Récemment, des chercheurs en sécurité ont mis au jour des vulnérabilités affectant tous les modèles récents d’iPhones, d’iPads et de Macs. Ces failles, désignées sous les noms de SLAP et FLOP, pourraient permettre à un individu malintentionné de consulter le contenu des onglets ouverts dans votre navigateur. Cette découverte soulève des inquiétudes concernant la sécurité des données personnelles.
Découvrez SLAP et FLOP
Les vulnérabilités SLAP (spéculation d’attaques via prédiction d’adresse de chargement) et FLOP (prédictions de chargement erronées) ont été mises en lumière par l’Institut de Technologie de Géorgie. Similaires à Spectre et Meltdown, elles exploitent une technique utilisée par Apple pour améliorer les performances des appareils.
En effet, ces failles proviennent de l’exécution spéculative, qui permet au processeur d’anticiper les instructions à venir et de charger les données nécessaires avant même qu’elles ne soient demandées. Si un attaquant parvient à injecter des données malveillantes lors de ce processus, il peut alors accéder à des informations sensibles.
Quels sont les impacts majeurs ?
Normalement, chacun des onglets dans Safari est isolé, ce qui empêche les sites d’accéder aux données d’autres onglets. Cependant, grâce à SLAP, un site piégé peut accéder aux informations de vos autres onglets, telles que vos mails, votre localisation sur Apple Maps ou vos coordonnées bancaires.
Par ailleurs, FLOP peut causer des dégâts semblables, mais fonctionne aussi sur Chrome, rendant la situation encore plus préoccupante. Aucune malware n’est nécessaire, car ces vulnérabilités exploitent des défauts dans le code d’Apple, rendant difficile la détection d’une attaque.
Les appareils concernés
Tous les appareils Apple dotés d’une puce A15 ou M2, ainsi que ceux ultérieurs, sont potentiellement affectés. Les chercheurs ont identifié les modèles suivants comme vulnérables :
iPhone :
- iPhone 13
- iPhone 14
- iPhone 15
- iPhone 16
- iPhone SE (3ème génération)
iPad :
- iPad Air depuis 2021
- iPad Pro depuis 2021
- iPad mini depuis 2021
Mac :
- MacBook Air depuis 2022
- MacBook Pro depuis 2022
- Mac mini depuis 2023
- Mac Studio depuis 2023
- iMac depuis 2023
- Mac Pro (2023)
Risques réels et précautions : jusqu’à présent, aucune preuve n’indique que ces vulnérabilités aient été exploitées. Apple travaille activement à résoudre ces problèmes depuis leur notification. Selon l’entreprise, aucune menace immédiate ne pèse sur les utilisateurs, mais il est toujours prudent de rester vigilant face aux sites que l’on visite.
Image : Collage de Netcost-security.fr utilisant une photo d’Apple.