Découverte de graves vulnérabilités dans les processeurs modernes d’Apple

Un groupe de chercheurs en sécurité a récemment mis en lumière des vulnérabilités majeures dans les processeurs récents d’Apple, permettant à des attaquants de dérober des informations personnelles via des navigateurs web, sans nécessiter l’installation de logiciels malveillants sur les appareils ciblés.

Ces failles, appelées FLOP et SLAP, touchent les derniers puces de la société et sont liées à des erreurs d’exécution spéculative, une méthode qui accélère le calcul des processeurs mais qui expose également des données sensibles.

Attaques silencieuses depuis le navigateur

Selon les études menées par des chercheurs de l’Institut Technologique de Géorgie et de l’Université Ruhr de Bochum, ces vulnérabilités peuvent être exploitées à distance via des sites web malveillants qui exécutent du code en JavaScript ou WebAssembly.

Les chercheurs ont démontré qu’il est possible de :

• Extraire des informations privées depuis Safari et Chrome.
• Accéder à des courriels et des données de navigation.
• Contourner les mesures de sécurité des navigateurs, comme la protection sandbox et l’aleatorisation de la mémoire.

Les attaques se répartissent en deux catégories :

• FLOP (False Load Output Prediction) : concerne les puces M3, M4 et A17, s’appuyant sur une prédiction incorrecte des valeurs de mémoire.
• SLAP (Speculative Load Address Prediction) : présente dans les processeurs M2 et A15, exploite des failles de prédiction des adresses mémoire.

Données compromises : Gmail, iCloud et Amazon ciblés

Les chercheurs ont réussi à extraire des informations sensibles lors de tests réels, incluant :

• Courriels de Gmail et Proton Mail.
• Historique de localisation de Google Maps.
• Commandes passées sur Amazon.
• Événements privés du calendrier iCloud.

Le risque est élevé, les utilisateurs n’ayant qu’à visiter un site web malveillant pour devenir des victimes, sans nécessité d’installer un logiciel malveillant.

Apple reconnait le problème mais n’a pas encore de solution

Les chercheurs ont informé Apple de ces vulnérabilités en mars et septembre 2024. La société a confirmé l’existence des failles, mais jusqu’à présent, aucune mise à jour de sécurité n’a été publiée pour les corriger.

Apple a déclaré dans un communiqué : « Nous remercions les chercheurs pour leur collaboration, car ce concept nous aide à mieux comprendre ces types de menaces. D’après notre analyse, nous ne pensons pas que ce problème représente un risque immédiat pour nos utilisateurs. »

Cependant, des experts en cybersécurité avertissent que la situation est grave et pourrait être exploitée par des cybercriminels pour mener des attaques ciblées contre les utilisateurs des appareils Mac, iPhone et iPad dotés de ces puces vulnérables.

Comment se protéger en attendant un correctif ?

Dans l’attente d’une solution de la part d’Apple, les spécialistes recommandent :

• Désactiver JavaScript dans Safari et Chrome, bien que cela limite l’utilisation de nombreux sites web.
• Éviter d’accéder à des pages inconnues ou suspectes.
• Mettre à jour les appareils dès qu’Apple publie un correctif de sécurité.

Les vulnérabilités matérielles, telles que FLOP et SLAP, sont particulièrement dangereuses car elles ne peuvent pas être résolues par de simples ajustements logiciels, mais nécessitent des correctifs complexes au niveau du système d’exploitation.

Jusqu’à ce qu’Apple prenne des mesures concrètes, les utilisateurs doivent rester vigilants pour éviter de devenir victimes de ces attaques qui, sans bruit, peuvent extraire des données sensibles sans laisser de traces.

Source : Actualités Sécurité