Cette brèche de sécurité touche des millions d'iPhone et de MacBook

Publié le 18 janvier 2024 à 14h52

Une brèche de sécurité qui touche des millions d'appareils à travers le monde © Pixabay

Pour peu que vous possédiez un iPhone 12 ou un Macbook Air M2, cette brèche de sécurité vous touche directement. Et malheureusement, il n'y a pas grand-chose à faire pour la contrer…

Contrairement à une idée reçue qu'il serait temps de jeter par la fenêtre, les appareils de chez Apple ont à peu près autant de chance d'être hackés que les smartphones Android ou les ordinateurs bénéficiant de Windows. Les brèches de sécurité ne sont pas uniquement l'apanage de Google & Microsoft, et l'on en a une fois de plus l'exemple aujourd'hui, avec cette trouvaille du site Trail of Bits, qui a découvert un problème de protection lié à certains modèles d'iPhone ou de MacBook.

Les iPhone 12 et les possesseurs de MacBook Air M2 directement touchés

Le site Trails of Bits a pu découvrir une brèche de sécurité sur plusieurs appareils Apple. Cette faille de sécurité passe explicitement par le GPU des appareils, et même si certains modèles d'iPhone et de MacBook ont bénéficié rapidement d'une mise à jour de sécurité pour régler le problème, ce n'est toujours pas le cas pour les iPhone 12 et MacBook Air M2. Les chercheurs du site ont ainsi découvert une vulnérabilité dans les processeurs graphiques fabriqués par Apple, Qualcomm et d'autres. En employant cette brèche, un hacker peut ainsi bénéficier à un accès local à votre iPhone 12 ou MacBook Air M2, et ainsi lire vos données. Cela correspond à des millions d'appareils à travers le monde.

Peut-on faire quelque chose pour se protéger contre cette brèche ? © Pixabay

Que faire contre cette brèche de sécurité ?

D'une part, si vous possédez un modèle plus récent que les iPhone 12 et les MacBook Air M2, vous êtes tranquille : Apple a confirmé auprès de Trails of Bits que les puces A17 et M3 contiennent des correctifs pour la brèche. D'autre part, certains appareils ont été patchés par Apple depuis l'annonce du problème, comme l'iPad Air 3e génération (puce A12). Cependant, le MacBook Air M2 est toujours impacté par le souci, au même titre que l'iPhone 12. Alors, que faire si vous possédez l'un de deux appareils ?

Eh bien, malheureusement, pas grand-chose. Heureusement, il n'est pas pour autant nécessaire de s'inquiéter outre mesure quant à cette brèche de sécurité : cette exploitation du GPU est assez aisée à employer pour des hackers, mais puisqu'ils nécessitent un accès local, il n'y a pas trop de souci à se faire dans l'ensemble quant à de potentielles attaques liées. Par ailleurs, une mise à jour devrait être proposée bientôt par Apple pour corriger ce défaut auprès des appareils toujours concernés.

Bitdefender

moodEssai 30 jours
devices3 à 10 appareils
phishingAnti-phishing inclus
local_atmAnti-ransomware inclus
groupsContrôle parental inclus

9.5 / 10

Voir le site

Lire le test

Source : TrailofBits via BGR.com

Par Benoit Bayle

Geekonoclaste permanent, je m'intéresse autant aux jeux vidéo (avec une petite faiblesse particulière pour les JRPG) qu'à l'high-tech. Je cherche à la fois l'originalité et l'inventivité, que ce soit derrière une manette ou à l'écrit sur mon clavier

Articles de Benoit Bayle

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (4)

Maraut

«…les appareils de chez Apple ont à peu près autant de chance d’être hackés…»
Je n’appellerai pas ça une chance, plutôt une probabilité !

mcbenny

« Les chercheurs du site ont ainsi découvert une vulnérabilité dans les processeurs graphiques fabriqués par Apple, Qualcomm et d’autres. »
Ce n’est donc pas une faille « Apple », mais peut-être plus logicielle, partagées par plusieurs constructeurs, on est d’accord qu’en fait, rien n’est dit sur la faille en question à part qu’elle touche le GPU.

Faisduvelo

…et qu’il faut aussi un accès local pour en tirer partie !
Donc le risque, c’est que quelqu’un pique ton iPhone pour utiliser la brèche de sécurité ?
A mon avis, comme il risque de ne pas te le rendre, le problème est résolu, tu peux acheter un nouveau téléphone qui n’a pas le problème !

tfpsly

C’est un problème principalement matériel. Les A15 ont eu un correctif, donc ça semble hardware en général. Même si Qualcomm et Imagination ont réussi à faire un fix dans leur driver.
Mais le pb est mineur : des kernels GPGPU peuvent lire de la mémoire vidéo d’autres kernels GPGU. Très peu de chance d’y trouver quelque chose de très intéressant.
C’est aussi pourquoi plusieurs constructeurs sont touchés : c’est un programme GPGPU générique (probablement OpenCL), qui touchera tous les GPUs avec ce défaut de protection mémoire.

General-purpose graphics processing unit (GPGPU) platforms from AMD, Apple, and Qualcomm fail to adequately isolate process memory …
…
Researchers at Trail of Bits have uncovered a vulnerability in which a GPU kernel can observe memory values from a different GPU kernel, even when these two kernels are isolated between applications, processes, or users. The specific region of memory that this behavior was observed is referred to as local memory, essentially this is a software-managed cache, similar to the L1 cache in CPUs. The size of this memory region can vary across GPUs from 10’s of KB to several MB. Trail of Bits have shown that this vulnerability can be observed through various programming interfaces, including Metal, Vulkan, and OpenCL, on various combinations of operating systems and drivers. Trail of Bits’ research and testing, utilizing open-source software libraries, have identified platforms from AMD, Apple, and Qualcomm that exhibit this behavior. During the testing phase, this issue was not observed on NVIDIA devices. For further information review the information provided by Apple, AMD and Google in the Vendor Information section.