Des chercheurs en sécurité ont récemment découvert deux vulnérabilités dans les puces conçues par Apple qui équipent les Mac, les iPhone et les iPad qui laissent fuiter des informations. Baptisées SLAP et FLOP, ces deux failles de sécurité pourraient permettre à un pirate d'utiliser une page web malveillante pour espionner le contenu d'autres pages web, lui donnant ainsi accès à distance à l'historique de navigation, aux données des cartes de crédit, aux courriels, aux informations de localisation, et bien d'autres choses encore. L'accès physique à un appareil n'est pas nécessaire et l'attaque peut être exécutée par le biais d'un site malveillant qui contourne les protections du navigateur d'Apple.SLAP et FLOP ont été révélées à Apple en mai 2024 et septembre 2024, respectivement, et bien que les faiblesses n'aient pas encore été corrigées, les chercheurs qui ont signalé le problème ont été informés qu'Apple prévoyait de corriger les vulnérabilités dans une prochaine mise à jour de sécurité.
Ces failles, qui affectent les processeurs des dernières générations de puces Apple des séries A et M, les rendent vulnérables aux attaques par canal latéral, une catégorie d'exploit qui déduit des secrets en mesurant des manifestations telles que le temps, le son et la consommation d'énergie. Les deux canaux latéraux sont le résultat de l'utilisation par les puces de l'exécution spéculative, une optimisation des performances qui améliore la vitesse en prédisant le flux de contrôle que les CPU devraient prendre et en suivant ce chemin, plutôt que l'ordre des instructions dans le programme.
Le silicium d'Apple affecté donne à l'exécution spéculative de nouvelles orientations. En plus de prédire le flux de contrôle que les CPU doivent prendre, il prédit également le flux de données, comme l'adresse mémoire à partir de laquelle il faut charger et la valeur qui sera renvoyée de la mémoire.
« À partir de la génération M2/A15, les processeurs Apple tentent de prédire la prochaine adresse mémoire à laquelle le cœur accèdera », expliquent les chercheurs. « En outre, à partir de la génération M3/A17, ils tentent de prédire la valeur des données qui sera renvoyée par la mémoire. Cependant, des erreurs de prédiction dans ces mécanismes peuvent entraîner des calculs arbitraires sur des données hors limites ou des valeurs de données erronées. »
Ces erreurs de prédiction peuvent avoir des implications concrètes en matière de sécurité, comme l'évasion du bac à sable du navigateur web et la lecture croisée d'informations personnelles identifiables sur Safari et Chrome, comme le démontrent les deux articles.
Les attaques sont exécutées à distance via un navigateur web à l'aide d'une page web malveillante contenant du code JavaScript ou WebAssembly conçu pour les déclencher.
Les chercheurs ont révélé les failles à Apple le 24 mars 2024 (SLAP) et le 3 septembre 2024 (FLOP).
Apple a reconnu la preuve de concept partagée et a déclaré qu'elle prévoyait de résoudre les problèmes. Toutefois, à l'heure où nous écrivons ces lignes, les failles n'ont toujours pas été corrigées.
« Nous tenons à remercier les chercheurs pour leur collaboration, car cette preuve de concept nous permet de mieux comprendre ce type de menaces », a déclaré Apple. « D'après notre analyse, nous ne pensons pas que ce problème pose un risque immédiat pour nos utilisateurs. »
Bien que l'entreprise affirme que ces failles ne posent pas de risque immédiat, l'histoire a montré que les cybercriminels sont souvent prompts à exploiter de nombreuses faiblesses.
FLOP
La plus puissante des deux attaques par canal latéral s'appelle FLOP. Elle exploite une forme d'exécution spéculative mise en œuvre dans le prédicteur de valeur de charge (LVP pour load value predictor) de la puce, qui prédit le contenu de la mémoire lorsqu'il n'est pas immédiatement disponible.
Les chercheurs ont démontré l'attaque FLOP en poussant l'unité centrale M3 d'Apple à faire des suppositions erronées après l'avoir entraînée au moyen d'une boucle d'exécution qui charge une valeur constante spécifique et déclenche ensuite une prédiction erronée.
Tant que l'unité centrale reste dans cet état incorrect, elle laisse échapper des données par le biais d'une attaque de synchronisation de la mémoire cache. Cette fuite dure suffisamment longtemps pour que les chercheurs mesurent les temps d'accès à la mémoire et déduisent la valeur secrète avant la correction de cet état.
Grâce à FLOP, les chercheurs ont démontré qu'ils pouvaient s'échapper du bac à sable de Safari, récupérer les informations relatives à l'expéditeur et à l'objet de la boîte de réception de Proton Mail, voler l'historique de localisation de Google Maps et récupérer les événements privés du calendrier iCloud.
SLAP
Le SLAP, quant à lui, abuse du prédicteur d'adresse de chargement (LAP pour load address predictor ). Alors que le LVP prédit les valeurs du contenu de la mémoire, le LAP prédit les emplacements de la mémoire où les données d'instruction peuvent être accédées.
Un pirate peut « entraîner » l'unité centrale à anticiper un modèle d'accès à la mémoire spécifique, puis la manipuler pour qu'elle accède à des données secrètes en modifiant brusquement l'agencement de la mémoire, de sorte que la prédiction suivante pointe vers le secret.
L'unité centrale, se fiant à sa prédiction, lit et traite les données sensibles avant de se rendre compte de l'erreur et de la corriger, ce qui permet à un pirate d'exploiter la synchronisation du cache ou d'autres canaux latéraux pour déduire les données divulguées.
En exécutant l'attaque SLAP de manière répétée, l'attaquant peut reconstituer les informations volées, par exemple en récupérant les données de la boîte de réception de Gmail, les commandes et les données de navigation d'Amazon, ainsi que l'activité des utilisateurs sur les réseaux sociaux.
Comment ces attaques affectent les utilisateurs quotidiens
Contrairement aux cybermenaces habituelles, qui s'appuient sur des logiciels malveillants ou sur l'hameçonnage, ces attaques par canal latéral exploitent la manière dont les processeurs d'Apple prédisent et traitent les données. Les pirates peuvent utiliser JavaScript sur une page web malveillante pour manipuler le comportement du processeur et extraire des informations sensibles avant que le système ne se corrige de lui-même. Il suffirait donc qu'une victime visite un site web malveillant pour que les secrets soient divulgués, contournant ainsi le sandboxing du navigateur, l'ASLR et les protections traditionnelles de la mémoire.
Pour les particuliers, cela présente de sérieux risques. Les données personnelles, y compris les courriels, l'historique des achats et les événements du calendrier privé, pourraient être consultées à l'insu de l'utilisateur. Le risque d'usurpation d'identité augmente également, car les informations exposées peuvent être utilisées pour usurper l'identité des victimes ou accéder à d'autres comptes.
Ce qui rend ces attaques particulièrement inquiétantes, c'est qu'elles ne s'appuient pas sur des logiciels malveillants traditionnels. Contrairement aux escroqueries par hameçonnage ou aux virus qui nécessitent de cliquer sur des liens suspects ou de télécharger des fichiers malveillants, la simple visite d'un site web compromis peut suffire pour qu'une attaque se produise.
Les scripts utilisés dans les sites web de démonstration exécutent une séquence de chargements de mémoire conçus pour manipuler les FLOP et SLAP d'Apple, de sorte qu'aucune infection par un logiciel malveillant n'est nécessaire. Les navigateurs modernes permettent des calculs avancés, qui servent effectivement d'outils d'attaque dans ce cas.
Pour ne rien arranger, les logiciels antivirus traditionnels n'offrent qu'une faible protection contre ces menaces, car ils exploitent le comportement de l'unité centrale plutôt que d'installer un code malveillant, ce qui les rend beaucoup plus difficiles à détecter et à atténuer.
Comment vous protéger
En attendant qu'Apple publie des correctifs de sécurité, vous pouvez prendre des mesures proactives pour réduire les risques associés à ces vulnérabilités. Voici quelques mesures clés que vous pouvez prendre :
1. Envisagez de désactiver JavaScript pour les sites web non fiables : Les attaques FLOP et SLAP reposent sur l'exécution de JavaScript dans votre navigateur web. La désactivation temporaire de JavaScript dans Safari ou Chrome peut contribuer à atténuer le risque. Cependant, sachez que de nombreux sites web utilisent JavaScript pour leurs fonctionnalités, ce qui peut avoir un impact sur votre expérience de navigation.
2. Maintenez votre navigateur et votre système d'exploitation à jour
Veillez à :
- Mettre régulièrement à jour macOS et iOS en activant les mises à jour automatiques.
- Maintenez Safari et Chrome à jour dans leurs dernières versions, car les éditeurs de navigateurs peuvent introduire des mesures d'atténuation avant qu'Apple ne publie un correctif au niveau du processeur.
3. Utilisez un navigateur axé sur la protection de la vie privée : Des navigateurs comme Brave, DuckDuckGo et Firefox mettent l'accent sur la protection de la vie privée et la sécurité, offrant des couches supplémentaires de protection contre le suivi et les attaques basées sur le navigateur.
4. Activez des paramètres de confidentialité et de sécurité stricts
Améliorez la sécurité de votre navigateur en
- Bloquant les cookies de tiers.
- En utilisant le mode de navigation privée pour limiter l'exposition des données.
- En activant la protection renforcée contre le suivi (disponible dans Firefox et Brave).
5. Soyez prudent avec les sites web inconnus Évitez de visiter des sites web inconnus ou suspects, en particulier ceux qui promettent des téléchargements gratuits, des cadeaux ou des contenus exclusifs. Les cybercriminels créent souvent de faux sites pour exploiter les vulnérabilités des navigateurs.
6. Envisagez l'utilisation d'un bloqueur de publicité : Les publicités malveillantes (malvertising) peuvent être utilisées pour exécuter ces attaques, même sur des sites web légitimes. Installez un bloqueur de publicité réputé comme uBlock Origin ou AdGuard pour empêcher les scripts malveillants de s'exécuter dans votre navigateur.
7. Évitez d'utiliser le Wi-Fi public pour la navigation sensible : Étant donné que ces attaques peuvent être exécutées à distance, la navigation sur des comptes sensibles (comme les comptes bancaires, les courriels ou les dossiers médicaux) sur un réseau Wi-Fi public peut augmenter l'exposition. Si nécessaire, utilisez un VPN pour chiffrer votre connexion.
8. Suivez les mises à jour de sécurité d'Apple : Suivez la page de sécurité d'Apple et abonnez-vous à des sources d'information sur la cybersécurité. En matière de cybersécurité, la sensibilisation est votre meilleure défense.
Source : chercheurs
Et vous ?
Peut-on reprocher aux chercheurs d’avoir rendu cette vulnérabilité publique, au risque de donner des idées aux cybercriminels ? Les attaques par canaux auxiliaires sont connues depuis longtemps : pourquoi sont-elles encore si difficiles à prévenir ? Quelles solutions matérielles et logicielles pourraient être mises en place pour limiter ces risques à l’avenir ?