The vulnerabilities SLAP and FLOP affect all current Apple devices as well as many older devices.

Des chercheurs en sécurité ont découvert deux failles présentes dans tous les iPhones, iPads et Mac actuels - ainsi que dans de nombreux modèles plus anciens. Ces vulnérabilités, connues sous le nom de SLAP et FLOP, pourraient potentiellement permettre à un attaquant de voir le contenu actuel des onglets web ouverts sur votre appareil.

Les faiblesses ont été introduites dans les microprocesseurs A15 et M2, et sont également présentes dans les versions ultérieures de chaque appareil, allant jusqu'au dernier modèle disponible.

Qu'est-ce que SLAP et FLOP ?

SLAP (Attaques de spéculation par prédiction d'adresse de chargement) et FLOP (Prédictions fausses de sortie de charge) ont été découvertes par les chercheurs en sécurité à l'Georgia Institute of Technology. Ils fonctionnent de la même manière que Spectre et Meltdown.

Toutes ces vulnérabilités proviennent d'une approche utilisée par Apple et d'autres designers de puce pour accélérer les temps de traitement. On appelle cela l'exécution prévisible, l'idée est que la puce tente d'anticiper les commandes futures les plus probables et charge en avance les données nécessaires à leur exécution.

Si un attaquant peut injecter des données malformées dans ces processus, il peut lire le contenu de la mémoire qui ne devrait pas être accessible.

Quelles sont les vulnérabilités ?

Chaque onglet dans Safari doit être sandboxé. Autrement dit, un site web ouvert dans un onglet ne peut pas accéder aux données d'un autre site web ouvert dans un autre onglet.

Avec SLAP, si un attaquant peut vous faire croire de visiter un site web compromis, ils peuvent ensuite accéder aux données de n'importe quel autre onglet Safari que vous avez ouvert. Par exemple, il pourrait lire vos e-mails, voir votre emplacement sur les cartes Apple, voir vos détails bancaires, et ainsi de suite.

FLOP peut faire la même chose, mais il est plus puissant et fonctionne avec Chrome ainsi que Safari.

Aucun logiciel malveillant n'est nécessaire sur votre Mac – les attaques sont menées en exploitant des faiblesses dans le propre code d'Apple, et il est très peu de chances de détecter que l'une de ces attaques est en cours.

Quels appareils sont vulnérables?

Tout appareil Apple avec un processeur A15 ou plus tardif, ainsi que ceux équipés d'un processeur M2 ou plus tardif. Les chercheurs ont confirmé que les appareils suivants sont vulnérables :

Sous iPhone:

• iPhone 13
• iPhone 14
• iPhone 15
• iPhone 16
• iPhone 17

Sous iPad:

• iPad (8th generation)
• iPad Pro (2021)

Sous Mac:

• MacBook Air M1/M1 Pro/M1 Max
• MacBook Pro M1/M1 Pro/M1 Max
• iMac (M1, M2)
• Mac mini M1/M2

Quel est le risque réel dans le monde du travail ?

Les chercheurs affirment qu'il n'y a pas d'évidence que ces vulnérabilités aient été exploitées dans le monde réel jusqu'à présent.

Apple a travaillé pendant un certain temps pour corriger les deux failles depuis que la société a été informée pour la première fois - en mai 2024 pour SLAP, et en septembre 2024 pour FLOP.

La société a émis une brève déclaration à Bleeping Computer :

Selon notre analyse, nous ne croyons pas que ce problème pose un risque immédiat pour nos utilisateurs.

Il n'y a actuellement aucune précaution que vous ne puissiez prendre en plus du soin habituel que de faire preuve de prudence sur les sites Web que vous visitez.