Récemment, Microsoft a mis en lumière une faille de sécurité majeure dans macOS, capable de permettre à des applications malveillantes de contourner les protections de confidentialité du système. Nommée “SploitLight”, cette vulnérabilité exploite la façon dont Spotlight indexe les données des plugins, donnant ainsi accès à des fichiers sensibles et à des métadonnées d’Apple Intelligence. Bien qu’Apple ait corrigé ce problème en mars, les utilisateurs de versions antérieures pourraient encore être en danger.
Une faille inquiétante
Microsoft a alerté Apple dès la découverte de cette exploitation, ce qui a conduit à un correctif dans macOS plus tôt cette année. Selon le blog de sécurité de Microsoft :
Microsoft Threat Intelligence a identifié une vulnérabilité dans macOS qui pourrait permettre aux attaquants de dérober des données privées normalement protégées par la transparence, le consentement et le contrôle (TCC), comme les fichiers du dossier Téléchargements ainsi que les caches utilisés par Apple Intelligence.
Cette vulnérabilité, désignée sous le nom de “SploitLight”, se révèle plus préoccupante que d’autres contournements de TCC tels que HM-Surf et powerdir, en raison de sa capacité à extraire et à divulguer des informations sensibles, notamment des données de géolocalisation précises, des métadonnées de photos et vidéos, ainsi que des historiques de recherche.
Les implications de l’exploitation
Les risques sont amplifiés par la possibilité de liaison à distance entre les comptes iCloud. Un attaquant ayant accès à l’appareil macOS d’un utilisateur pourrait exploiter cette vulnérabilité pour accéder à des informations d’autres appareils liés au même compte iCloud.
Voici un résumé des étapes de l’exploitation :
- La faille cible le processus d’indexation des métadonnées par la recherche Spotlight de macOS.
- Les applications malveillantes installaient des plugins spécialement conçus dans des répertoires accessibles à l’utilisateur.
- Spotlight indexait ces plugins, permettant leur exécution sans interaction de l’utilisateur.
- Cela donnait accès à des emplacements protégés tels que les données de Safari et le dossier Téléchargements.
- Les métadonnées du cache d’Apple Intelligence pouvaient également être lues en raison de l’application laxiste du TCC.
- Cette exploitation contournait les protections de transparence, de consentement et de contrôle (TCC) en raison d’un défaut de conception.
Un correctif a été mis à disposition fin mars pour remédier à cette vulnérabilité, désormais identifiée comme CVE-2025-31199. Microsoft a remercié l’équipe de sécurité d’Apple pour sa collaboration et encourage tous les utilisateurs de macOS à appliquer ces mises à jour de sécurité sans délai.
Pour garantir une protection adéquate, il est essentiel que les utilisateurs mettent à jour leur système vers la version la plus récente de macOS. Microsoft a également fourni des détails techniques complets dans son post de recherche, incluant une démonstration de l’exploitation en action.