Ouvrir le menu principal

MacGeneration

Recherche

Deux failles des dernières puces Apple Silicon permettent d’extraire des données de Safari et Chrome à distance

Félix Cattafesta

mercredi 29 janvier 2025 à 11:00 • 48

Mac

Des étudiants de l’Institut de technologie de Géorgie ont mis en évidence deux attaques pouvant toucher les puces Apple de dernière génération, que ce soit celles des MacBook Pro M4 comme celles des derniers iPhone. Baptisé SLAP et FLOP, ces deux trous dans la raquette d’Apple peuvent permettre à un attaquant d’extraire les données d’un navigateur à distance. Le pirate peut donc en récupérer l’historique, les courriels, les informations de carte de crédit ou encore les informations de géolocalisation d'un utilisateur.

Ces deux failles se basent sur la façon dont les puces Apple utilisent l'exécution spéculative. Cette technique cherche à optimiser les performances en prédisant les futures instructions, sans être certain que celles-ci seront réellement exécutées. Sur ses dernières puces, l’exécution spéculative n’est pas utilisée que pour le CPU : Apple cherche également à prédire les flux de données et des éléments liés à la mémoire de la machine.

La faille FLOP joue de ce dernier point et abuse de la partie de la puce prédisant les valeurs du contenu de la mémoire. Cela lui permet d’accéder à des données qui lui seraient normalement inaccessibles. De son côté, SLAP exploite une autre partie de la puce prédisant les emplacements de la mémoire où les données d'instruction peuvent être lues.

En pratique, ces deux failles abusent des limitations matérielles visant à isoler deux onglets. Elles peuvent être exploitées grâce à une page web vérolée comportant du code JavaScript ou WebAssembly. Dans le cas de FLOP, il faut que l’utilisateur soit sur un site cible (Gmail, iCloud) tout en ayant un site pirate ouvert dans un autre onglet pendant une durée de 5 à 10 minutes. Elles peuvent servir à accéder à des données très sensibles : un emplacement Google Maps, une boîte mail… FLOP est plus puissante que SLAP étant donné qu’elle fonctionne sur Chrome et Safari, là où cette dernière ne fonctionne qu’avec le navigateur d’Apple.

Ces failles touchent spécifiquement les appareils avec une puce récente. Tous les Mac portables sortis depuis 2022 sont concernés par l’une des deux, tout comme les Mac de bureaux lancés en 2023 ou plus. Elle remonte aux appareils présentés en 2021 pour ce qui est des tablettes et des iPhone. Les machines plus anciennes ayant une puce A14 ou M1 ne sont pas concernées.

Les chercheurs ont indiqué qu’Apple était au courant et qu’elle travaillait sur un correctif. Un porte-parole a déclaré à Ars Technica que des analyses avaient été menées : Cupertino ne pense pas « que ce problème pose un risque immédiat pour [ses] utilisateurs ». Rien n’indique que la faille ait pu être exploitée pour le moment. Les détails techniques et autres informations complémentaires peuvent être trouvés sur le site des chercheurs, mis en ligne pour l’occasion.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un kit d'outil complet pour nettoyer vos produits informatiques

12:12

• 0


L'IA est là : confiez-lui vos images et vos vidéos

10:00

• 12


Club iGen : c'est le moment de vous abonner !

16/08/2025 à 17:58

• 19


Du keynote au code : comment Decathlon hiérarchise les nouveautés d’iOS pour ses apps

16/08/2025 à 15:00

• 9


Ces articles du Club iGen passent en accès libre : découvrez nos contenus premium

16/08/2025 à 12:51

• 2


À contre-courant : pourquoi Christophe ne croit pas au discours d’Apple sur la vie privée

16/08/2025 à 10:57

• 48


S’il vous plaît, ne créez pas de bombe nucléaire avec Claude

15/08/2025 à 20:30

• 37


La publicité et les liens commerciaux pourraient arriver dans ChatGPT… avec prudence

15/08/2025 à 15:30

• 23


Un SSD NVMe de 2 To proche de la taille d'une carte micro SIM

15/08/2025 à 11:55

• 35


Mieux qu'Amazon : le MacBook M4 à 920 € pour le 15 août

15/08/2025 à 10:27

• 10


Intel et le Thunderbolt 5 ajoutent l'USB 3.2 Gen 2x2 (20 Gb/s) aux Mac dans certains cas

15/08/2025 à 10:00

• 14


Une panne nationale d'envergure touche la SNCF [🆕 retour à la normale]

15/08/2025 à 08:35

• 159


Le développement de l’IA finalement bloqué par le mur de la consommation électrique ?

14/08/2025 à 22:15

• 160


Le MacBook Pro M5 pourrait avoir une option cellulaire 5G

14/08/2025 à 21:00

• 43


L'IA est là et il faut apprendre à parler chatbot

14/08/2025 à 20:30

• 19


Un Mac Pro M4 Ultra repéré dans du code : futur lancement ou projet avorté ?

14/08/2025 à 17:50

• 23