Un MacBook infecté par un malware ne se nettoie pas comme un Mac simplement ralenti par des fichiers temporaires. Vider le cache macOS fait partie du processus, mais cette opération seule ne suffit presque jamais à restaurer l’intégrité du système après une compromission. Les menaces récentes sur macOS, comme le malware PamStealer identifié par Jamf en 2024, exploitent des mécanismes bien plus profonds que les simples dossiers de cache utilisateur.
Pourquoi le cache seul ne suffit pas après un malware sur Mac
Les guides classiques pour vider le cache MacBook décrivent une procédure de maintenance courante : supprimer les fichiers temporaires du système, des applications et des navigateurs pour gagner en fluidité. Après une infection, la logique change.
A découvrir également : Désactiver protection internet carte bancaire : étapes à suivre
Un malware peut déposer des fichiers dans les dossiers de cache, mais il installe aussi des composants ailleurs : agents de lancement dans ~/Library/LaunchAgents, profils de configuration, extensions de navigateur modifiées. Vider le cache sans traiter ces emplacements laisse l’infection active.
Le cas de PamStealer illustre cette réalité. Ce malware macOS récent pousse l’utilisateur à interagir avec le mode de récupération (Commande + R) après ouverture d’une image disque piégée. Il ne se limite pas aux données temporaires : il cible des composants système profonds.
Lire également : Sécuriser son accès à la messagerie INRAE
Les retours terrain divergent sur la persistance exacte de ce type de menace après un simple nettoyage de cache, mais le consensus parmi les analystes va dans le même sens : le vidage de cache est un geste nécessaire, pas un geste suffisant.

Fichiers de cache macOS à purger après une infection
Avant de toucher aux caches, fermez toutes les applications. Certaines régénèrent leurs fichiers temporaires en temps réel, ce qui rend la suppression inefficace si elles tournent en arrière-plan.
Les trois emplacements à traiter sur un Mac compromis :
- ~/Library/Caches : contient les caches des applications utilisateur (navigateurs, clients mail, logiciels tiers). C’est le dossier le plus volumineux et celui où des malwares déposent parfois des données exécutables déguisées en fichiers temporaires.
- /Library/Caches : regroupe les caches partagés au niveau du système. Nécessite des droits administrateur pour la suppression. Un malware avec élévation de privilèges peut y stocker des composants persistants.
- Les caches navigateur (Safari, Chrome, Firefox) : à traiter depuis les réglages de chaque navigateur plutôt que par suppression manuelle de dossiers, pour garantir que les bases de données internes soient aussi réinitialisées.
Pour accéder au dossier ~/Library/Caches via le Finder, utilisez le menu Aller > Aller au dossier, puis tapez le chemin. Supprimez le contenu des sous-dossiers, pas les sous-dossiers eux-mêmes, pour éviter que certaines applications perdent leur structure de référence.
Vider le cache navigateur Mac après un malware : Safari, Chrome, Firefox
Les navigateurs méritent un traitement séparé. Un malware contracté via une publicité sponsorisée sur un réseau social (un vecteur documenté sur X/Twitter pour des malwares se faisant passer pour des outils légitimes) laisse des traces spécifiques dans le cache de navigation : redirections enregistrées, cookies de tracking, extensions installées silencieusement.
Sur Safari, le vidage passe par Réglages > Confidentialité > Gérer les données de sites web. Supprimez tout. Vérifiez aussi l’onglet Extensions et désactivez tout élément que vous n’avez pas installé volontairement.
Sur Chrome, accédez à chrome://settings/clearBrowserData et sélectionnez « Toutes les périodes ». Pensez à inspecter chrome://extensions : une extension malveillante survivra au vidage de cache si elle n’est pas retirée manuellement.
Sur Firefox, le chemin est Paramètres > Vie privée et sécurité > Cookies et données de sites > Effacer les données. Vérifiez également le dossier de profil (about:profiles) pour détecter des profils Firefox inconnus créés par un malware.
Vérifications post-nettoyage sur macOS : au-delà du cache
Une fois les caches purgés, plusieurs contrôles déterminent si l’infection persiste.
Agents de lancement et démons
Inspectez ces quatre dossiers pour repérer des fichiers .plist suspects :
- ~/Library/LaunchAgents
- /Library/LaunchAgents
- /Library/LaunchDaemons
- /Library/Application Support (sous-dossiers inconnus)
Un fichier .plist dont le nom ne correspond à aucune application installée, ou qui pointe vers un exécutable dans un répertoire inhabituel, doit être supprimé après vérification. Les malwares macOS utilisent ces fichiers pour se relancer automatiquement au démarrage.
Profils de configuration
Rendez-vous dans Réglages Système > Général > Gestion des appareils (ou Profils sur les versions antérieures de macOS). Un profil que vous n’avez pas installé est un signal d’alerte fort. Certains malwares installent des profils qui modifient les réglages DNS ou imposent un proxy, rendant le vidage de cache sans effet sur le détournement de trafic.
Moniteur d’activité
Ouvrez le Moniteur d’activité (Finder > Applications > Utilitaires) et triez les processus par consommation CPU. Un processus au nom générique consommant des ressources anormales après un redémarrage propre peut indiquer une persistance du malware.

Quand réinstaller macOS plutôt que vider le cache
Le nettoyage manuel a ses limites. Si après suppression des caches, purge des agents de lancement et retrait des extensions suspectes, le Mac continue d’afficher des comportements anormaux (redirections de navigateur, ralentissements inexpliqués, apparition de fichiers inconnus), une réinstallation propre de macOS reste l’option la plus fiable.
La réinstallation depuis le mode de récupération (Commande + R au démarrage) réécrit les fichiers système sans toucher aux données utilisateur. Pour une compromission sévère, un effacement complet du disque suivi d’une réinstallation offre la meilleure garantie d’élimination.
Pensez à sauvegarder vos données sur un support externe avant cette opération, en évitant de restaurer une sauvegarde Time Machine effectuée pendant la période d’infection. La sauvegarde peut contenir les fichiers malveillants qui réintroduiraient le problème.
Vider le cache d’un MacBook après une infection reste un réflexe pertinent pour éliminer des données corrompues et des traces résiduelles. Mais ce geste prend son sens uniquement dans une séquence complète : purge des caches, nettoyage des agents de lancement, vérification des extensions et des profils, puis surveillance post-nettoyage. Traiter le cache seul, c’est désinfecter la surface sans examiner la plaie.

