Mon Mac envoyait 4 MB vers un serveur russe à 2h du matin — sans que je le sache
La notification est arrivée sur mon téléphone à 2h14 du matin. Je l'ai vue le lendemain matin en déverrouillant mon iPhone :
Processus : com.adobe.accmac
Destination : 185.220.101.x (AS8304 — RU)
Volume : 4.2 MB envoyés
Durée : 00:08:32
Mon premier réflexe : effacement de données ? Exfiltration ? Malware ?
La réalité était moins dramatique mais tout aussi révélatrice du manque de transparence qu'on accepte par défaut sur nos Macs.
Qu'est-ce que "com.adobe.accmac" ?
C'est le processus d'Adobe Creative Cloud qui tourne en arrière-plan. Il est responsable de la synchronisation, des mises à jour automatiques et — apparemment — de l'envoi de données télémétriques vers les serveurs d'Adobe.
Le serveur en question (185.220.101.x) appartient effectivement à un bloc IP utilisé par plusieurs CDN européens et américains qui routent leur trafic via des noeuds en Russie. Ce n'est pas un hacker russe assis dans une cave — c'est une infrastructure réseau légitime utilisée par des entreprises occidentales.
Mais voilà ce qui m'a dérangé : pourquoi Adobe envoie-t-il 4 MB de données depuis mon Mac à 2h du matin ? Quelles données ? Vers où exactement ? Avec quelle justification ?
Ce que dit l'EULA d'Adobe : "Adobe may collect usage data from the software to improve our products and services." C'est vague, légal, et potentiellement très large. Adobe n'est pas un acteur malveillant, mais son niveau de collecte de données est réel et documenté.
Comment Maclaw a détecté ça
Maclaw surveille les connexions réseau sortantes en analysant en temps réel les processus actifs et leurs connexions via l'API macOS. Quand un processus qui ne figurait pas dans ma liste de connexions habituelles a ouvert une nouvelle socket vers une IP externe, l'anomalie a été flaggée automatiquement.
Ce qui a déclenché l'alerte n'était pas la destination (l'IP est "propre" selon les listes de réputation) mais la combinaison de facteurs : processus rarement actif + heure inhabituelle + volume élevé + aucune interaction utilisateur dans les 4 heures précédentes.
Comment investiguer une connexion suspecte
1. Identifier le processus en temps réel
Si tu vois une activité réseau inhabituelle, commence par identifier précisément le processus responsable :
Cette commande liste toutes les connexions réseau actives avec le PID et le nom du processus.
2. Vérifier l'IP de destination
Avec l'IP ou le domaine, tu peux interroger plusieurs bases de données de réputation :
nslookup 185.220.101.x
Des services comme VirusTotal ou AbuseIPDB peuvent aussi te donner plus d'informations sur l'historique de l'adresse.
3. Analyser le volume transféré
4 MB en 8 minutes, c'est environ 8 kbps — un débit très faible, typique de données télémétriques. Un malware qui exfiltre des données sensibles utiliserait généralement des débits plus élevés pour minimiser sa fenêtre de temps. Ça ne m'a pas rassuré à 100%, mais c'est un signal positif.
Règle empirique : Un transfert de moins de 1 MB à faible débit vers un serveur connu d'un éditeur logiciel = probablement de la télémétrie. Plus de 10 MB vers une IP inconnue = investigation sérieuse requise.
Ce que j'ai fait suite à cette découverte
D'abord, j'ai utilisé le pare-feu applicatif d'Apple (Préférences Système → Réseau → Pare-feu) pour bloquer les connexions sortantes d'Adobe Creative Cloud jusqu'à la prochaine mise à jour. Ensuite, j'ai activé la règle Maclaw qui me notifie si un processus en arrière-plan envoie plus de 1 MB de données quand je suis inactif depuis plus de 30 minutes.
Je n'ai pas désinstallé Adobe — j'en ai besoin pour le travail. Mais je sais maintenant ce qu'il fait quand je ne regarde pas.
Les vrais risques du trafic réseau nocturne sur Mac
La plupart du temps, les connexions nocturnes sont bénignes : mises à jour automatiques, synchro iCloud, sauvegardes Time Machine, télémétrie des apps. Mais il y a des cas réels où le monitoring réseau a permis de détecter des problèmes sérieux :
- Logiciels crack — de nombreux "keygen" et apps piratées contiennent des composants qui se connectent à des serveurs de commande-contrôle.
- Extensions navigateur malveillantes — certaines extensions "légitimes" collectent et revendent des données de navigation.
- Adware — des apps gratuites installées depuis des sources non-App Store qui monétisent tes données.
- Outils de développement compromis — des packages npm ou pip avec des dépendances malveillantes qui tentent des connexions sortantes.
Signal d'alarme : Un processus avec un nom générique (helper, agent, updater) qui se connecte à une IP sans nom de domaine associé, la nuit, avec un volume important. C'est le profil type d'une exfiltration malveillante.
Configurer des alertes réseau intelligentes
La clé n'est pas d'être alerté pour chaque connexion réseau — tu recevrais des dizaines de notifications par heure. L'objectif est de détecter les anomalies par rapport à ton comportement habituel.
Maclaw apprend les patterns normaux de ta machine et ne t'alerte que quand quelque chose sort de l'ordinaire : nouveau processus, nouvelle destination, volume inhabituel, horaire atypique. C'est la différence entre un chien de garde et une alarme qui se déclenche au moindre bruit.
Lire aussi
- Quelqu'un activait le partage d'écran sur mon Mac à distance
- Gérer son Mac à distance en 2026 : comparatif sécurisé
- Zoom gardait ma caméra active après l'appel
- Désactiver Apple Intelligence sur Mac : guide complet
Vois ce que ton Mac fait quand tu dors
Maclaw surveille les connexions réseau, les accès caméra/micro et les processus suspects — et t'alerte en temps réel sur Telegram.
Essayer Maclaw gratuitement