De nouvelles vulnérabilités menacent les puces Apple : ce que vous devez savoir
Des universités techniques américaines et allemandes découvrent "SLAP" et "FLOP". Ces deux vulnérabilités menacent toutes les puces Apple à partir du modèle M2 ainsi que certains processeurs A. Apple réagit timidement.
"SLAP" et "FLOP" sont les deux failles de sécurité qui menacent actuellement la sécurité de divers appareils Apple. Cela a été annoncé au début de la semaine. Tous les appareils équipés d'une puce M2 ou plus récente peuvent être potentiellement affectés. Mais les processeurs mobiles A15 et plus récents pourraient également exploiter ces deux vulnérabilités.
Que font exactement "SLAP" et "FLOP"?
"SLAP" signifie "Speculation Attacks via Load Address Prediction" et concerne le "Load Address Predictor" (prédicteur d'adresse de charge).
Ce "Load Address Predictor" est chargé de prédire de quelle adresse mémoire le processeur aura besoin ensuite. La vulnérabilité "SLAP" le pousse à faire de fausses prédictions. Ainsi, un code malveillant introduit via "SLAP" peut accéder à des zones de mémoire où il n'a rien à faire. Ainsi, les attaquants pourraient théoriquement récupérer des données sur vos appareils.
Le "FLOP" signifie "False Load Output Predictions" et concerne le "Load Value Predictor". Celui-ci tente de prédire quelles valeurs reviendront de la mémoire dans laquelle le processeur a stocké des données. Les puces modernes font cela pour que les opérations soient effectuées plus efficacement et plus rapidement. Cependant, lorsque le "FLOP" entre en action, il pourrait fournir des valeurs erronées au "Load Value Predictor" et ainsi contourner les mécanismes de sécurité. Là encore, des données sensibles comme des mots de passe ou des données personnelles sont en danger.
Apple semble détendu
Apple considère ces deux failles comme "ne présentant pas de risque immédiat pour les utilisateurs". Bien que l'entreprise ait été alertée des problèmes par l'université de la Ruhr à Bochum et par une université de l'État de Géorgie aux États-Unis en septembre 2024, elle n'a pas encore appliqué de correctif aux failles. Actuellement, celle-ci n'a apparemment pas encore été activement exploitée - mais cela peut arriver à tout moment.
Source : Florian Bodoky
En attendant le correctif, vous pourriez par exemple désactiver la fonction JavaScript sous Safari (Safari>Préférences>Sécurité>Décocher Javascript). Mais attention : cela aide à lutter contre les attaques, mais causera parfois des problèmes de compatibilité avec certains sites. Sinon, il vaut la peine de vérifier régulièrement si Apple propose des mises à jour.
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.