Il existe un correctif « instable » pour macOS, mais les iPhones et iPads sont limités au mode verrouillage ou JavaScript désactivé
TL;DR : Des chercheurs de Georgia Tech ont développé un exploit de canal secondaire pour les puces Apple des séries M et A exécutant macOS et iOS. L’attaque, intelligemment baptisée iLeakage, peut forcer Safari et d’autres navigateurs à révéler des messages Gmail, des mots de passe et d’autres informations sensibles et privées.
iLeakage fonctionne de manière similaire aux exploits Spectre et Meltdown qui ont causé tant de problèmes aux fabricants de puces en 2018. L’attaque exploite la fonction d’exécution spéculative des processeurs modernes pour accéder à des informations qui seraient normalement cachées.
La méthode développée par Georgia Tech n’est pas simple. Bien que cela ne nécessite pas d’équipement spécialisé, l’attaquant doit avoir une bonne connaissance de l’ingénierie inverse du matériel Apple et des exploits des canaux secondaires. Cela implique également la création d’un site Web malveillant qui utilise JavaScript pour ouvrir secrètement une autre page Web, Gmail, par exemple, afin de récupérer les données dans une fenêtre contextuelle distincte sur l’ordinateur du pirate informatique. Ce n’est pas un hack que les script kiddies pourraient exécuter.
La technique peut révéler le contenu d’un e-mail tant que l’utilisateur est connecté à Gmail (vidéo Masthead). Il peut également récupérer les informations d’identification si la victime utilise la fonction de remplissage automatique d’un gestionnaire de mots de passe (ci-dessus). Théoriquement, l’exploit pourrait montrer au pirate informatique pratiquement tout ce qui passe par le canal d’exécution spéculative du processeur. Ci-dessous, ils montrent comment accéder à l’historique YouTube d’une cible.
iLeakage utilise WebKit, il ne fonctionne donc qu’avec Safari sur les Mac équipés d’une puce de la série M (2020 ou version ultérieure). Cependant, tout navigateur sur les iPhones ou iPads récents est vulnérable car Apple exige que les développeurs utilisent son moteur de navigateur sur ces systèmes d’exploitation. On ne sait pas si la méthode pourrait être modifiée pour utiliser des navigateurs non WebKit sous macOS.
Bien qu’il n’y ait pas d’indicateur de suivi CVE, Georgia Tech a informé Apple du problème de sécurité le 12 septembre 2022. Les développeurs de Cupertino travaillent toujours à l’atténuer complètement. Au moment de la divulgation publique, Apple avait corrigé la vulnérabilité dans macOS, mais elle n’est pas activée par défaut et est considérée comme « instable ». Les chercheurs ont répertorié les étapes à suivre pour activer le correctif non perfectionné sous « Comment puis-je me défendre contre iLeakage ? » Les utilisateurs doivent être familiers avec Terminal et avoir besoin d’un accès complet au disque avant de continuer.
Actuellement, la seule mesure préventive pour les iPhones et iPads est de les mettre en mode verrouillage. Bien entendu, cela limite également considérablement les fonctionnalités d’iOS et d’iPadOS. Alternativement, les utilisateurs peuvent désactiver JavaScript si cela ne les dérange pas que certains sites Web ne s’affichent pas correctement.
Il n’y a aucune preuve que de mauvais acteurs aient utilisé la méthode d’iLeakage dans la nature. Cependant, maintenant que la divulgation publique a eu lieu, les utilisateurs doivent mettre en œuvre les méthodes d’atténuation disponibles et être attentifs aux sites qu’ils visitent.