Ouvrir le menu principal

MacGeneration

Recherche

Deux failles des dernières puces Apple Silicon permettent d’extraire des données de Safari et Chrome à distance

Félix Cattafesta

mercredi 29 janvier 2025 à 11:00 • 47

Mac

Des étudiants de l’Institut de technologie de Géorgie ont mis en évidence deux attaques pouvant toucher les puces Apple de dernière génération, que ce soit celles des MacBook Pro M4 comme celles des derniers iPhone. Baptisé SLAP et FLOP, ces deux trous dans la raquette d’Apple peuvent permettre à un attaquant d’extraire les données d’un navigateur à distance. Le pirate peut donc en récupérer l’historique, les courriels, les informations de carte de crédit ou encore les informations de géolocalisation d'un utilisateur.

Ces deux failles se basent sur la façon dont les puces Apple utilisent l'exécution spéculative. Cette technique cherche à optimiser les performances en prédisant les futures instructions, sans être certain que celles-ci seront réellement exécutées. Sur ses dernières puces, l’exécution spéculative n’est pas utilisée que pour le CPU : Apple cherche également à prédire les flux de données et des éléments liés à la mémoire de la machine.

La faille FLOP joue de ce dernier point et abuse de la partie de la puce prédisant les valeurs du contenu de la mémoire. Cela lui permet d’accéder à des données qui lui seraient normalement inaccessibles. De son côté, SLAP exploite une autre partie de la puce prédisant les emplacements de la mémoire où les données d'instruction peuvent être lues.

En pratique, ces deux failles abusent des limitations matérielles visant à isoler deux onglets. Elles peuvent être exploitées grâce à une page web vérolée comportant du code JavaScript ou WebAssembly. Dans le cas de FLOP, il faut que l’utilisateur soit sur un site cible (Gmail, iCloud) tout en ayant un site pirate ouvert dans un autre onglet pendant une durée de 5 à 10 minutes. Elles peuvent servir à accéder à des données très sensibles : un emplacement Google Maps, une boîte mail… FLOP est plus puissante que SLAP étant donné qu’elle fonctionne sur Chrome et Safari, là où cette dernière ne fonctionne qu’avec le navigateur d’Apple.

Ces failles touchent spécifiquement les appareils avec une puce récente. Tous les Mac portables sortis depuis 2022 sont concernés par l’une des deux, tout comme les Mac de bureaux lancés en 2023 ou plus. Elle remonte aux appareils présentés en 2021 pour ce qui est des tablettes et des iPhone. Les machines plus anciennes ayant une puce A14 ou M1 ne sont pas concernées.

Les chercheurs ont indiqué qu’Apple était au courant et qu’elle travaillait sur un correctif. Un porte-parole a déclaré à Ars Technica que des analyses avaient été menées : Cupertino ne pense pas « que ce problème pose un risque immédiat pour [ses] utilisateurs ». Rien n’indique que la faille ait pu être exploitée pour le moment. Les détails techniques et autres informations complémentaires peuvent être trouvés sur le site des chercheurs, mis en ligne pour l’occasion.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sosh : le forfait 20 Go en Série limitée va augmenter sauf refus de votre part

12:40

• 33


Western Digital divorce de SanDisk (et veut fabriquer des disques de 100 To)

11:00

• 10


Arm vendrait son premier processeur clé en main à Meta

10:07

• 2


Incogni : on l'a testé, notre bilan après 12 mois d'utilisation 📍

09:55


Spotify lancerait en 2025 une option payante pour les super fans de musique

09:32

• 23


Des écrans, mais surtout des robots humanoïdes. Futur joyeux ou apocalyptique ? La semaine de Gurman

16/02/2025 à 20:30

• 29


Promo : le MacBook Air M3 16 Go à 1099 € (+ une cagnotte de 109 € chez Leclerc)

16/02/2025 à 18:16

• 20


Easter Egg : quand Apple cache des petites blagues dans ses produits

16/02/2025 à 10:00

• 17


Plans commence à rebaptiser le Golfe du Mexique 🆕

16/02/2025 à 09:45

• 166


Avec visionOS 2.4, le Vision Pro devrait s'ouvrir à Apple Intelligence

16/02/2025 à 09:01

• 23


DockKit, la technologie Apple dont vous ignorez probablement l'existence, s'améliore encore

15/02/2025 à 12:37

• 12


Sortie de veille : le premier produit Apple de l’année fait-il battre notre cœur ?

15/02/2025 à 08:00

• 12


iPhone SE 4 : les chiffres de vente devraient cartonner, selon Ming Chi-Kuo

15/02/2025 à 07:30

• 52


Le site gouvernemental DOGE.gov monté à l’arrache... et piraté en quelques heures

14/02/2025 à 20:30

• 226


Severance : comment imprimer en 3D son PC Lumon Industries

14/02/2025 à 16:23

• 9


Synology présente des caméras qui se passent de NAS

14/02/2025 à 14:45

• 9