Des chercheurs ont découvert deux failles de sécurité dans les puces Apple A et M. Ces vulnérabilités permettraient à des attaquants de récupérer des données sensibles en exploitant les navigateurs Chrome et Safari.
Apple vante régulièrement la sécurité de ses puces maison, utilisées dans ses iPhone, iPad et Mac. Pourtant, une récente étude révèle que les processeurs des séries A et M, sortis après 2021, présentent des vulnérabilités critiques. Ces failles exposent potentiellement des millions d’utilisateurs au vol de leurs informations personnelles, telles que les mails Gmail, les données de localisation Google Maps, ou encore les événements stockés dans iCloud Calendar.
Repérées par des chercheurs du Georgia Institute of Technology et de la Ruhr University Bochum, ces failles exploitent des attaques dites “side-channel”.
Celles-ci permettent de récupérer des données sensibles en mesurant des paramètres comme la consommation d’énergie ou le temps d’exécution d’une opération. Deux méthodes ont été identifiées : FLOP, qui cible le chargement des valeurs en mémoire pour extraire des informations confidentielles, et SLAP, qui manipule les adresses mémoire pour accéder à des données normalement protégées.
Des failles dans les puces Apple permettent de récupérer mails, localisations et numéros de carte bancaire
Les chercheurs ont démontré que ces vulnérabilités pouvaient être exploitées pour espionner des onglets ouverts dans Chrome et Safari. Par exemple, un site malveillant ouvert en même temps qu’un onglet Gmail pourrait lire le contenu de la boîte de réception. Google Maps, iCloud et Proton Mail sont également concernés, ce qui signifie que des informations comme votre historique de localisation ou vos échanges privés pourraient être exposés.
Les numéros de carte bancaire stockés sur certains sites marchands seraient aussi accessibles.
Les appareils vulnérables incluent tous les iPhone depuis l’iPhone 13, tous les iPad Pro, Air et Mini sortis depuis 2021, ainsi que les MacBook Air et Pro de 2022 et plus récents, et les iMac, Mac Mini et Mac Studio depuis 2023. FLOP serait la plus dangereuse des deux attaques, car elle permettrait un accès illimité à la mémoire d’un navigateur, tandis que SLAP se limiterait à certains contenus spécifiques sur Safari.
Apple a été informé du problème et assure que les utilisateurs ne courent aucun risque immédiat.
La marque travaille sur des correctifs, mais n’a pas encore communiqué sur une date de déploiement. En attendant, les chercheurs recommandent d’appliquer certaines mesures de protection, notamment la mise à jour régulière des navigateurs et d’éviter les sites non sécurisés. Cette affaire rappelle que même les puces les plus avancées ne sont pas à l’abri des failles, et que la sécurité des appareils repose autant sur le matériel que sur les mises à jour logicielles.
Predictors Fail
