Vigilance requise : Failles de sécurité découvertes dans les processeurs Apple

En octobre 2023, des chercheurs des prestigieuses universités Georgia Institute of Technology et Ruhr University Bochum ont levé le voile sur des vulnérabilités critiques frappant les processeurs Apple. Ces failles, connues sous le nom d’iLeakage, mettent en lumière des failles de sécurité de type side-channel, qui menacent directement la confidentialité des données des utilisateurs d’appareils Apple. En dépit des efforts rapides de la marque à la pomme pour atténuer les risques, deux nouvelles vulnérabilités ont été identifiées : FLOP (False Load Output Prediction) et SLAP (Speculative Load Address Prediction). Dans cet article, nous explorerons les détails de ces menaces, leur mécanisme d’attaque, et les implications pour les utilisateurs.

Détails des vulnérabilités

Les failles récemment découvertes exploitent des attaques par canal auxiliaire, une technique qui tire parti de l’exécution spéculative des processeurs pour accéder à des informations sensibles. Ce qui rend ces vulnérabilités particulièrement inquiétantes, c’est leur capacité à être exploitées à distance. Un simple détour par un site web malveillant suffit pour compromettre les données d’un utilisateur, sans nécessiter d’accès physique à l’appareil. En d’autres termes, la menace est bien réelle et potentiellement omniprésente.

Mécanisme d’attaque

Les vulnérabilités autour de l’iLeakage tirent profit des fonctionnalités de traitement spéculatif intégrées aux processeurs pour accélérer les calculs en anticipant les instructions futures. Cependant, des erreurs dans ces prédictions peuvent laisser des traces dans la mémoire, facilitant ainsi l’extraction d’informations sensibles. Comme l’expliquent les spécialistes : « À partir des générations M2 et A15, les processeurs d’Apple tentent de deviner la prochaine adresse mémoire à atteindre, et à partir des générations M3 et A17, ils tentent de prédire la valeur des données qui sera retournée. Toutefois, des erreurs de prédiction peuvent entraîner des calculs imprécis sur des données inappropriées ou hors limites. »

Apple MacBook Air 15 Pouces Ordinateur Portable avec Puce M4 : Conçu pour Apple Intelligence, Écran Liquid Retina de 15,3 Pouces, Mémoire unifiée de 16 Go, Stockage SSD de 256 Go, Touch ID ; Minuit

Amazon

1299 € -7%
Apple MacBook Air 15 Pouces Ordinateur Portable avec Puce M4 : Conçu pour Apple Intelligence, Écran Liquid Retina de 15,3 Pouces, Mémoire unifiée de 24 Go, Stockage SSD de 512 Go, Touch ID ; Minuit

Amazon

1784 € -6%
Apple MacBook Air 15 Pouces Ordinateur Portable avec Puce M4 : Conçu pour Apple Intelligence, Écran Liquid Retina de 15,3 Pouces, Mémoire unifiée de 24 Go, Stockage SSD de 512 Go ; Lumière stellaire

Amazon

1754 € -8%

Exemples d’exploitation

Les failles FLOP et SLAP sont des concrétisations inquiétantes de l’exploitation de ces vulnérabilités. L’attaque FLOP permet aux pirates de tirer parti d’un échec de prédiction des données pour exfiltrer des informations sensibles, comme les données d’interface de Proton Mail ou l’historique de localisation de Google Maps. Quant à la méthode SLAP, elle offre aux attaquants la possibilité de « former » un processeur à anticiper un modèle particulier d’accès à la mémoire, qu’il peut ensuite manipuler pour lire et traiter des données sensibles.

Comment activer le suivi de colis en temps réel sur Gmail

Appareils concernés

Les processeurs des appareils Apple, à savoir les puces A et M, sont au cœur de ce problème. Les modèles concernés incluent tous les MacBook Air et MacBook Pro lancés depuis 2022, ainsi que les Mac Mini, iMac, Mac Studio, et Mac Pro sortis depuis 2023. Les iPad Pro, Air et Mini depuis septembre 2021, ainsi que tous les iPhone depuis la même date, sont également sous le coup de ces vulnérabilités. Autrement dit, la plupart des appareils récents d’Apple ne sont pas à l’abri.

Réponse d’Apple

Apple a été informé de ces failles en mars et septembre, mais n’a pas encore déployé de solution. Malgré la reconnaissance de preuves de concept, la firme de Cupertino ne considère pas ces vulnérabilités comme un danger immédiat pour ses utilisateurs. Les utilisateurs doivent néanmoins rester vigilants et suivre les futures mises à jour de sécurité qui seront proposées par Apple.

2025 Adaptateur CarPlay sans Fil pour Apple, Mise à Niveau Filaire vers sans Fil, USB-C/Type-C, Plug and Play, Connexion Stable sans délai, CarPlay pour iPhone, avec mises à Jour OTA

Amazon

39.99 €
Avylet Écran 9" CarPlay pour Voiture avec Apple CarPlay & Android Auto - Mode Portrait/Paysage - Écran Tactile/Caméra de Recul - GPS/Commande Vocale/Mise à Jour OTA/Bluetooth/AUX/FM

Amazon

79.99 € -12%
Krunia Écran CarPlay Portable sans Fil 8,1" 60 fps pour Apple CarPlay & Android Auto, mises à Jour OTA, caméra de recul, Mirror Link, Bluetooth, Commande vocale, Navigation GPS

Amazon

99.99 €

Conseils de sécurité

Pour minimiser les risques liés à ces vulnérabilités, il est conseillé aux utilisateurs de maintenir leurs appareils à jour avec les dernières versions logicielles fournies par Apple. L’utilisation de solutions antivirus reconnues peut également contribuer à protéger vos appareils contre les malwares et autres menaces potentielles. La vigilance est de mise, et suivre de près les annonces de sécurité de la part d’Apple reste essentiel pour garantir la protection de vos informations personnelles. Face à ces découvertes alarmantes, il est capital pour les utilisateurs d’Apple de rester informés et de prendre des mesures pour protéger leurs appareils et leurs données. Bien que ces vulnérabilités ne soient pas encore exploitées à grande échelle, les risques sont bien réels. Suivre les recommandations de sécurité et être attentif aux mises à jour proposées par Apple est primordial pour assurer votre tranquillité d’esprit. En somme, la vigilance reste votre meilleure alliée face aux menaces numériques actuelles.

Le nouveau téléphone Nothing Phone 2A Plus Community Edition se dévoile

FAQ

Quelles sont les vulnérabilités découvertes dans les processeurs Apple ?

Des chercheurs des universités Georgia Institute of Technology et Ruhr University Bochum ont identifié des vulnérabilités de type side-channel, nommées **iLeakage**, dans les processeurs Apple. Deux nouvelles failles spécifiques, **FLOP** (False Load Output Prediction) et **SLAP** (Speculative Load Address Prediction), ont également été découvertes. Ces failles exploitent l’exécution spéculative pour accéder à des informations sensibles via des navigateurs web.

Comment ces vulnérabilités peuvent-elles être exploitées ?

Les failles FLOP et SLAP permettent des attaques par canal auxiliaire, qui tirent parti des prédictions erronées de traitement des processeurs Apple. En accédant à un site web malveillant, un attaquant pourrait exfiltrer des informations sensibles, telles que des données de localisation ou des emails, sans nécessiter d’accès physique à l’appareil.

Quels appareils Apple sont concernés par ces vulnérabilités ?

Les appareils Apple lancés depuis 2021 sont affectés. Cela inclut tous les modèles de MacBook Air et MacBook Pro depuis 2022, les modèles de Mac Mini, iMac, Mac Studio et Mac Pro depuis 2023, ainsi que les modèles d’iPad Pro, Air, Mini et tous les iPhones depuis septembre 2021.

Quelle a été la réaction d’Apple face à ces découvertes ?

Apple a été informé des vulnérabilités en mars et septembre. Bien qu’ils aient reconnu l’existence de preuves de concept, aucune solution n’a encore été déployée. L’entreprise ne considère pas ces failles comme un risque immédiat pour ses utilisateurs, mais des correctifs sont en cours de développement.

Quels conseils de sécurité sont recommandés pour les utilisateurs d’Apple ?

Il est conseillé aux utilisateurs de maintenir leurs appareils Apple à jour avec les dernières mises à jour logicielles et d’utiliser des solutions antivirus fiables pour se protéger contre les malwares et autres menaces. Rester vigilant et suivre les mises à jour de sécurité proposées par Apple est crucial pour protéger les informations personnelles.

Nouvelle percée technologique : les smartphones à batterie de 7000mAh

Similaire

Alexandre

Alexandre, 39 ans, rédacteur en chef de accessoire-smartphone.fr je suis passionné par le high-tech depuis déjà plusieurs années

Table des matières