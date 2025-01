Des chercheurs en cybersécurité ont découvert deux nouvelles vulnérabilités affectant les appareils Apple équipés des puces M2 ou A15 et plus récentes. Ces failles, baptisées SLAP et FLOP, concernent les iPhone, iPad, MacBook et iMac et pourraient permettre à des attaquants de lire des informations sensibles depuis les onglets ouverts dans un navigateur Web.

Selon Bleeping Computer, ces failles exposeraient ainsi les mots de passe, données bancaires et autres informations privées des utilisateurs.

Un problème matériel, pas logiciel

Contrairement à de nombreuses autres failles de sécurité, SLAP et FLOP ne résultent pas d’un bug logiciel, mais d’une faille matérielle directement liée à l’architecture des processeurs Apple. Ces vulnérabilités appartiennent à la catégorie des attaques par canal auxiliaire (side-channel attacks), un type d’exploitation qui analyse l’activité du processeur (consommation d’énergie, temps d’exécution, bruit émis) pour en déduire des informations sensibles.

Ce type d’attaque rappelle les fameuses failles Spectre et Meltdown découvertes en 2018, qui affectaient les processeurs Intel et AMD en raison d’un problème similaire d’exécution spéculative.

L’exécution spéculative : une optimisation qui ouvre la porte aux attaques

Dans un programme informatique, le processeur exécute une série d’instructions en prenant des décisions conditionnelles (« Si A, alors faire X, sinon faire Y »). Pour gagner du temps, les processeurs modernes utilisent une technique appelée exécution spéculative ou prédiction de branchement. Cette technique anticipe l’instruction la plus probable et la traite en avance, évitant ainsi d’attendre le résultat final pour poursuivre le calcul.

Cependant, ces prédictions peuvent être incorrectes. Lorsqu’elles se trompent, elles laissent des traces en mémoire ou dans le cache du processeur, traces qu’un attaquant peut exploiter pour récupérer des informations confidentielles.

SLAP et FLOP : quelles différences ?

Les deux nouvelles failles fonctionnent sur ce principe et touchent principalement la navigation Web :

SLAP (Data Speculation Attacks via Load Address Prediction on Apple Silicon) affecte exclusivement Safari et exploite les failles de prédiction de chargement de mémoire dans le moteur JavaScript du navigateur.

FLOP (Breaking the Apple M3 CPU via False Load Output Predictions) est plus large, car il affecte à la fois Safari et Chrome, rendant ainsi un plus grand nombre d’utilisateurs vulnérables.

Les chercheurs en cybersécurité ont démontré la faisabilité de ces attaques via des preuves de concept, mais aucune exploitation active par des cybercriminels n’a été détectée à ce jour.

Apple a été informé des vulnérabilités dès l’année dernière et a répondu aux chercheurs en reconnaissant la découverte, mais sans proposer de correctif immédiat. La seule déclaration officielle d’Apple, transmise à Bleeping Computer, est la suivante : « Nous remercions les chercheurs pour leur collaboration, car cette preuve de concept nous aide à mieux comprendre ces menaces. D’après notre analyse, nous ne pensons pas que ce problème représente un risque immédiat pour nos utilisateurs ».

Comment se protéger en attendant une mise à jour ?

Bien que ces failles n’impliquent aucun malware, elles nécessitent la visite d’un site Web malveillant pour être exploitées.

En attendant un correctif d’Apple, voici quelques recommandations :

Soyez vigilant avec les liens et sites inconnus : évitez de cliquer sur des URL suspectes.

Privilégiez les sites sécurisés (HTTPS) et connus pour limiter les risques d’attaques par navigateur.

Utilisez un bloqueur de scripts pour éviter l’exécution automatique de codes potentiellement malveillants.

Mettez à jour régulièrement votre macOS, iOS et vos navigateurs pour bénéficier des dernières protections disponibles.

Apple devrait prochainement publier un correctif via une mise à jour de sécurité. En attendant, une navigation prudente reste la meilleure protection contre ces nouvelles failles.