mercredi, mars 27L'actualité des entrepreneurs

La puce M1 de Apple a une faille de sécurité majeure et on ne peut rien y faire !

‎Des chercheurs du Laboratoire d’informatique et d’intelligence artificielle (CSAIL) du MIT ont découvert une nouvelle vulnérabilité dans ‎‎le processeur M1 d’Apple‎‎. L’attaque s’appelle PACMAN et peut contourner la dernière ligne contre les bogues logiciels sur le M1 ainsi que sur d’autres processeurs ARM.‎

‎PACMAN attaque l’authentification par pointeur qui est le dernier arrêt pour la plupart des failles logicielles. L’authentification par pointeur est utilisée pour confirmer qu’un programme n’a été modifié d’aucune manière. Il sert également de « couverture de sécurité… dans le pire des scénarios », selon Joseph Ravichandran, doctorant au MIT. Les chercheurs du MIT ont créé PACMAN pour contourner ce mécanisme de sécurité crucial et deviner la signature d’authentification du pointeur. Les chercheurs affirment que PACMAN exploite un mécanisme matériel et qu’un correctif logiciel ne sera donc pas en mesure de corriger ‎

‎Cette attaque implique l’exécution de toutes les valeurs d’authentification de pointeur possibles via un canal latéral matériel, qui détermine si la supposition était correcte. Il s’agit d’une exécution spéculative, qui exécute essentiellement une tâche informatique qui n’est pas nécessaire pour le moment. Tout se fait sans la présence de PACMAN.‎

‎Ravichandran, co-auteur du rapport PACMAN, a déclaré que l’authentification par pointeur peut être utilisée pour contre la saisie par des attaquants, même si tout le reste échoue. « Nous avons montré que l’authentification par pointeur n’est pas aussi fiable que nous le pensions.‎

‎Pour l’instant, ce n’est pas un problème‎

‎Les chercheurs du MIT affirment que PACMAN n’est pas une pour le M1 ou d’autres systèmes basés sur ARM utilisant l’authentification par pointeur. PACMAN permet aux bogues logiciels bloqués par l’authentification par pointeur de passer. PACMAN ne peut rien faire s’il y a une faille logicielle.‎

‎Apple réagit rapidement aux failles de sécurité. Apple a payé 100 000 $ à un étudiant pour avoir découvert ‎‎le piratage de la webcam sur Mac‎‎ . ‎‎Une mise à niveau de MacOS Monterey en mars‎‎ a corrigé deux failles de sécurité critiques auxquelles les Mac étaient confrontés. Le MIT . Antonio Masiello/Getty Images‎ .

‎Ravichandran a déclaré que le M1 était la seule cible et qu’Apple serait informé du problème en 2021. Il a aussi déclaré que la préoccupation n’est pas de savoir si les processeurs ARM actuels ont des vulnérabilités, mais si les futures unités de traitement ARM seront vulnérables. Nous avons contacté ARM pour en . ARM prévoit de mettre à jour le ‎‎ une fois son enquête terminée.‎

‎Apple a également répondu à notre demande. Nous avons conclu que ce problème ne constitue pas un risque pour les utilisateurs et ne peut pas contourner les protections de sécurité du système d’exploitation sur la base de notre analyse.‎

‎Bien que PACMAN ne soit pas une menace pour le M1, le MIT a fait des découvertes intéressantes. Apple vient de ‎‎dévoiler son processeur M2‎‎. Cela utilise probablement l’authentification par pointeur. Ravichandran a quelques suggestions pour avec PACMAN avec les futurs modèles de puces: « Les développeurs ne devraient pas compter uniquement sur l’authentification par pointeur pour protéger leur logiciel. »‎

‎Apple semble ne pas s’en soucier, tout comme les chercheurs du MIT. Ravichandran a déclaré que l’authentification par pointeur, même si elle est utilisée partout dans les binaires compatibles PAC (tels que le noyau macOS), ne fonctionne que comme une dernière étape d’exploitation lorsque tout le reste a été contourné.‎

‎Cependant, cela ne signifie pas nécessairement que PACMAN est inoffensif. Ravichandran a averti que « l’utilisation de PACMAN comme contournement de l’authentification par pointeur ouvre la porte à l’exécution arbitraire de programmes, ce qui donnerait à un attaquant un contrôle total sur un appareil ». Les chercheurs pensent également que les futurs processeurs ARM qui utilisent l’authentification par pointeur pourraient être vulnérables.‎

‎Ce n’est pas la première fois que le M1 est affecté par une vulnérabilité. Les chercheurs ont découvert une ‎‎faille de sécurité matérielle dans le M1‎‎ en mai. Cependant, il n’a pas été considéré comme un problème grave et n’a pas causé de problèmes généralisés.‎

‎Le Symposium international sur l’architecture informatique présentera les résultats complets des chercheurs du MIT le 18 juin 2009.‎

‎Comment se protéger ?

‎PACMAN n’est pas une menace pour le moment, vous n’avez donc pas besoin de prendre des mesures immédiates pour vous protéger. PACMAN ne fonctionne que s’il y a des bogues logiciels. Il est crucial de s’assurer que MacOS et tous vos logiciels sont à jour. Vous pouvez lire notre ‎‎guide sur la façon de mettre à jour votre Mac‎‎, et vous devriez également vérifier régulièrement les mises à jour pour toutes les applications installées sur votre ordinateur.‎

‎Ravichandran était d’accord avec Ravichandran : « Gardez votre logiciel à jour ! »‎

Vous pourriez également aimer ceci :

L’effondrement de la crypto est-il terminé ?

Les actifs cryptographiques ont connu une chute massive par rapport à leurs sommets de la fin de 2021. Coinbase Global (COIN) a chuté de 78,5% depuis le début de...

Les choses indispensables à savoir sur les salons professionnels du futur ?

Les salons professionnels vont-ils changer ? Il y a deux ans, les salons professionnels étaient pratiquement inexistants. Les confinements ont commencé et le COVID-...

Ce drone utilise l'IA pour vous prendre en photo sous les meilleurs angles possibles

Comment un drone avec IA fonctionne ? Vous avez suffisamment travaillé. Vous méritez des aventures estivales. Vous aurez envie de prendre des photos, peu importe si...

Le Google Pixel 6 Pro en réduction de 200 € sur Amazon, une offre incroyable à saisir !

Quelles sont les réductions sur les smartphones Google ? Amazon Prime Day est demain, mais nous voyons déjà des offres incroyables sur quelques smartphones intére...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *