Une nouvelle vulnérabilité menace les utilisateurs d’iPhone, exposant leurs données sensibles à des hackers. Découverte par des chercheurs, cette faille permet d’accéder à des informations privées simplement en naviguant sur des sites compromis, remettant en question la sécurité tant vantée des appareils Apple.
L’iPhone est souvent considéré comme un symbole de sécurité et de protection. Apple se conforme à ce principe, s’efforçant de préserver la sécurité de ses utilisateurs. Cependant, une nouvelle faille de sécurité a été identifiée, rendant le vol de données personnelles très facile. Cela semblerait avoir été ignoré par la société, avec des conséquences potentiellement graves, un simple accès à Internet étant suffisant pour être ciblé par les attaquants.
Nouvelle faille de sécurité de l’iPhone
Les SoCs de la série A d’Apple sont reconnus pour leur rapidité, leur efficacité et leur sécurité. Cependant, une vulnérabilité récemment identifiée remet en question cette réputation. Des chercheurs ont mis au jour des failles sévères dans les processeurs A15, A16 et A17, permettant potentiellement aux hackers de dérober des données personnelles simplement en accédant à un site mal intentionné.
Une équipe d’experts en sécurité de Georgia Tech et de l’Université Ruhr a dévoilé deux failles dans les SoCs A15, A16 et A17. Ces processeurs alimentent les modèles iPhone 13, 14, 15 et 16. Appelées FLOP (False Load Sortie Prediction) et SLAP (Speculative Load Address Prediction), ces vulnérabilités permettent aux cybercriminels de manipuler la manière dont les SoCs d’Apple traitent les données pour améliorer les performances.
Ce qui est particulièrement alarmant, c’est que ces attaques ne nécessitent ni malware, ni phishing, ni même un accès physique à l’iPhone. Les hackers peuvent exploiter ces failles à distance. Il leur suffit d’injecter du code JavaScript ou WebAssembly malveillant sur un site. Ainsi, quiconque visitant l’une de ces pages infectées risque de voir ses informations confidentielles dévoilées à son insu.
Des hackers volent des données en naviguant sur Internet
Les chercheurs en sécurité ont testé ces failles dans des scénarios réels et ont découvert que les attaquants pouvaient accéder à divers services comme la boîte Gmail, l’historique des commandes Amazon, l’activité sur Reddit, le suivi de localisation sur Google Maps et les événements du calendrier iCloud. Un seul de ces accès est déjà préoccupant, mais la combinaison de tous est véritablement alarmante.
Le fonctionnement de ces attaques est, comme mentionné, relativement simple. Les attaques FLOP ciblent les SoCs A17, présents dans l’iPhone 15 Pro et Pro Max. Les hackers peuvent alors manipuler les prévisions de mémoire pour accéder à des données sensibles. Les attaques SLAP, quant à elles, visent les SoCs A15 et ultérieurs, présents dans les iPhone 13, 14 et 15. Ce procédé trompe le processeur en lui faisant mal interpréter les adresses mémoire, exposant ainsi des informations confidentielles.
Apple a été alertée de ces problèmes de sécurité en mars et septembre 2024, mais aucune correction officielle n’a encore été publiée. L’entreprise a minimisé les risques, affirmant que d’après leurs analyses, cette vulnérabilité ne constituait pas une menace immédiate pour les utilisateurs. En attendant, les experts en sécurité recommandent de désactiver JavaScript dans Safari et Chrome, ce qui rendra de nombreux sites inutilisables.