Ouvrir le menu principal

MacGeneration

Recherche

Malwares sur MacUpdate : comment télécharger vos applications sans risque

Stéphane Moussie

jeudi 08 février 2018 à 15:00 • 20

Logiciels

Le 1er février, l’annuaire d’applications MacUpdate a distribué à son insu des copies vérolées de Firefox, OnyX et Deeper. Le site a été trompé par des hackers qui ont remplacé les liens de téléchargement légitimes par des liens menant vers des logiciels malveillants maquillés. Ce jour-là, en plus des versions originales de Firefox, OnyX et Deeper, les utilisateurs ont téléchargé un programme qui mine des cryptomonnaies en douce sur les Mac.

Les excuses de MacUpdate et les explications pour supprimer le programme malveillant.

MacUpdate a rapidement rétabli les liens de téléchargement authentiques et présenté ses excuses aux utilisateurs comme aux éditeurs des logiciels concernés, qui n’y sont pour rien.

Cette mésaventure rappelle qu’il est vraiment préférable de télécharger les applications directement sur les sites de leurs créateurs. Les intermédiaires comme MacUpdate peuvent se faire pirater, quand ce n’est carrément pas eux qui ajoutent des logiciels pernicieux.

Bien sûr, un éditeur peut lui aussi se faire pirater. Ce fut le cas en octobre dernier d’Eltima, qui a distribué à son insu des versions infectées de ses applications. Certains éditeurs, pas assez malheureusement, permettent de s’assurer que le logiciel que l’on télécharge sur leur site est authentique. C’est le cas d’OnyX et de Deeper : sur leur page de téléchargement, vous pouvez voir leur condensé SHA–256, une empreinte unique servant d’élément de comparaison ; il faut comparer le condensé du site avec celui de l’image disque que vous avez récupérée.

Pour ce faire, ouvrez le Terminal dans Applications > Utilitaires puis tapez shasum -a 256 et glissez-déposez l’image disque d’OnyX ou de Deeper dans la fenêtre, et appuyez sur Entrée. Si l’empreinte qui s’affiche est identique à celle du site, c’est bon, le téléchargement est fiable.

Notez que l’empreinte peut être définie avec une autre fonction de hachage, SHA 1 (exemple ici avec Handbrake). Dans ce cas-là, il faut saisir shasum -a 1 dans le Terminal.

Un autre moyen pour éviter les téléchargements trompeurs est de passer par le Mac App Store, qui est contrôlé par Apple. Mais le Mac App Store n’est pas sans faille lui non plus. En dépit du processus de validation d’Apple, de faux antivirus gratuits qui encourageaient l’achat d’une version payante ont pu y figurer pendant un temps. En cas de doute, vous pouvez contacter l’assistance Apple et vous renseigner sur notre forum.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

L'Apple TV fait tourner Windows XP nativement

18/02/2025 à 22:45

• 6


DMA : la Commission européenne rendra bien ses décisions sur Apple et Meta en mars

18/02/2025 à 21:15

• 2


Client mail : MailMate passe la deuxième et adopte un abonnement

18/02/2025 à 18:30

• 11


Hector Martin abandonne le développement d'Asahi Linux

18/02/2025 à 17:30

• 21


Le Mac mini M4 fait son entrée sur le refurb suisse

18/02/2025 à 16:29

• 12


Sniffnet, un outil de surveillance du réseau simple, gratuit, open-source et multiplateforme

18/02/2025 à 14:00

• 67


Avec Grok 3, Elon Musk continue de courir après OpenAI

18/02/2025 à 11:50

• 119


Deux nouveaux adaptateurs Ethernet 10 Gb/s chez QNAP, en USB4 et Thunderbolt

18/02/2025 à 10:35

• 9


Le Mexique menace d’attaquer Google en justice pour l’appellation « golfe d’Amérique »

18/02/2025 à 09:59

• 63


Image Playground peut verser dans les stéréotypes pour générer des visages

17/02/2025 à 21:45

• 52


Que vaut le service de suppression de donnée en ligne Incogni ? Notre bilan après 12 mois d'utilisation 📍

17/02/2025 à 20:55


Nos conseils pour acheter des produits Apple à prix réduit

17/02/2025 à 18:51

• 35


Le métro parisien de nouvelle génération rajeunit l'USB-A

17/02/2025 à 16:30

• 238


De nouveaux problèmes de compatibilités entre macOS Sequoia et Microsoft Exchange ?

17/02/2025 à 15:00

• 25


Sosh : le forfait 20 Go en Série limitée va augmenter sauf refus de votre part

17/02/2025 à 12:40

• 81


Western Digital divorce de SanDisk (et veut fabriquer des disques de 100 To)

17/02/2025 à 11:00

• 21