La puce M1 de Apple a une faille de sécurité majeure et on ne peut rien y faire !

‎Des chercheurs du Laboratoire d’informatique et d’intelligence artificielle (CSAIL) du MIT ont découvert une nouvelle vulnérabilité dans ‎‎le processeur M1 d’Apple‎‎. L’attaque s’appelle PACMAN et peut contourner la dernière ligne contre les bogues logiciels sur le M1 ainsi que sur d’autres processeurs ARM.‎

‎PACMAN attaque l’authentification par pointeur qui est le dernier arrêt pour la plupart des failles logicielles. L’authentification par pointeur est utilisée pour confirmer qu’un programme n’a été modifié d’aucune manière. Il sert également de « couverture de sécurité… dans le pire des scénarios », selon Joseph Ravichandran, doctorant au MIT. Les chercheurs du MIT ont créé PACMAN pour contourner ce mécanisme de sécurité crucial et deviner la signature d’authentification du pointeur. Les chercheurs affirment que PACMAN exploite un mécanisme matériel et qu’un correctif logiciel ne sera donc pas en mesure de corriger ‎

La puce M1 de Apple a une faille de sécurité majeure mais il ne peuvent rien faire !

‎Cette attaque implique l’exécution de toutes les valeurs d’authentification de pointeur possibles via un canal latéral matériel, qui détermine si la supposition était correcte. Il s’agit d’une exécution spéculative, qui exécute essentiellement une tâche informatique qui n’est pas nécessaire pour le moment. Tout se fait sans la présence de PACMAN.‎

‎Ravichandran, co-auteur du rapport PACMAN, a déclaré que l’authentification par pointeur peut être utilisée pour protéger votre système contre la saisie par des attaquants, même si tout le reste échoue. « Nous avons montré que l’authentification par pointeur n’est pas aussi fiable que nous le pensions.‎

‎Pour l’instant, ce n’est pas un problème‎

‎Les chercheurs du MIT affirment que PACMAN n’est pas une préoccupation pour le M1 ou d’autres systèmes basés sur ARM utilisant l’authentification par pointeur. PACMAN permet aux bogues logiciels bloqués par l’authentification par pointeur de passer. PACMAN ne peut rien faire s’il y a une faille logicielle.‎

‎Apple réagit rapidement aux failles de sécurité. Apple a payé 100 000 $ à un étudiant pour avoir découvert ‎‎le piratage de la webcam sur Mac‎‎ au début de cette année. ‎‎Une mise à niveau de MacOS Monterey en mars‎‎ a corrigé deux failles de sécurité critiques auxquelles les Mac étaient confrontés. Le MIT affirme que l’attaque PACMAN était plus axée sur les processeurs à l’avenir. Antonio Masiello/Getty Images‎ .

‎Ravichandran a déclaré que le M1 était la seule cible et qu’Apple serait informé du problème en 2021. Il a aussi déclaré que la préoccupation n’est pas de savoir si les processeurs ARM actuels ont des vulnérabilités, mais si les futures unités de traitement ARM seront vulnérables. Nous avons contacté ARM pour en savoir plus sur la vulnérabilité. ARM prévoit de mettre à jour le ‎‎site du développeur ARM Security Center‎‎ une fois son enquête terminée.‎

‎Pour l’instant, ce n’est pas un problème‎

‎Apple a également répondu à notre demande. Nous avons conclu que ce problème ne constitue pas un risque pour les utilisateurs et ne peut pas contourner les protections de sécurité du système d’exploitation sur la base de notre analyse.‎

‎Bien que PACMAN ne soit pas une menace pour le M1, le MIT a fait des découvertes intéressantes. Apple vient de ‎‎dévoiler son processeur M2‎‎. Cela utilise probablement l’authentification par pointeur. Ravichandran a quelques suggestions pour les problèmes potentiels qui pourraient survenir avec PACMAN avec les futurs modèles de puces: « Les développeurs ne devraient pas compter uniquement sur l’authentification par pointeur pour protéger leur logiciel. »‎

‎Apple semble ne pas s’en soucier, tout comme les chercheurs du MIT. Ravichandran a déclaré que l’authentification par pointeur, même si elle est utilisée partout dans les binaires compatibles PAC (tels que le noyau macOS), ne fonctionne que comme une dernière étape d’exploitation lorsque tout le reste a été contourné.‎

‎Cependant, cela ne signifie pas nécessairement que PACMAN est inoffensif. Ravichandran a averti que « l’utilisation de PACMAN comme contournement de l’authentification par pointeur ouvre la porte à l’exécution arbitraire de programmes, ce qui donnerait à un attaquant un contrôle total sur un appareil ». Les chercheurs pensent également que les futurs processeurs ARM qui utilisent l’authentification par pointeur pourraient être vulnérables.‎

‎Ce n’est pas la première fois que le M1 est affecté par une vulnérabilité. Les chercheurs ont découvert une ‎‎faille de sécurité matérielle dans le M1‎‎ en mai. Cependant, il n’a pas été considéré comme un problème grave et n’a pas causé de problèmes généralisés.‎

‎Le Symposium international sur l’architecture informatique présentera les résultats complets des chercheurs du MIT le 18 juin 2009.‎

‎Comment se protéger ?

‎PACMAN n’est pas une menace pour le moment, vous n’avez donc pas besoin de prendre des mesures immédiates pour vous protéger. PACMAN ne fonctionne que s’il y a des bogues logiciels. Il est crucial de s’assurer que MacOS et tous vos logiciels sont à jour. Vous pouvez lire notre ‎‎guide sur la façon de mettre à jour votre Mac‎‎, et vous devriez également vérifier régulièrement les mises à jour pour toutes les applications installées sur votre ordinateur.‎

‎Ravichandran était d’accord avec Ravichandran : « Gardez votre logiciel à jour ! »‎

Vous avez besoin d'améliorer votre visibilité en ligne ?

Nous avons une solution idéale pour votre entreprise

On vous rappelle gratuitement

Valentin & Silvain - Experts Wordpress Woocommerce

Nos engagements

Site internet sur mesure

Une équipe de développeurs web et d'experts en stratégie digitale dédiée dédiée à la réalisation de votre projet

Première page sur Google

Notre agence spécialisée dans la rédaction de contenu SEO vous donne accès aux avantages du référencement local

De nouveaux clients

Améliorez la visibilité de votre entreprise grace au marketing digital sur les moteurs de recherche et réseaux sociaux

Nos chiffres clés

0 %
Satisfaction client
+ 0 /mois
Nouveaux projets
+ 0 M
Visites totales mensuelles