Des chercheurs de Georgia Tech ont mis au point une attaque de canal auxiliaire pour les puces Apple des séries M et A fonctionnant sous macOS et iOS. L’attaque, astucieusement baptisée iLeakage, peut forcer Safari et d’autres navigateurs à révéler des messages Gmail, des mots de passe et d’autres informations sensibles et privées.
Une attaque qui touche les appareils Apple
L’attaque iLeakage fonctionne de manière similaire aux attaques Spectre et Meltdown qui ont donné tant de fil à retordre aux fabricants de puces en 2018. L’attaque tire parti de la fonction d’exécution spéculative des processeurs modernes pour accéder à des informations qui seraient normalement cachées.
La méthode mise au point par Georgia Tech, bien qu’elle ne nécessite pas d’équipement spécialisé, requière de l’attaquant une certaine connaissance de la rétro-ingénierie du matériel Apple et des attaques de canal auxiliaire. Il s’agit également de créer un site internet malveillant qui utilise JavaScript pour ouvrir secrètement une autre page web, Gmail par exemple, afin de récupérer des données dans une fenêtre contextuelle distincte sur l’ordinateur du pirate. Il ne s’agit pas d’un piratage que des amateurs en programmation pourraient exécuter.
La technique révèle le contenu d’un courriel tant que l’utilisateur est connecté à Gmail. Elle peut également s’emparer d’informations d’identification si la victime utilise la fonction de remplissage automatique d’un gestionnaire de mots de passe. En théorie, l’exploit peut montrer au pirate pratiquement tout ce qui passe par le système d’exécution spéculative du processeur.
Comment l’attaquant accède à l’historique YouTube d’une cible ?
iLeakage utilise WebKit, et ne fonctionne qu’avec Safari et sur les Mac dotés d’une puce de série M (2020 ou ultérieure). Cependant, tous les navigateurs des iPhones et iPads récents sont vulnérables, car Apple exige des développeurs qu’ils utilisent son moteur de navigation sur ces systèmes d’exploitation. Il n’est pas certain que la méthode puisse être modifiée pour utiliser des navigateurs non-WebKit dans macOS.
Bien qu’il n’y ait pas de désignation de suivi CVE, Georgia Tech a notifié Apple du problème de sécurité le 12 septembre 2022. Les développeurs de Cupertino travaillent encore à l’atténuer complètement. Au moment de la divulgation publique, Apple avait déployé une correction dans macOS, qui n’est pas activée par défaut et est considérée comme instable. Les chercheurs ont indiqué les étapes à suivre pour activer le correctif non perfectionné dans la rubrique « Comment puis-je me défendre contre iLeakage ? » Les utilisateurs doivent être familiarisés avec Terminal et avoir un accès complet au disque avant de procéder.
Comment se prémunir d’une attaque iLeakage ?
Actuellement, la seule mesure préventive pour les iPhones et les iPads consiste à les mettre en mode verrouillage. Bien entendu, cela limite considérablement les fonctionnalités d’iOS et d’iPadOS. Les utilisateurs peuvent également désactiver JavaScript s’ils ne voient pas d’inconvénient à ce que certains sites web ne s’affichent pas correctement.
Rien ne prouve que des acteurs malveillants aient utilisé la méthode d’iLeakage dans la nature. Cependant, maintenant qu’une divulgation publique a eu lieu, les utilisateurs devraient mettre en œuvre les méthodes d’atténuation disponibles et faire attention aux sites qu’ils visitent.
