Si vous êtes absolument certain que votre Mac a été piraté, je vous recommande vivement d'effacer votre disque dur, de réinstaller OS X et de copier manuellement vos données à partir de Time Machine :

1. Sauvegardez votre Mac.

2. Redémarrez et maintenez Command+R pour entrer dans OS X Recovery ( http://support.apple.com/en-us/HT4718 ).

3. Sélectionnez "Utilitaire de disque" et reformatez votre disque dur ( http://support.apple.com/kb/PH5849 ).

4. Quittez 'Utilitaire de disque' et sélectionnez 'Réinstaller OS X'. Notez que (à partir de http://support.apple.com/en-us/HT4718 ):

   La réinstallation d'OS X à l'aide de Recovery requiert l'accès à large bande à l Internet en utilisant une connexion Wi-Fi ou Ethernet. OS X est téléchargé sur Internet depuis Apple lorsque la restauration d'OS X est utilisée pour la réinstallation. Vous devez utiliser le protocole DHCP sur votre réseau Wi-Fi ou Ethernet pour réinstaller OS X en utilisant OS X Recovery. Si vous avez acheté OS X à partir du Mac App Store, vous pouvez être invité à entrer le ID et mot de passe Apple vous aviez l'habitude de acheter OS X.

5. Lorsque OS X est opérationnel, branchez votre disque externe Time Machine, ouvrez-le dans le Finder, ouvrez le dossier portant le nom de votre Mac, puis le dossier 'Latest' ( http://www.macissues.com/2014/04/14/how-to-restore-files-from-time-machine-manually/ ).

6. Allez dans "Applications" et copiez les applications non-Mac App Store dans "/Applications". Notez que certaines applications (par exemple VMware Fusion) ne fonctionneront pas correctement si elles sont copiées, vous devez les réinstaller avec le programme d'installation fourni par le fabricant.

7. Installez les applications Mac App Store à partir de l'App Store.

8. Allez dans "Utilisateurs/[votre nom d'utilisateur]" et copiez les documents, les images, les films, la musique et tout autre dossier contenant des données importantes dans votre nouveau dossier d'accueil.

9. Je m'abstiendrais de copier "Bibliothèque", même si c'est là que se trouvent vos paramètres. Si vous avez activé la synchronisation iCloud Mail, Contacts, Calendriers, Rappels, Safari, Notes et Trousseau, la plupart de vos paramètres se reconstitueront tout seuls. Vous pouvez copier de manière sélective les paramètres d'application à partir de "Library/Application Support" après avoir vérifié le contenu des fichiers.

10. Si vous partagez votre Mac avec d'autres personnes, répétez les étapes 8. et 9. pour leurs comptes.

La synchronisation iCloud est particulièrement importante pour le trousseau de clés. et je parle par expérience : J'ai eu beaucoup de mal à exporter et importer Keychain après avoir installé OS X Yosemite à partir de zéro sans restaurer à partir d'une sauvegarde Time Machine.

Un conseil : Il est préférable que le compte de connexion que vous utilisez au quotidien ne dispose pas de droits d'administration. Vous devez créer un compte administratif à la place. Je l'appelle généralement admin :

alors que mon compte est "Standard". L'effet secondaire est qu'OS X vous demandera de taper admin Vous pouvez utiliser le mot de passe de l'utilisateur de temps en temps, par exemple pour modifier les paramètres des Préférences Système :

Bonne chance !

Date 1er impact

Identifiez du mieux que vous pouvez les date de la 1ère attaque . Parce que toutes les sauvegardes effectuées après cette date sont corrompues et ne sont pas fiables. (D'ailleurs, inutile de faire une sauvegarde d'un système potentiellement dangereux).

Regardez l'enregistrement le plus ancien /var/log/system.log présentant des anomalies ssh accès, c'est-à-dire à partir d'une IP où vous n'étiez pas.

Taille des dommages

Une fois que vous avez identifié cette date approximative, estimez le périmètre des dégâts causés par votre attaquant.

Si l'événement s'est produit il y a 14 jours, utilisez une valeur de find pour identifier tous les fichiers que vos attaquants ont modifiés sur votre système :

/usr/bin/sudo find / -mtime -15 -mtime +13 -ls

J'insiste pour utiliser /usr/bin/sudo car il est possible que votre sudo dans votre PATH a peut-être été remplacé.

Une méthode plus sûre consiste à faire toutes ces recherches avec :

• votre Mac est débranché de toute forme de réseau (totalement isolé),
• avec une version sûre de votre Yosemite sur une clé USB ou un disque externe (si vous n'en avez pas, ne la construisez pas à partir de votre système dangereux, demandez à un collègue de vous en faire une sur un système sûr).

Restaurer des données sûres

Depuis une version sécurisée de votre Yosemite sur une clé USB ou un disque externe :

• un formatage total de votre disque interne,

• une nouvelle installation de Yosemite.

Restaurez le reste des données de vos utilisateurs à partir d'une sauvegarde plus ancienne que la date de la première attaque, dans mon exemple 15 jours.

Éviter les faiblesses les plus courantes

Fermez tout accès invité.

Changez le mot de passe de tous les utilisateurs (je parle d'un vrai changement, ne passez pas de l'un à l'autre). password a password1 le changement pour {}=øph0! o Mißm4tcH ).

Changez-les sur tout autre système où vous auriez pu utiliser les mêmes mots de passe. Considérez-les tous comme dangereux depuis 14 jours.

Continuez à partager ( System Preferences > Sharing ) au minimum dont vous avez réellement besoin.

Retour à la surface

Vous pouvez maintenant configurer votre Mac pour une configuration réseau normale et retourner à la surface de l'Internet :).