Les hijackers (outils de piratage de navigateur) font partie des fichiers malveillants les plus courants, aussi bien sur Mac que sur PC. Ils se font passer pour des outils permettant de surfer sur le Web plus efficacement. Certains se targuent même d'être « le moyen idéal pour surfer sur le Web ». En réalité, ils collectent vos données de navigation, redirigent votre navigateur et affichent des publicités pour des produits et services douteux. SafeFinder est un exemple de hijacker.
Qu'est-ce que SafeFinder ?
Le virus SafeFinder est une catégorie de fichiers malveillants connus sous le nom de « programme potentiellement indésirable » (ou PUP, Potentially Unwanted Program). Ils peuvent prendre plusieurs formes, mais ont pour seul point commun de se télécharger par inadvertance, car ils sont généralement regroupés en bundle avec des logiciels a priori légitimes.
Une fois téléchargé et installé, SafeFinder pirate votre navigateur Web, de la même manière que Chumsearch et Any Search. Lorsque vous lancez votre navigateur Web après l'installation de SafeFinder, la page d'accueil devient search.safefinderformac.com, search.macsafefinder.com ou search.safefinder.com. Lorsque vous saisissez une requête dans le champ de recherche, elle est finalement redirigée vers Yahoo, mais entre-temps, SafeFinder peut avoir collecté des informations auprès de votre navigateur et les avoir transmises à un serveur central. Il peut également afficher des publicités et ralentir votre navigateur.
Savoir si SafeFinder a infecté votre Mac
Le changement le plus notable se voit dès que vous ouvrez un navigateur Web : la page d'accueil est désormais une adresse Web contenant le terme « safefinder ».
La plupart du temps, les hijackers se téléchargent via un bundle contenant d'autres applications ou outils. SafeFinder est souvent fourni avec des applications de lecture de médias appelées NicePlayer ou MPlayerX. Ce dernier fut autrefois l'un des meilleurs lecteurs multimédias sur Mac. Il permettait de lire directement des fichiers à partir d'une caméra vidéo numérique HD. Il est toujours disponible sur le Mac App Store. Il n'a cependant pas été mis à jour depuis plusieurs années et il semble que les pirates l'utilisent maintenant pour créer des bundles contenant des fichiers malveillants. Vous ne devez donc pas le télécharger ailleurs que sur le Mac App Store.
Les dernières versions de macOS intègrent un outil appelé GateKeeper qui permet de ne télécharger que des applications provenant soit du Mac App Store seul, soit du Mac App Store et des développeurs jugés dignes de confiance par Apple. Il est toutefois possible de passer outre GateKeeper au cas par cas. Si vous utilisez une ancienne version de macOS, vous ne bénéficiez pas de cette protection.
Supprimer SafeFinder de votre Mac
Étape 1 : supprimez SafeFinder de votre dossier Applications
- Accédez à votre dossier Applications, puis repérez les applications que vous ne reconnaissez pas ou qui vous semblent suspectes. Recherchez en particulier des applications dont le nom contient SafeFinder ou NicePlayer. Vérifiez aussi MPlayerX, si vous n'avez pas téléchargé cette application depuis le Mac App Store.
- Si vous trouvez des applications à l'étape 1, faites-les glisser dans la corbeille, puis videz cette dernière.
- Ouvrez Préférences Système à partir du menu Apple.
- Dans la ligne du bas, repérez un panneau appelé Profils. Si vous voyez ce panneau, cliquez dessus.
- Cliquez sur le profil AdminPrefs, puis appuyez sur le signe - au bas de la fenêtre pour le supprimer.
Étape 2 : vérifiez les éléments d'ouverture
Certains PUP viennent s'ajouter à vos éléments d'ouverture pour se charger au démarrage. Même si vous avez maintenant supprimé SafeFinder, pour être exhaustif, vous devez également supprimer l'élément d'ouverture correspondant.
- Dans Préférences Système, choisissez Utilisateurs et groupes.
- Cliquez sur votre nom d'utilisateur, puis sur le cadenas, et saisissez votre mot de passe.
- Choisissez l'onglet Ouverture, cochez la case située à côté de l'élément d'ouverture SafeFinder, puis appuyez sur le signe -.
Étape 3 : supprimez SafeFinder de Safari
- Ouvrez Safari, cliquez sur son menu, puis choisissez Préférences.
- Dans l'onglet Général, à côté de Page d'accueil, saisissez l'URL du site que vous souhaitez utiliser comme page d'accueil.
- Sélectionnez l'onglet Recherche, puis choisissez le moteur de recherche à utiliser par défaut.
Étape 4 : supprimez SafeFinder de Chrome
- Ouvrez Chrome.
- Sélectionnez l'icône Paramètres sur la gauche de la fenêtre (elle représente trois lignes horizontales empilées), ou saisissez « chrome://settings » dans la barre d'adresse.
- Sélectionnez « Au démarrage », puis cochez le bouton « Ouvrir une page ou un ensemble de pages spécifiques ».
- Appuyez sur le bouton « Plus », représenté par trois points superposés.
- Choisissez « Modifier », puis saisissez ou collez dans le champ de texte l'adresse de la page d'accueil à utiliser.
- Cliquez sur Enregistrer.
- Choisissez de nouveau Paramètres, puis sélectionnez « Moteur de recherche ».
- Cliquez sur « Gérer les moteurs de recherche », appuyez sur le bouton « Plus » à côté de SafeFinder, puis choisissez « Supprimer de la liste ».
- Cliquez sur le menu déroulant à côté de « Moteur de recherche utilisé dans la barre d'adresse », puis choisissez le moteur de recherche souhaité.
Supprimer SafeFinder d'un seul clic
Si toute cette procédure vous semble fastidieuse, sachez que d'autres possibilités s'offrent à vous. CleanMyMac X intègre un outil de suppression des fichiers malveillants capable de supprimer SafeFinder en quelques clics seulement. Voici la marche à suivre :
- Téléchargez et ouvrez CleanMyMac X.
- Sélectionnez Fichiers malveillants, puis appuyez sur Analyser.
- Lorsque SafeFinder est détecté, appuyez sur Supprimer.
Et voilà, c'est fait ! L'outil de suppression des fichiers malveillants utilise une base de données mise à jour régulièrement pour vérifier si les fichiers détectés sur votre Mac sont effectivement malveillants. Si un fichier malveillant est détecté, vous pouvez le supprimer rapidement et facilement. En l'absence de résultat, détendez-vous : vous êtes certain que le bilan de santé de votre Mac est bon.
SafeFinder est un outil de piratage de navigateur prenant la forme d'un PUP. Il est le plus souvent regroupé dans un bundle avec des logiciels apparemment légitimes, et installé sans que l'utilisateur s'en aperçoive. Seul signe qui ne trompe pas : si votre ordinateur est infecté par SafeFinder, la page d'accueil de votre navigateur Web redirige vers une page de recherche SafeFinder. Heureusement, il est relativement simple de supprimer ce virus. Si vous utilisez plusieurs navigateurs différents, vous devez toutefois suivre la même procédure sur chacun d'entre eux. La méthode la plus simple consiste cependant à utiliser l'utilitaire de suppression des fichiers malveillants inclus dans CleanMyMac X, qui peut l'identifier et le supprimer rapidement.