ova
Retour au blog
·10 min de lecture·productdevbook

Comment détecter une activité réseau suspecte sur votre Mac

Comment repérer tôt une activité réseau étrange sur Mac : outils, signaux et schémas qui indiquent vraiment un problème.

  • Security
  • macOS
  • Network monitoring
  • Privacy

Votre ventilateur s'emballe à 2 h du matin. Un ami mentionne que sa banque a signalé des connexions inhabituelles. Vous lisez un fil de discussion sur un paquet npm malicieux qui exfiltre les variables d'environnement de développement. Soudain chaque sursaut de votre Mac semble suspect. La plupart du temps il ne l'est pas — macOS est bavard par conception — mais savoir distinguer le bruit de fond normal de l'activité réseau suspecte que les utilisateurs Mac devraient réellement investiguer est une compétence qui vaut la peine. Voici une checklist calme, sans alarmisme.

Partez de cette base : la grande majorité du trafic inattendu sur un Mac sain est bénigne. iCloud, Time Machine, notifications push, mises à jour logicielles, télémétrie d'applications que vous avez installées — tout cela génère du trafic à des heures bizarres. Le but de cette checklist est de reconnaître le petit ensemble de motifs qui valent vraiment un second regard.

À quoi ressemble le « bruit normal »

Avant de pouvoir repérer un signal suspect, vous devez savoir à quoi ressemble le trafic d'arrière-plan sur un Mac auquel vous faites confiance.

Services système Apple

Ils apparaissent sous des PID que vous ne reconnaissez pas immédiatement. Communs :

  • cloudd — synchro iCloud (Photos, Drive, Trousseau iCloud)
  • bird — aussi iCloud (oui, deux démons)
  • apsd — service de notifications push Apple (toujours actif, faible débit)
  • nsurlsessiond — transferts URLSession en arrière-plan (App Store, mises à jour OS, Time Machine vers cibles réseau)
  • softwareupdated — vérifications de mise à jour macOS (rafales occasionnelles)
  • gamed, imagent, identityservicesd — Game Center, iMessage, présence FaceTime
  • mDNSResponder — découverte Bonjour sur Wi-Fi local (local-uniquement, pas Internet)
  • syspolicyd, trustd — code-signing et validation de certificats (petit, fréquent)
  • famille parsecd, Siri — suggestions Spotlight, Siri

Si vous triez par octets et ne voyez que ces noms plus votre navigateur et messageries, votre Mac va bien.

Applications de « synchro » tierces

Tout ce qui promet « fichiers partout » tourne en permanence :

  • Dropbox, Google Drive, OneDrive, Box
  • Synchro 1Password, Bitwarden
  • Notion, Obsidian Sync, Bear, Things
  • Spotify, Music (mises à jour de catalogue, synchro)
  • Clients VPN (TailscaleApp, NordVPN) — gardent les tunnels actifs

Leur trafic est petit en régime stable et fait des rafales quand vous changez quelque chose qu'ils synchronisent. Le trafic au repos en régime stable est normal.

Navigateurs en arrière-plan

Chrome et Safari maintiennent des connexions vers les serveurs de mise à jour des extensions, les endpoints de synchro, et tout onglet épinglé que vous avez oublié (un onglet Slack web, un calendrier, un onglet YouTube Music). Un navigateur au repos déplace encore des octets.

Signes d'activité réseau suspecte que les utilisateurs Mac devraient investiguer

Maintenant les vrais motifs suspects. Ce sont ceux qui méritent un regard plus attentif — pas la panique, juste un regard.

1. Destinations inconnues depuis un processus connu

Un processus auquel vous faites confiance (disons, votre IDE ou un petit utilitaire installé le mois dernier) se connecte à un espace IP que vous ne reconnaissez pas. À vérifier. Les outils les plus simples :

  • lsof -i -P -n -p <PID> — chaque connexion que ce PID a ouverte, avec IP distantes et ports
  • whois sur l'IP, ou une recherche DNS inverse (dig -x <ip>)
  • Une recherche pour l'IP — la plupart des endpoints cloud légitimes (AWS, GCP, Azure, Cloudflare) sont immédiatement évidents

Suspect ici signifie : un petit utilitaire se connectant à un espace IP de FAI résidentiel, une application piratée contactant un domaine que vous ne reconnaissez pas, un outil CLI de npm ou pip pingant un serveur sans lien évident avec son objet.

2. Téléversements hors-heures depuis votre propre machine

Téléversement soutenu à 3 h du matin depuis une application qui n'a aucune raison de téléverser — c'est un vrai signal. Faites attention avec celui-là : les cas légitimes incluent Time Machine vers une cible réseau, la synchro photo qui rattrape après une sauvegarde iPhone, et la grosse synchro iCloud Drive.

Mais si c'est une application que vous ne reconnaissez pas, soutenue pendant une heure, envoyant des centaines de mégaoctets, pendant que vous dormez — investiguez.

3. Ports inhabituels

La plupart des applications modernes parlent HTTPS sur le port 443 ou HTTP sur 80. Quelques exceptions légitimes : SSH (22), email (25/465/587/993/995), DNS (53/853), clients de base de données (5432, 3306, 27017, 6379), clients de jeu (la plage qu'ils choisissent), VPN (1194, 51820 pour WireGuard), Tailscale (41641 UDP).

Sortant vers des ports comme 4444, 6667 (IRC), ou des ports élevés arbitraires sans raison claire mérite un coup d'œil. Tout comme une application qui parle uniquement sur un port non standard et n'utilise jamais 443.

4. Reconnexions persistantes depuis une application

Un processus ouvre une connexion, elle est fermée, il en ouvre une autre, le cycle se répète toutes les quelques secondes. Pourrait être un VPN mal configuré qui se reconnecte. Pourrait être une application Electron dont le rendu plante en boucle. Pourrait être un info-stealer essayant d'appeler à la maison à travers un proxy capricieux.

Le débit de connexion (connexions par seconde par processus) est un signal plus sensible que le débit d'octets.

5. Un nouveau processus que vous n'avez pas installé

Apparaissant dans votre liste de bande passante avec un nom que vous n'avez jamais vu, pas de bundle .app dans /Applications, exécutable dans /tmp ou ~/Library/LaunchAgents que vous ne vous souvenez pas avoir ajouté. C'est la forme canonique du malware. Vérifiez avec :

launchctl list | grep -v com.apple

… pour voir les jobs launchd actifs qui ne sont pas Apple. Et :

ls -la ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

… pour voir les fichiers de persistance. La plupart des entrées sont légitimes (Dropbox, Spotify, etc.), mais tout ce que vous ne reconnaissez pas, recherchez-le.

6. Pic soudain depuis un processus normalement calme

Spotlight (mds_stores) ne fait normalement pas d'I/O réseau. Un démon de signature de code ne devrait pas téléverser. Un processus légitime se comportant soudain hors de sa catégorie est un signal — parfois d'une mise à jour logicielle qui change le comportement, parfois d'autre chose.

Une checklist calme

Parcourez cette liste avant de paniquer. Cela prend environ dix minutes.

  1. Vérifiez Activity Monitor → onglet Network. Triez par Data Sent/sec et Data Received/sec. Notez tout ce qui figure dans le top cinq que vous ne reconnaissez pas.
  2. Pour chaque processus inconnu : clic droit → Inspect → Open Files and Ports. Quelles adresses contacte-t-il ? Le chemin du bundle est-il sous /Applications ? Sous ~/Library ? Sous /tmp ?
  3. Cherchez l'ID de bundle. mdls -name kMDItemCFBundleIdentifier <chemin>. Recherchez-le. Les applications légitimes donnent des résultats clairs.
  4. Vérifiez la persistance launchd. launchctl list | grep -v com.apple et les dossiers LaunchAgents/Daemons listés ci-dessus.
  5. Vérifiez le journal unifié pour le processus. log show --last 1h --predicate 'process == "Suspicious"' --info — qu'est-ce qu'il faisait ?
  6. Vérifiez les extensions installées. systemextensionsctl list pour les Extensions Réseau. Tout ce que vous n'avez pas installé, recherchez-le.
  7. Lancez un scanner réputé. Malwarebytes pour Mac et KnockKnock (de Objective-See) sont tous deux gratuits et bien considérés. Ils ne sont pas infaillibles mais attrapent l'évident.
  8. Si vous n'êtes toujours pas sûr, faites une capture et demandez. Une capture d'écran du panneau Inspect du processus suspect et un collage de la liste launchctl suffit à quelqu'un d'expérimenté pour trier.

Voyez ova en action

Un moniteur de bande passante en barre de menu consultable d'un coup d'œil — local, signé, ~3 Mo.

Télécharger pour macOS

Pourquoi un moniteur passif aide

Le plus dur dans l'investigation d'activité suspecte est d'être là quand cela se produit. Au moment où votre ventilateur tourne, le processus fautif peut s'être arrêté. Au moment où vous ouvrez Activity Monitor, le pic est passé.

Un moniteur de bande passante en barre de menu comme ova aide parce qu'il est passif et continu. Il échantillonne à environ 1 Hz et stocke l'historique localement, donc quand vous remarquez enfin le ventilateur, vous pouvez parcourir les dernières heures et voir exactement à quoi ressemblait le réseau à ce moment-là. Par application, auxiliaires regroupés, sur une chronologie.

Cela ne remplace pas un vrai outil EDR (ceux-ci existent pour des modèles de menace sérieux), mais pour un usage personnel cela améliore dramatiquement vos chances de voir le signal recherché.

Historique par application pour la forensique
ova garde une chronologie parcourable de la bande passante par application dans un fichier SQLite local. Quand vous repérez quelque chose de bizarre, vous pouvez regarder en arrière au lieu d'essayer de l'attraper en direct.

Choses qui ont l'air effrayantes mais ne le sont généralement pas

Une courte liste de « cela semblait suspect mais s'est avéré normal » :

  • Une rafale depuis mDNSResponder sur un nouveau réseau Wi-Fi. Découverte Bonjour. Normal.
  • identityservicesd se connectant aux serveurs Apple. Présence iMessage / FaceTime. Normal.
  • apsd maintenant une connexion persistante vers *.push.apple.com. Notifications push. Normal.
  • com.apple.geod contactant occasionnellement. Plans et services de localisation. Normal.
  • triald, parsecd, searchpartyd. Recherche Apple / Spotlight / Localiser. Normal.
  • Une rafale massive de téléchargement juste après une activité de softwareupdated. Mise à jour macOS. Normal.
  • Une connexion vers 17.x.x.x. C'est la plage IP d'Apple. Normal.

En cas de doute, recherchez le nom du processus plus « macOS » — la plupart des démons Apple sont bien documentés.

Ce qui est réellement rare

Une vraie compromission sur un Mac géré personnellement est rare pour les utilisateurs qui :

  • S'en tiennent aux applications App Store et notarisées
  • Ne font pas tourner de logiciel piraté
  • Ne collent pas de scripts shell de sites aléatoires sans les lire
  • Gardent macOS à jour
  • Ne réutilisent pas les mots de passe sur les comptes critiques

Les vraies menaces les plus courantes aujourd'hui ne sont pas des « virus Mac » mais des stealers empaquetés avec des applications crackées, des paquets npm/pip malicieux ciblant les développeurs, et des pages de phishing qui vous demandent d'exécuter une commande curl-pipe-bash. La défense est la même qu'elle a toujours été : faites attention à ce que vous installez, faites attention à ce que vous collez dans un terminal.

Pour conclure

L'activité réseau suspecte dont les utilisateurs Mac devraient s'inquiéter réellement est réelle mais plus rare qu'il n'y paraît. La plupart du trafic inexpliqué est iCloud, Apple Push, applications de synchro, ou un onglet de navigateur oublié. Les signaux qui valent l'investigation sont les destinations inconnues depuis des processus familiers, les téléversements hors-heures depuis des applications qui ne devraient pas téléverser, les reconnexions persistantes, les ports inhabituels, et les processus inconnus apparaissant dans launchd. La checklist calme ci-dessus prend environ dix minutes et résout la plupart des cas.

Pour une conscience passive et continue afin que vous puissiez regarder en arrière quand quelque chose semble bizarre, installez ova — environ 3 Mo, macOS 14 et ultérieur, Apple Silicon et Intel, échantillonne à environ 1 Hz, toutes les données restent locales sur votre disque. Pas un pare-feu, pas un EDR — juste une vue claire de ce que vos applications font, disponible quand vous en avez besoin.