Mon système macOS Sierra a-t-il été infecté par des utilisateurs inconnus?

J'ai remarqué que mon système fonctionnait lentement aujourd'hui et j'ai vérifié la liste des utilisateurs du système dans Terminal à titre de précaution. J'ai trouvé plusieurs utilisateurs que je ne reconnais pas. Dois-je m'inquiéter?

_applepay
_captiveagent
_ctkd
_datadetectors
_findmydevice
_gamecontrollerd
_hidd
_mbsetupuser
_mobileasset
_ondemand
_pcastagent
_pcastlibrary
_pcastserver
_wwwproxy
_xgridagent
_xgridcontroller
_xserverdocs

MacOS d'Apple a un certain nombre de comptes d'utilisateurs intégrés, avec de nombreux services système fonctionnant sous des comptes d'utilisateurs dédiés. Ces comptes d'utilisateurs spéciaux sont précédés d'un trait de soulignement ( _).

Par exemple, _applepayest utilisé pour le démon Apple Pay et _findmydevicepour la fonction Localiser mon Mac.

Bien que ces utilisateurs soient des "utilisateurs" du système, ce sont des utilisateurs d'arrière-plan spéciaux que les systèmes modernes de type Unix utilisent pour garder les processus contenus et plus sécurisés, et pas tout à fait les mêmes que les comptes d'utilisateur avec lesquels vous pouvez vous connecter à votre ordinateur.

Avoir un certain nombre de ces pseudo-utilisateurs est normal, et ce n'est pas en soi un signe que votre système est compromis.

Ces «utilisateurs» ne sont pas des utilisateurs réels - comme dans les utilisateurs humains qui sont connectés - mais ils sont plutôt appelés utilisateurs « démons » (alias: comptes «service») créés par le système d'exploitation pour gérer les processus et autres en arrière-plan dans le cadre de fonctionnement normal du système d'exploitation. Ce n'est pas idiosyncrasique pour macOS mais plutôt une pratique courante de la plupart des systèmes d'exploitation modernes (et peut-être de quelques systèmes d'exploitation plus anciens et pas si modernes).

Vous pouvez voir la liste complète des utilisateurs sur n'importe quel système macOS en exécutant cette commande dans le terminal:

dscl . -list /Users

Sur mon installation de macOS 10.12.6 (Sierra), je vois que c'est la sortie de cette commande:

_amavisd
_appleevents
_applepay
_appowner
_appserver
_ard
_assetcache
_astris
_atsserver
_avbdeviced
_calendar
_captiveagent
_ces
_clamav
_coreaudiod
_coremediaiod
_ctkd
_cvmsroot
_cvs
_cyrus
_datadetectors
_devdocs
_devicemgr
_displaypolicyd
_distnote
_dovecot
_dovenull
_dpaudio
_eppc
_findmydevice
_ftp
_gamecontrollerd
_geod
_hidd
_iconservices
_installassistant
_installer
_jabber
_kadmin_admin
_kadmin_changepw
_krb_anonymous
_krb_changepw
_krb_kadmin
_krb_kerberos
_krb_krbtgt
_krbfast
_krbtgt
_launchservicesd
_lda
_locationd
_lp
_mailman
_mbsetupuser
_mcxalr
_mdnsresponder
_mobileasset
_mysql
_netbios
_netstatistics
_networkd
_nsurlsessiond
_nsurlstoraged
_ondemand
_postfix
_postgres
_qtss
_sandbox
_screensaver
_scsd
_securityagent
_serialnumberd
_softwareupdate
_spotlight
_sshd
_svn
_taskgated
_teamsserver
_timezone
_tokend
_trustevaluationagent
_unknown
_update_sharing
_usbmuxd
_uucp
_warmd
_webauthserver
_windowserver
_www
_wwwproxy
_xcsbuildagent
_xcscredserver
_xserverdocs
daemon
jake
nobody
root