Reprise du message précédent :
Et il y a aussi les failles de sécurité. Des logiciels qui ont déjà reçu les droits (comme safari) qui servent de vecteur d’attaque en exploitant des bugs  
 
Bon safari, à moins d’avoir une veille version c’est bon. Mais tu as potentiellement des softs moins mis à jour que tu as installé sur ton ordi. Genre une veille version de Lightroom, Photoshop, office etc.  
 
Il y a pas que « si j’ai pas rentré mon mdp j’ai pas de danger »

 
La grouille dans quoi ? Un site qui affiche des bannières partout, c'est pas un virus ou un malware.
 
T'as un exemple de trucs qui s'installe seul et qui est pas un truc qu'un utilisateur imprudent a mis lui-même ?
 

 
Ben non, même Safari a pas les droits pour faire des trucs, par défaut, t'as des tas d'autorisations super reloues pour faire le moindre truc et tous les malwares récents décrits par les chercheurs, ils essayent justement de te faire entrer ton mot de passe, parce que sans lui, ben ils peuvent pas faire grand chose.
 
Et les vieilles apps, c'est quoi le problème ? Si elle est vieille et d'une source connue, elle est pas infectée, si le malware est un peu ancien, dans le pire des cas Xprotect le bloque. Et par ailleurs, si t'as une vieille app avec un malware sur Mac, ben t'as un problème. Mais il est pas apparu tout seul.
Alors, oui, tu peux avoir choppé un malware y a 10 ans avec Transmission. Mais la sécurité est plus la même. Et accessoirement, sauf si t'as choisi volontairement une version crackée, y a pas de malware dans Office par exemple.
 
Les seuls risques réels en 2025 pour un utilisateur prudent qui bidouille pas l'OS, c'est les failles 0-day et les antivirus, ben par définition ils bloquent pas les 0-day. Et sur le coup, les 0-day, si t'es ciblé tu peux généralement rien y faire (mais bon, les 0-day sont généralement pas employées pour cibler un utilisateur lambda)  
 
Mais in fine, un utilisateur lambda qui bidouille pas les réglages et qui se contente des app du Mac App Store et de celles signées, j'ai pas d'exemples récents de trucs dangereux tant qu'il a pas entré son mot de passe (et si vous en avez, des exemples concrets, allez-y, ça m'intéresse). Après, c'est sur que l'OS est terriblement énervant à le demander pour pleins de trucs, en même temps que les autorisations, et que du coup, y a probablement plus de risques de se faire avoir et de l'entrer par habitude.

Attention tout de même, certains se sont fait avoir en suivant des liens Google AdWords vers des applications connus qui en fait étaient vérolées.
 
Alors oui c’est la faute de l’utilisateur qui entre sont mot de passe, mais on le fait parfois en pensant installer un logiciel officiel.
 
Dans un autre registre, j’avais acheté un SSD Samsung avec un lecteur d’empreintes, et pour qu’il fonctionne il faut désactiver des protections systèmes. Au final j’utilise mon SSD sans lecteur d’empreintes

 
Je t’invite à te renseigner sur les dégats que peuvent provoquer des bannières qui ont l’air innocentes… Et voir ma réponse suivante ci-dessous.  
 

C’est exactement ça. La plupart des dégats est causée par l’utilisateur lui-même qui fait n’importe quoi, 0-day ou pas. Et sans anti-virus pour t’éviter de télécharger un truc pourri vieux de deux ans parce que tu connais pas les bases de la cyber sécurité, ça sert toujours.  
 

Un exemple concret c’est facile, tu prends un script python qui ouvre une connexion TCP et fait un os.system sur tout ce qu’il reçoit.
 
L’application tu peux l’avoir installée / lancée par ce que ça t’es utile. Mais c’est une grosse faille de sécurité.
 
Ça c’est l’exemple ultra simple, mais n’importe quelle appli peut avoir des erreurs de conception qui sont dangereuses et peuvent être exploitées.  
 
Et quand bien même, tu aurais une popup qui apparaîtrait ben ça vient d’une application dont tu as confiance.
 
Et les veilles appli dont je parlais c’est des problèmes comme ça qui peuvent être découvert, mais si tu es pas à jour n’ont pas été patché

Ben oui, c'est pas des virus. Et accessoirement, les apps vérolées (y en a pas mal sur GitHub pour le moment), elles sont pas signées, donc ça demande de faire des manips précises pour les lancer.

Pour les SSD et autres (on a testé un NAS récemment qui fait ça), c'est ni un problème de virus, ni de malware, c'est des développeurs qui font n'importe quoi.

Ben oui, mais tu me donnes pas d'exemples (et j'en connais pas). Mais ça m'intéresse de me renseigner, mon boulot c'est quand même justement d'en relayer quand il y en a.

Ben non. Un truc vieux de deux ans, il sera bloqué par Xprotect. Un truc 0-day, il sera pas vu.
Y a vaguement eu un intérêt y a quelques années quand les virus circulaient par mail, ça évitait d'infecter les gens sous Windows. Mais en 2025, les antivirus pour Mac, ils servent à faire peur et faire vendre.

On passe vite "d'une vieille version d'Office"  a "un truc en Python infecté". Mais *c'est pas un virus*. Si tu lances un truc en Python qui fait des trucs chelous, de toute façon, c'est pas un antivirus qui va t'aider, c'est au mieux un firewall un peu stricte.
Si tu veux, je dois parfois faire sauter les protections de macOS pour le boulot (et M.arc sait que c'est relou sur les dernières versions) mais je vais pas venir expliquer que c'est parce qu'il y a des virus sur Mac que je fais n'importe quoi (et un antivirus m'aidera pas).

Et expliquer qu'une vieille version d'un soft genre Office/Lightroom/Photoshop a été infecté y a longtemps mais que ça a jamais rien fait et que personne l'a vu, ça demande un peu des preuves et c'est surtout hautement improbable.

Les rares apps "officielles" infectées ces dernières années, ça se compte sur les doigts d'une main et c'est essentiellement des trucs open source où ça a été détecté très rapidement (genre Transmission y a un bail).

Je nie pas que des gens se font avoir par des fausses versions de Chrome, des versions crackées d'Office ou d'autres trucs, mais

1) C'est pas des virus
2) Le simple fait d'aller télécharger les apps sur le Mac App Store ou direct chez l'éditeur empêche ce problème dans 99 % des cas
3) Dès que c'est détecté, Xprotect est mis à jour rapidement et les comptes devs sont coupés

Si vous voulez, je peux aussi vous sortir des cas débiles, avec des gens qui restent volontairement sous des vieilles versions de macOS, en désactivant le SIP et en allant chercher des apps crackées. Mais le problème, là, c'est vraiment pas une question de « Est-ce qu'il y a des virus sur Mac ». J'ai déjà dû enlever des extensions cheloues dans un navigateur, mais le problème, il était entre la chaise et le clavier.

Et dans la quasi-totalité des cas que j'ai dû traiter pour le taf' sur la sécurité, le problème il est là (c'est même pas un jugement, je fais des erreurs comme tout le monde). J'exclus les 0-day sophistiquées, globalement on peut rien y faire de toute façon, à part mettre à jour et espérer pas être une cible.

Pour ma part, j’ai:
- la suite Microsoft 365 Copilot avec abo Premium business donc téléchargé depuis la page Crosoft
- Telegram  
- Spotify
- Adobe Acrobat  
- le client Nord VPN
- Canva
- Edge
- le client Copilot Pro
 
Le truc le plus douteux c’est les pilotes de mon scanner de bureau Scansnap de Ricoh ( il a fallu télécharger un truc qui s’appelle Rosetta)
 
Je pense que ça devrait aller niveau softs « secure »
 
Pour les 165Hz, oui il s’est mis automatiquement en 165Hz avec le câble USB C sur la sortie TB4
 
Pour le clavier j’ai un logitech Mx Keys avec les indications des touches pour MacOs
Mais au lancement, j’ai du brancher un clavier en USB et le seul que j’avais c’était un vieux Dell

 
Ça va, c'est pas le truc le plus douteux, c'est juste que du coup, ça marchera probablement plus dans un an ou deux
 
Pour Office, si t'as un compte, la version Mac App Store est pas mal, ça évite le programme de MAJ relou de Microsoft, d'ailleurs.

Mais je parle pas de virus, juste de failles de sécurité qui peuvent être exploitée. Et ça permet de faire des trucs sans demander de mdp
 
Je parle pas de veille version de logiciel infectés, juste des versions qui sont des point d’attaques car avec des bug pas patché  
 
À une époque tu jailbreakais même un iPhone juste en visitant une page web, et sans demander de mot de passe ni rien.  
 
Le truc python c’était un exemple simple pour expliquer le problème mais bon, on arrête la vu qu’on se comprend pas

 
Ben la réflexion de base, c'était "y a pas de virus".
 
Mais ce que t'expliques, t'as ne serait-ce qu'un exemple ? Les grands éditeurs, quand ils découvrent une faille dangereuse, même dans un vieux logiciel, ils patchent (même Apple, ils ont mis à jour récemment iOS 12).  
 
Plus concrètement : qui irait essayer de profiter d'une vieille version d'Office Mac, en supposant qu'elle soit pas corrigé et qu'il reste des gens avec la vieille version ? Et de toute façon, encore une fois, les versions modernes de macOS font que t'as des tas d'autorisations/demande de mot de passe dès que ça sort du cadre d'une appli.  
 
L'exemple de l'iPhone, c'est ridicule : c'était y a 15 ans. Alors, oui, y a 15 ans, la sécurité était pas ce qu'elle est en 2025 (et les menaces étaient pas les mêmes, par ailleurs). Si tu veux, en 2025, un iPhone un peu moderne, tu le jailbreak pas.
 
Un vieux Mac OS ou Mac OS X avait pas (trop) de virus parce que personne s'y intéressait vraiment : y avait pas assez de clients pour qu'un virus se réplique facilement.
Les versions récentes, y a pas de virus (dans la définition classique) et les risques avec les malware sont plutpot faibles à cause des protections (énervantes) de macOS. Et les fonctions ajoutées sur les iPhone 17/Air (et sûrement les M5) vont encore rendre ça plus compliqué.  
 
C'est pas une forteresse imprenable, mais globalement, si tu coupes pas sciemment les sécurités et que t'installes que des trucs issus du Mac App Store ou signés, les risques sont hyper faibles sous macOS. Et dans 99 % des cas, les problèmes ne viennent pas de failles de l'OS ou des app', mais bien d'erreurs de l'utilisateur (et on peut tous faire des erreurs, on est d'accord). Et les quelques antivirus sur Mac, ils peuvent essayer de faire peur tant qu'ils veulent (c'est leur fond de commerce), ils servent à rien en pratique.