Dominique, infographiste à Limoilou, a acheté son MacBook Pro M2 en 2023. « Les Mac n’ont pas de virus » — c’est ce que le vendeur lui avait dit, et c’est ce qu’elle disait à ses clients. En novembre 2025, elle télécharge ce qu’elle croit être un installeur de Final Cut Pro gratuit, trouvé via Google. macOS dit « développeur non identifié » — elle connaît la manip : clic droit, Ouvrir, entrer son mot de passe admin.
Deux semaines plus tard, ses identifiants Adobe Creative Cloud sont utilisés pour facturer 2 400 $ sur sa carte liée au compte. Son portefeuille Kraken, qu’elle pensait sécurisé, est vidé de 0,8 ETH. Ses sessions Safari sont connectées depuis Moscou.
Dominique avait installé Atomic Stealer. Elle n’avait jamais entendu parler d’Atomic Stealer. Et elle n’avait aucun antivirus parce que « les Mac n’en ont pas besoin ».
En 2026, cet argument est mort. Voici la vérité, et voici quoi installer — et surtout quoi ne pas installer.
Le mythe « Mac n’a pas de virus » est mort en 2024
Pendant deux décennies, Apple a vendu ses machines avec cette image. Les publicités « Get a Mac » de 2006-2009 mettaient en scène un PC enrhumé face à un Mac invincible. La majorité des Mac users y ont cru. Beaucoup y croient encore, y compris dans les cercles techniques.
Les chiffres disent autre chose. Le rapport Malwarebytes State of Malware 2024 documente une hausse de 340 % des détections macOS entre 2023 et 2024. SentinelOne publie en février 2025 une analyse approfondie de sept familles de stealers macOS actives, dont six n’existaient pas avant 2023. BleepingComputer rapporte presque chaque semaine une nouvelle variante ou un nouveau vecteur de distribution ciblant spécifiquement macOS.
Ce n’est pas un pic passager. C’est un changement structurel du paysage des menaces. Voici pourquoi :
-
La part de marché macOS a grimpé. Statcounter place macOS à plus de 17 % du parc desktop mondial en 2025. Dans certains segments — créatifs, développeurs, cadres — on dépasse 25-30 %. Au Canada et aux États-Unis, particulièrement. Les criminels suivent l’argent et le volume.
-
Les Mac modernes contiennent des portefeuilles crypto. Un MacBook de graphiste ou de développeur crypto peut valoir plus en contenu qu’en matériel. Les stealers ciblent Exodus, Electrum, MetaMask (extension Chrome), Phantom, Ledger Live, Trezor Suite.
-
Malware-as-a-Service. Atomic Stealer se loue 1 000 à 3 000 $/mois sur Telegram selon Check Point Research. N’importe qui peut lancer une campagne sans écrire une ligne de code.
-
Attaques supply chain Homebrew et GitHub. Des paquets compromis sur Homebrew, MacPorts, ou des releases GitHub piégées ont été documentés en 2024-2025. Le développeur Mac moyen est plus exposé qu’il ne le pense.
Pour une vue détaillée des familles de malwares Mac actuels, consultez notre article Malwares Mac 2025-2026 : Atomic Stealer, Cthulhu, Banshee — comment les détecter.
Comment macOS se défend déjà — et où ça coince
Avant de parler d’antivirus tiers, comprenons ce que votre Mac fait déjà, nativement.
XProtect
XProtect est le système antimalware intégré à macOS depuis Snow Leopard (2009). Il fonctionne comme un antivirus traditionnel : une liste de signatures de malwares connus (fichier YARA), mise à jour silencieusement par Apple, qui scanne les fichiers téléchargés avant ouverture.
Forces : silencieux, gratuit, intégré, pas de perf impact.
Limites réelles :
- Uniquement signatures connues. Un stealer rebuild hier avec quelques variations passe.
- Apple met à jour XProtect sur son calendrier, parfois des jours ou semaines après qu’un malware circule.
- XProtect n’agit qu’au lancement d’un fichier, pas en surveillance comportementale temps réel.
- Ne bloque pas les installations manuelles que l’utilisateur autorise (clic droit > Ouvrir).
Gatekeeper et la notarisation
Gatekeeper vérifie qu’un logiciel est signé par un développeur Apple Developer Program et notarisé par Apple. Si l’app n’est pas signée, macOS la bloque par défaut avec le fameux « ne peut pas être ouvert, développeur non identifié ».
Le problème : l’utilisateur peut contourner en faisant clic droit > Ouvrir, ou en allant dans Réglages > Sécurité > « Ouvrir quand même ». C’est exactement ce que les instructions des sites de téléchargement piratés demandent. Gatekeeper est utile contre les drive-by automatisés, inutile contre l’utilisateur qui contourne volontairement.
Depuis macOS Sequoia (15), Apple a rendu le contournement plus difficile — il faut aller dans Réglages système et autoriser explicitement chaque fois. C’est un progrès, mais pas une barrière insurmontable.
TCC (Transparency, Consent and Control)
Le système qui demande « Cette app veut accéder à vos Documents / Photos / Contacts ». Protège les données sensibles même contre les apps installées. Les stealers récents essaient de contourner via AppleScript et accessibility access. Apple durcit régulièrement, mais le chat et la souris continuent.
System Integrity Protection (SIP)
Protège les fichiers système contre toute modification, même par root. C’est solide. Les malwares ciblent rarement le système lui-même — ils ciblent vos données utilisateur, où SIP ne s’applique pas.
Conclusion sur les défenses natives
XProtect + Gatekeeper + TCC + SIP forment une base solide. Pour un utilisateur prudent, qui installe uniquement depuis le Mac App Store ou des développeurs connus, qui ne contourne jamais Gatekeeper, qui maintient macOS à jour — c’est probablement suffisant.
Pour tout le reste — c’est-à-dire 90 % des utilisateurs Mac réels qui téléchargent parfois des logiciels, qui cliquent « Ouvrir quand même », qui installent des apps piratées, qui utilisent des portefeuilles crypto — une couche supplémentaire s’impose.
Les stealers macOS actuels contournent XProtect — faits documentés
Quelques cas récents, tous documentés publiquement :
Atomic Stealer (AMOS), avril 2023 à aujourd’hui. Check Point Research a documenté plus de 30 variantes, chacune avec des modifications suffisantes pour échapper aux signatures XProtect pendant des semaines avant mise à jour Apple. Distribution via faux installeurs (Logic Pro, Final Cut, CleanMyMac piraté, Photoshop craqué), faux sites Homebrew, extensions VS Code piégées.
Cthulhu Stealer, documenté par Cado Security en août 2024. Se fait passer pour CleanMyMac, Adobe GenP, des apps de jeu. Cible Keychain, notes, portefeuilles crypto. Pendant des semaines avant signature XProtect, infections massives.
Banshee Stealer, publié par Elastic Security Labs en août 2024. Code dérivé d’AMOS, amélioré, vendu 3 000 $/mois. Au moment de sa publication, XProtect ne le détectait pas.
HZ Rat (macOS variant), 2024. Backdoor ciblant utilisateurs chinois sur macOS via WeChat Mac piraté. XProtect l’a rattrapé plusieurs mois après.
RustDoor / Realst, stealer ciblant développeurs crypto, distribué via fausses offres d’emploi Web3 envoyées sur LinkedIn. XProtect silent pendant longtemps.
Microsoft Threat Intelligence a documenté en juillet 2024 (CVE-2024-44133) une vulnérabilité de contournement TCC exploitable par malware macOS, permettant de voler cookies et données Chrome sans consentement utilisateur. Patché depuis, mais illustre que la surface d’attaque est réelle.
Le pattern est toujours le même : un nouveau stealer émerge, circule pendant des semaines, XProtect finit par ajouter la signature, le criminel publie une variante, cycle recommence. Une couche supplémentaire comblent ces fenêtres de vulnérabilité.
Les options : antivirus Mac gratuits et payants
Passons en revue honnêtement, sans marketing.
Malwarebytes for Mac (gratuit + payant) — recommandation #1
La version gratuite permet un scan à la demande — parfait pour vérifier un Mac suspect ou scanner occasionnellement. La détection des stealers macOS est excellente, Malwarebytes étant l’un des chercheurs majeurs sur ce segment (ils publient régulièrement des analyses sur les nouveaux malwares Mac).
La version Premium (~50 $/an) ajoute la protection temps réel, bloquant l’exécution des malwares avant qu’ils ne frappent. Pour un utilisateur Mac moyen au Québec, scan hebdomadaire avec la version gratuite + Objective-See pour le temps réel = protection solide sans payer.
Points forts :
- Base de signatures spécialement orientée macOS
- Scan rapide, faible impact performance
- Détecte aussi PUP (programmes potentiellement indésirables : MacKeeper, Advanced Mac Cleaner, etc.)
- Publie ses rapports (State of Malware annuel) — transparence rare
Points faibles :
- Version gratuite = scan manuel seulement (pas temps réel)
- Certaines détections PUP peuvent être agressives (Malwarebytes flagge parfois des outils légitimes)
Objective-See (gratuit, open-source) — recommandation #2 (complément)
Patrick Wardle, ex-chercheur NSA spécialisé macOS, développe depuis 2015 une suite d’outils gratuits. Aucune équivalence dans le monde Windows. Les essentiels :
- BlockBlock : surveille toute tentative d’installation de persistance (LaunchAgent, LaunchDaemon, LoginItem). Alerte en temps réel. La plupart des malwares Mac tentent de persister — BlockBlock les attrape.
- KnockKnock : scanne tous les mécanismes de persistance connus. Utile pour audit.
- LuLu : pare-feu sortant gratuit. Alerte sur toute nouvelle connexion sortante. Remplace gratuitement Little Snitch (qui coûte ~45 $).
- OverSight : alerte quand webcam ou microphone sont utilisés. Utile pour repérer les spywares.
- DoNotDisturb : alerte si quelqu’un manipule votre Mac pendant votre absence (écran verrouillé).
- RansomWhere? : détection comportementale de ransomware.
Combinaison parfaite avec Malwarebytes. Gratuit, open-source, audité publiquement, développé par l’un des plus grands noms de la sécurité macOS.
CleanMyMac X — pas un antivirus, utile pour autre chose
Confusion fréquente. CleanMyMac X (MacPaw, Ukraine) est un outil de nettoyage système (caches, logs, gros fichiers, apps rarement utilisées). Il inclut un module « Malware Removal » qui utilise une petite base de signatures, mais ce n’est pas son cœur.
Pour le nettoyage système, outil solide, vaut son prix (~40 $/an). Pour la sécurité, insuffisant seul. Si vous l’avez déjà — gardez-le pour le nettoyage, ajoutez Malwarebytes pour la sécurité.
Norton 360 for Mac — fonctionne mais coûteux
Détection correcte, mais :
- Impact performance notable (Norton reste Norton, même sur Mac)
- Interface chargée
- Abonnement ~100 $/an
- Vend du VPN, du password manager, du dark web monitoring dans le même pack — utile si vous n’avez rien, redondant si vous avez déjà Bitwarden et Proton VPN
Pour le même budget, Malwarebytes Premium + Little Snitch + Proton VPN = protection supérieure et plus transparente.
Bitdefender / Kaspersky / ESET Mac
Tous détectent correctement selon AV-TEST. Impact performance variable. Kaspersky pose des questions géopolitiques (origine russe, interdit dans plusieurs administrations américaines et canadiennes). ESET est le plus léger, Bitdefender le plus complet. Aucun n’est nettement supérieur à Malwarebytes sur la détection macOS spécifique.
MacKeeper — à fuir
MacKeeper a été poursuivi par Zeobit en 2014 pour pratiques trompeuses, puis racheté plusieurs fois. Malwarebytes et Objective-See le classent régulièrement comme potentiellement indésirable. Historique de publicités agressives, abonnements difficiles à annuler, alertes fausses pour pousser à acheter.
Si vous avez MacKeeper installé : désinstallez-le immédiatement (Applications > MacKeeper > glisser-déposer ne suffit pas, suivre le guide de désinstallation officiel de MacKeeper pour retirer les composants auxiliaires). Malwarebytes le détecte comme PUP et le retire proprement.
Advanced Mac Cleaner / Mac Auto Fixer / Smart Mac Care — arnaques
Famille de scarewares Mac. Popups faux qui disent « votre Mac a 1 247 problèmes critiques », propose abonnement, débits récurrents difficiles à annuler. Tous détectés comme PUP par Malwarebytes. L’OPC au Québec a reçu plusieurs plaintes documentées.
TotalAV / Avira / AVG / Avast Mac
Détection correcte (ils partagent souvent les mêmes moteurs), mais monétisation agressive : popups de upsell constants, fonctions « optimiseur » qui ne font rien, abonnements annuels auto-renouvelés. Techniquement fonctionnels, expérience utilisateur désagréable. Malwarebytes reste plus propre.
Ma recommandation concrète pour un Mac québécois en 2026
Setup minimal solide, budget 0-50 $/an :
- Malwarebytes for Mac (gratuit, scan hebdomadaire manuel)
- BlockBlock + LuLu d’Objective-See (gratuits, temps réel persistance et réseau sortant)
- macOS toujours à jour (Réglages > Général > Mise à jour de logiciels > Mises à jour automatiques > tout activer)
- Safari ou Firefox avec uBlock Origin (Chrome : ok mais fingerprinting Google)
- Ne jamais installer de DMG depuis un site de warez (c’est la règle #1 — tous les stealers documentés en 2024-2025 viennent de là)
Setup renforcé, budget ~100-150 $/an :
- Malwarebytes Premium (~50 $/an, temps réel)
- Little Snitch (~45 $, achat unique, pare-feu sortant granulaire meilleur que LuLu)
- BlockBlock + OverSight (gratuits)
- 1Password ou Bitwarden Premium (gestion mots de passe + 2FA)
- Proton VPN Plus ou Mullvad (VPN sérieux)
Pour entreprise ou cabinet (avocats, comptables, médecins) au Québec avec obligations Loi 25 :
- Jamf Protect ou CrowdStrike Falcon for Mac (EDR professionnel, géré centralement)
- Segmentation strict admin/standard sur les Macs des employés
- Audits réguliers et journalisation sur SIEM
- Politique zéro logiciel piraté documentée
- Sauvegarde immuable hors site (Backblaze B2, Wasabi)
Ce qui marche mieux qu’un antivirus
Un antivirus est une couche. Les habitudes comptent dix fois plus. Voici ce qui réduit drastiquement votre risque, indépendamment de tout antivirus :
Ne jamais utiliser le compte administrateur pour l’usage quotidien
Créez un compte standard pour votre utilisation courante, gardez un compte admin séparé. Quand macOS demande le mot de passe admin, vous devez l’entrer volontairement — ce qui vous force à réfléchir avant d’installer. Plus de 70 % des stealers Mac observés exploitent le fait que l’utilisateur est déjà admin et entre son mot de passe machinalement.
Installer uniquement depuis le Mac App Store ou sites officiels
Final Cut Pro, Logic Pro, Photoshop, Logic X — payez-les. Ou utilisez des alternatives gratuites légales (DaVinci Resolve, Blender, GIMP, Audacity, OBS). Le DMG gratuit de Final Cut sur Google = 100 % du temps un stealer.
Désactiver l’exécution automatique
Réglages > Généralités > Éléments de connexion : vérifiez ce qui se lance au démarrage. Tout ce que vous ne reconnaissez pas = suspect.
Vérifier les profils de configuration
Réglages > Confidentialité et sécurité > Profils. Si vous voyez un profil inconnu, supprimez. Les profils peuvent changer DNS, installer certificats racines malveillants, forcer un VPN malveillant.
2FA partout, mots de passe uniques
Rien de spécifique Mac — c’est la base. Un mot de passe Keychain compromis peut donner accès à tout votre iCloud.
Sauvegarde Time Machine + sauvegarde hors site
Time Machine sur disque externe = protection contre ransomware local. Ajoutez une sauvegarde hors site (Backblaze, Arq, Carbon Copy Cloner vers cloud) pour protection contre sinistre physique ou ransomware qui chiffre aussi Time Machine.
Comment savoir si votre Mac est déjà infecté
Symptômes réels (attention, beaucoup de symptômes ont d’autres causes — ne pas paniquer) :
- Ventilateurs qui soufflent constamment, même au repos
- Moniteur d’activité > CPU : processus inconnu à 80-100 % CPU
- Processus aux noms suspects : « System Update », « InstallerHelper », « Spectre », caractères unicode étranges
- Demandes inattendues de mot de passe admin hors installation volontaire
- Onglets Safari qui s’ouvrent seuls
- Extensions Safari/Chrome que vous n’avez pas installées
- Certificats dans Keychain que vous ne reconnaissez pas
- Profils de configuration apparus sans raison
- Ordinateur plus lent qu’avant sans explication
- Portefeuilles crypto vidés, comptes en ligne compromis
Démarche :
- Lancez Malwarebytes for Mac scan complet (gratuit)
- Lancez KnockKnock d’Objective-See pour voir toute persistance suspecte
- Vérifiez Activity Monitor (CPU, Energy, Network)
- Vérifiez Réglages > Général > Éléments de connexion
- Vérifiez profils de configuration dans Réglages > Confidentialité et sécurité
Si infection confirmée : déconnectez d’internet, changez tous mots de passe depuis un autre appareil, scannez en détail, et dans les cas sérieux — réinstallation propre de macOS (pas restauration depuis Time Machine récent, car vous réimportez l’infection).
Le cas des portefeuilles crypto sur Mac
Si vous avez un portefeuille crypto sur votre Mac (Exodus, MetaMask, Phantom, Electrum, Ledger Live), les règles changent :
- Jamais de logiciel piraté sur ce Mac. Jamais.
- Hardware wallet obligatoire (Ledger, Trezor) — jamais de seed phrase stockée sur le Mac.
- Mac dédié crypto idéalement, séparé de votre Mac « tout faire ».
- Scanner hebdomadaire avec Malwarebytes.
- Little Snitch ou LuLu pour bloquer toute exfiltration sortante non autorisée.
Les stealers macOS ciblent spécifiquement les seed phrases, fichiers de wallet, et cookies d’exchanges. Une seule infection = fonds perdus, sans recours.
Conclusion
L’ère du « Mac n’a pas besoin d’antivirus » est morte, officiellement, avec la vague Atomic Stealer de 2023-2024. Si vous gérez un Mac en 2026 sans aucune couche de protection supplémentaire, vous comptez sur Apple seul — et Apple a prouvé, malgré XProtect et Gatekeeper, qu’elle rattrape les menaces avec plusieurs semaines de retard.
Bonne nouvelle : la protection efficace est gratuite. Malwarebytes for Mac (gratuit) + Objective-See BlockBlock et LuLu (gratuits) + habitudes propres = 95 % des menaces réelles bloquées. Vous n’avez pas besoin de payer Norton 100 $/an. Vous avez besoin d’installer deux outils et de changer deux comportements.
Si vous avez un doute sur l’état de votre Mac, si vous pensez avoir installé un malware, si votre portefeuille crypto a été vidé, ou si vous voulez qu’un humain audite votre configuration Mac à Québec — appelez-nous directement. On fait un diagnostic, on vous dit exactement où vous en êtes, sans vendre d’abonnement inutile.
Dominique, au début de l’article, n’avait pas besoin de Norton à 100 $/an. Elle avait besoin qu’on lui explique qu’un DMG Final Cut gratuit sur Google est toujours piégé. Malwarebytes en scan préventif lui aurait montré Atomic Stealer. C’est gratuit. Ça aurait sauvé 2 400 $ plus 0,8 ETH.
