_systeme.txt 2>&1

ls -la /Library/LaunchDaemons/ >> ~/Desktop/fenrir_collecte/demarrage_systeme.txt 2>&1

cp -r /Library/LaunchAgents/ ~/Desktop/fenrir_collecte/LaunchAgents_systeme/ 2>/dev/null

cp -r ~/Library/LaunchAgents/ ~/Desktop/fenrir_collecte/LaunchAgents_utilisateur/ 2>/dev/null

Étape 8 — Journaux système (72 dernières heures)

Les journaux enregistrent tout ce qui se passe sur votre Mac. Cette commande peut prendre quelques minutes.

log collect --last 72h --output ~/Desktop/fenrir_collecte/journaux.logarchive

Soyez patient·e — cette étape peut durer de 2 à 10 minutes. Une barre de progression peut apparaître. Attendez qu’elle soit terminée avant de continuer.

Étape 9 — Historique des commandes Terminal

Si un pirate a eu accès à votre Terminal, ses actions peuvent apparaître ici.

cp ~/.zsh_history ~/Desktop/fenrir_collecte/historique_terminal.txt 2>/dev/null

cp ~/.bash_history ~/Desktop/fenrir_collecte/historique_bash.txt 2>/dev/null

Étape 10 — Vérifiez l’historique de votre navigateur

L’historique de navigation peut révéler des sites visités à votre insu par un logiciel malveillant. Pas besoin du Terminal — tout se fait dans le navigateur.

Dans Safari : cliquez sur Historique dans la barre de menus en haut, puis Tout l’historique. Notez tout site inconnu ou suspect.

Dans Chrome : appuyez sur ⌘ + H pour ouvrir l’historique directement.

Prenez une capture d’écran (⌘ + Maj + 3) si vous voyez quelque chose d’inhabituel, et enregistrez-la dans le dossier fenrir_collecte.

Historique Safari avec un site suspect mis en évidence en rouge

Étape 11 — Vérifiez les profils de configuration installés

Les profils de configuration sont des fichiers qu’une entreprise — ou un attaquant — peut installer sur votre Mac pour en contrôler le comportement. Un utilisateur particulier ne devrait normalement en avoir aucun.

  1. Ouvrez Réglages Système
  2. Cliquez sur Confidentialité et sécurité dans la barre latérale
  3. Faites défiler vers le bas et cherchez la section Profils

Si cette section n’apparaît pas, c’est bon signe : aucun profil n’est installé. Si vous en voyez un que vous ne reconnaissez pas, notez son nom exact et signalez-le à votre analyste Fenrir immédiatement.

Réglages Système — section Profils avec un exemple de profil suspect encadré en rouge

Étape 12 — Vérifiez les appareils Bluetooth et le partage à distance

Appareils Bluetooth inconnus

Ouvrez Réglages Système → Bluetooth. Passez en revue la liste « Mes appareils ». Notez tout appareil que vous ne reconnaissez pas.

Partage à distance

Ouvrez Réglages Système → Général → Partage. Vérifiez que les options suivantes sont bien désactivées :

  • Connexion à distance (SSH)
  • Partage d’écran
  • Gestion à distance

Si l’une d’elles est activée sans que vous l’ayez configurée vous-même, ne la désactivez pas encore — signalez-le d’abord à votre analyste, car cela constitue une preuve importante.

Appareils Bluetooth inconnus à gauche, options de partage à distance à droite — un accès SSH activé est signalé en rouge

Étape 13 — Compressez et envoyez le dossier

Toutes les informations sont maintenant dans le dossier fenrir_collecte sur votre Bureau. Pas besoin du Terminal pour cette étape !

  1. Allez sur votre Bureau
  2. Faites un clic droit sur le dossier fenrir_collecte
  3. Cliquez sur « Compresser “fenrir_collecte” »

Clic droit sur le dossier fenrir_collecte avec le menu contextuel macOS — option Compresser surlignée en bleu

macOS crée automatiquement un fichier fenrir_collecte.zip sur votre Bureau. C’est ce fichier qu’il faut nous envoyer.

Illustration : parcours complet de la collecte à l’envoi à Fenrir.pro

Avant d’envoyer — vérifiez ces points

  • Le fichier fenrir_collecte.zip est bien sur mon Bureau
  • Je n’ai pas redémarré l’ordinateur depuis le début de ce guide
  • Je n’ai pas lancé d’antivirus ni de nettoyage
  • J’ai noté mes observations (étape 1)
  • J’ai noté tout site, profil ou appareil inconnu repéré aux étapes 10–12
  • J’ai contacté mon analyste Fenrir pour lui envoyer le fichier en toute sécurité

Contact

Pour toute question ou pour savoir comment nous envoyer le fichier, contactez votre analyste assigné sur fenrir.pro.

Étape 14 — Activez le mode Isolement (Lockdown Mode)

⚠️ Cette étape est à réaliser uniquement après avoir envoyé fenrir_collecte.zip à votre analyste. Le mode Isolement modifie le comportement de votre Mac et pourrait interférer avec la collecte si activé trop tôt.

Le mode Isolement est une protection extrême développée par Apple pour les personnes ciblées par des logiciels espions sophistiqués (comme Pegasus). Il réduit drastiquement la surface d’attaque de votre Mac en désactivant certaines fonctionnalités non essentielles.

Comment l’activer :

  1. Ouvrez Réglages Système
  2. Cliquez sur Confidentialité et sécurité
  3. Faites défiler jusqu’à Mode Isolement
  4. Cliquez sur Activer le mode Isolement…
  5. Confirmez, entrez votre mot de passe, puis redémarrez quand macOS le demande

Réglages Système — section Mode Isolement avec le bouton d’activation et les fonctionnalités désactivées

Ce que ce mode désactive (liste non exhaustive) :

  • Les aperçus de liens dans Messages
  • Certaines polices web et technologies de navigation avancées
  • Les connexions d’accessoires USB/Thunderbolt non approuvés
  • FaceTime entrant depuis des personnes que vous n’avez jamais contactées
  • Les profils de configuration (sauf ceux déjà installés)

Votre Mac reste pleinement utilisable pour les tâches courantes. Pour désactiver le mode Isolement plus tard, suivez le même chemin et cliquez sur Désactiver.

Document version 1.1 — Équipe forensique Fenrir.pro