Des chercheurs ont découvert des failles dans deux fonctions nommées Slap et Flop dans les puces Silicon d’Apple. Ce dernier dit travailler sur un correctif et qu’il n’y a pas de risque immédiat.
Le début d’année est orienté sécurité pour Apple avec la découverte par des universitaires du Georgia Institute of Technology de deux vulnérabilités existant depuis 2021. Signalées par Bleepingcomputer, les failles peuvent entraîner des attaques par canal latéral pour dérober des données sur des sites web. Un site malveillant pourrait, par exemple, voir les données de localisation à partir d’un onglet de Google Maps, ou des courriels non chiffrés à partir d’un onglet de navigateur ouvert qui est connecté à un compte de messagerie sécurisé. Informations bancaires, données de connexion, historique des achats : les cibles potentielles sont nombreuses.
La plupart des navigateurs mettent les sessions web en « bac à sable », de sorte qu’un onglet ou une fenêtre du navigateur ne peut pas accéder aux données d’autres onglets/fenêtres. Les vulnérabilités Slap et Flop exploitent les caractéristiques des derniers processeurs Apple pour contourner ce sandboxing.
Détails sur les deux attaques Slap et Flop
Les puces Silicon M2 et A15, A16 et A17 sont dotées d’une fonction appelée LAP (load adress prediction), qui « tente de prédire la prochaine adresse mémoire à laquelle le noyau accèdera », précise les chercheurs dans leurs travaux. Slap, acronyme pour speculation attack via load adresse prediction commence par entraîner faussement cet algorithme prédictif, puis s’en sert pour extraire des données ciblées d’autres processus du navigateur. L’attaque marche uniquement dans Safari.
A partir de la génération de puces Silicon M3 et A17, Apple va plus loin dans la prédiction avec la fonction Load Value Predictor (LVP). « Elle prévoit la valeur des données qui sera renvoyée par la mémoire », glisse les experts. Ils ajoutent, « des erreurs de prédiction dans ces mécanismes peuvent entraîner l’exécution de calculs arbitraires sur des données hors champs ou sur des valeurs de données erronées ». Ainsi se caractérise l’attaque Flop, acronyme de False Load Output Predictions, qui fonctionne également sur Safari mais aussi sur Chrome.
De nombreux terminaux concernés
Selon les chercheurs, les terminaux Apple suivants disposent des composants nécessaire à l’exécution de ces failles.
– Tous les ordinateurs portables Mac à partir de 2022 (MacBook Air, MacBook Pro) ;
– Tous les ordinateurs de bureau Mac à partir de 2023 (Mac Mini, iMac, Mac Studio, Mac Pro) ;
– Tous les modèles d’iPad Pro, Air et Mini à partir de septembre 2021 (iPad Pro 6e et 7e génération, iPad Air 6e génération, iPad Mini 6e génération) ;
– Tous les iPhone à partir de septembre 2021 (modèles iPhone 13, 14, 15 et 16, iPhone SE 3e génération).
Apple temporise mais travaille sur un correctif
Les chercheurs du Georgia Institute of Technology affirment qu’il n’existe aucune preuve que Slap ou Flop aient été utilisés dans la nature. De même, Apple a déclaré à BleepingComputer : « Sur la base de notre analyse, nous ne pensons pas que ce problème pose un risque immédiat pour nos utilisateurs. »
La firme de Cupertino n’écarte cependant pas le problème et déclare travailler sur un correctif sans donner une date de disponibilité. La faille Slap a été révélée à Apple le 24 mai dernier et Flop le 3 septembre 2024. Depuis, le fournisseur a publié de nombreuses mises à jour de sécurité mais aucune à ce jour corrigeant ces deux trous de sécurité.
Les clients de l’UE ne bénéficieront pas des fonctions Apple Intelligence, iPhone Mirroring to Mac et du partage d’écran SharePlay Screen Sharing en 2024.
Mauvaises nouvelles pour les clients d’Apple dans l’Union européenne. En effet, selon le dernier rapport de Bloomberg, en 2024 (et peut-être plus), ces derniers n’auront pas accès à certaines des meilleures fonctionnalités à venir d’iOS 18 et de MacOS Sequoia. Plus précisément, Apple Intelligence (assistant Siri dopé à la GenAI avec ChatGPT), iPhone Mirroring to Mac et SharePlay Screen Sharing ne seront pas disponibles dans l’UE en 2024. Apple impute ce retard aux exigences du règlement sur les marchés numériques (Digital Markets Act ou DMA) en matière d’interopérabilité. « Nous sommes préoccupés par le fait que les exigences en matière d’interopérabilité ne soient pas respectées : Nous craignons que les exigences d’interopérabilité du DMA ne nous obligent à compromettre l’intégrité de nos produits d’une manière qui mette en péril la vie privée des utilisateurs et la sécurité des données », a déclaré Apple dans un communiqué.
Une autre déclaration faite par Apple au Financial Times est légèrement différente : « En raison des incertitudes réglementaires engendrées par le règlement sur les marchés numériques, nous ne pensons pas être en mesure de déployer les trois fonctionnalités – iPhone Mirroring, le partage d’écran SharePlay SharePlay Screen Sharing amélioré et Apple Intelligence – auprès de nos utilisateurs de l’UE cette année ».
Négociations à venir entre Apple et l’UE
Cela ne signifie pas que l’UE ne bénéficiera jamais de ces fonctionnalités. Apple indique seulement qu’elle ne pourra pas les proposer cette année, car elle doit faire face à des « incertitudes ». Il faudra peut-être simplement du temps aux organismes de réglementation de l’UE pour déterminer si ces fonctionnalités sont contraires à la loi sur la protection des données dans leur forme actuelle et, dans l’affirmative, ce qu’Apple devra faire pour les rendre conformes tout en continuant à protéger la vie privée et la sécurité de l’utilisateur. Apple emploie d’ailleurs une armée de lobbystes à Bruxelles pour faire valoir ses positions.
Dans tous les cas, Apple Intelligence ne devait prendre en charge que l’anglais américain cette année, le support d’autres langues étant prévues à partir de 2025. Cela limite quelque peu son efficacité dans l’Union européenne, mais des fonctions comme iPhone Mirroring to Mac auraient été utiles à tout le monde, quelle que soit la langue.
Les clients de l’UE ne bénéficieront pas des fonctions Apple Intelligence, iPhone Mirroring to Mac et du partage d’écran SharePlay Screen Sharing en 2024.
Mauvaises nouvelles pour les clients d’Apple dans l’Union européenne. En effet, selon le dernier rapport de Bloomberg, en 2024 (et peut-être plus), ces derniers n’auront pas accès à certaines des meilleures fonctionnalités à venir d’iOS 18 et de MacOS Sequoia. Plus précisément, Apple Intelligence (assistant Siri dopé à la GenAI avec ChatGPT), iPhone Mirroring to Mac et SharePlay Screen Sharing ne seront pas disponibles dans l’UE en 2024. Apple impute ce retard aux exigences du règlement sur les marchés numériques (Digital Markets Act ou DMA) en matière d’interopérabilité. « Nous sommes préoccupés par le fait que les exigences en matière d’interopérabilité ne soient pas respectées : Nous craignons que les exigences d’interopérabilité du DMA ne nous obligent à compromettre l’intégrité de nos produits d’une manière qui mette en péril la vie privée des utilisateurs et la sécurité des données », a déclaré Apple dans un communiqué.
Une autre déclaration faite par Apple au Financial Times est légèrement différente : « En raison des incertitudes réglementaires engendrées par le règlement sur les marchés numériques, nous ne pensons pas être en mesure de déployer les trois fonctionnalités – iPhone Mirroring, le partage d’écran SharePlay SharePlay Screen Sharing amélioré et Apple Intelligence – auprès de nos utilisateurs de l’UE cette année ».
Négociations à venir entre Apple et l’UE
Cela ne signifie pas que l’UE ne bénéficiera jamais de ces fonctionnalités. Apple indique seulement qu’elle ne pourra pas les proposer cette année, car elle doit faire face à des « incertitudes ». Il faudra peut-être simplement du temps aux organismes de réglementation de l’UE pour déterminer si ces fonctionnalités sont contraires à la loi sur la protection des données dans leur forme actuelle et, dans l’affirmative, ce qu’Apple devra faire pour les rendre conformes tout en continuant à protéger la vie privée et la sécurité de l’utilisateur. Apple emploie d’ailleurs une armée de lobbystes à Bruxelles pour faire valoir ses positions.
Dans tous les cas, Apple Intelligence ne devait prendre en charge que l’anglais américain cette année, le support d’autres langues étant prévues à partir de 2025. Cela limite quelque peu son efficacité dans l’Union européenne, mais des fonctions comme iPhone Mirroring to Mac auraient été utiles à tout le monde, quelle que soit la langue.
Selon l’analyste de Bloomberg Mark Gurman, Apple a développé son propre framework d’IA générative – nom de code « Ajax » – et a même commencé à tester son propre service de chatbot.
Cela fait des années qu’Apple mise sur l’IA qu’elle utilise sur ses terminaux pour améliorer les photos, reconnaître et interpréter la voix, extraire des sujets d’images et bien d’autres choses encore. Mais sur l’IA générative, la firme de Cupertino semble aux abonnés absents. Faux, répond Mark Gurman, analyste pour Bloomberg, Apple aurait développé discrètement son propre framework baptisé Ajax et l’aurait déjà utilisé pour un service de chatbot nommé en interne Apple GPT.
La prudence d’Apple sur cet outil s’explique par la volonté de fournir une solution garante de la confidentialité des données. Reste que la société ne pouvait pas rester en dehors de cette tendance et s’est donc concentrée sur la création de ce framework. Ajax repose sur le framework de machine learning Jax de Google et fonctionne sur Google Cloud, précise Bloomberg. Le chatbot « Apple GPT », quant à lui, aurait été développé en fin 2022 par une très petite équipe d’ingénieur et les tests ont été réalisés sur des collaborateurs autorisés. La société travaille également sur l’élaboration de son propre LLM similaire à GPT-4 d’OpenAI, Llama 2 de Meta ou PaLM 2 de Google.
Un travail plus étroit entre la division IA et logicielle
L’article de Bloomberg souligne que le chatbot reproduit, selon les collaborateurs l’ayant testé, l’expérience de Bard, de ChatGPT et Bing AI, sans ajout supplémentaire. L’Apple GPT dispose d’une interface dépouillée et n’a pour l’instant pas vocation à devenir public. Si ces informations sont exactes, cela signifie que l’organisation d’Apple change. Ainsi, la division IA de la société, dirigée par John Giannandrea, travaille plus étroitement avec la division logicielle de Craig Federighi. On leur prête la volonté de faire une annonce importante en rapport avec l’IA l’an prochain.
Ce rapprochement laisse augurer d’une plus grandes intégration de l’IA générative dans les différents produits et services du fournisseur. Apple est peut-être un peu en retard, mais il semble que l’entreprise prenne la technologie très au sérieux. Et comme le veut la coutume chez Apple, celle-ci fera une entrée remarquée dès qu’elle arrivera.
Selon l’analyste de Bloomberg Mark Gurman, Apple a développé son propre framework d’IA générative – nom de code « Ajax » – et a même commencé à tester son propre service de chatbot.
Cela fait des années qu’Apple mise sur l’IA qu’elle utilise sur ses terminaux pour améliorer les photos, reconnaître et interpréter la voix, extraire des sujets d’images et bien d’autres choses encore. Mais sur l’IA générative, la firme de Cupertino semble aux abonnés absents. Faux, répond Mark Gurman, analyste pour Bloomberg, Apple aurait développé discrètement son propre framework baptisé Ajax et l’aurait déjà utilisé pour un service de chatbot nommé en interne Apple GPT.
La prudence d’Apple sur cet outil s’explique par la volonté de fournir une solution garante de la confidentialité des données. Reste que la société ne pouvait pas rester en dehors de cette tendance et s’est donc concentrée sur la création de ce framework. Ajax repose sur le framework de machine learning Jax de Google et fonctionne sur Google Cloud, précise Bloomberg. Le chatbot « Apple GPT », quant à lui, aurait été développé en fin 2022 par une très petite équipe d’ingénieur et les tests ont été réalisés sur des collaborateurs autorisés. La société travaille également sur l’élaboration de son propre LLM similaire à GPT-4 d’OpenAI, Llama 2 de Meta ou PaLM 2 de Google.
Un travail plus étroit entre la division IA et logicielle
L’article de Bloomberg souligne que le chatbot reproduit, selon les collaborateurs l’ayant testé, l’expérience de Bard, de ChatGPT et Bing AI, sans ajout supplémentaire. L’Apple GPT dispose d’une interface dépouillée et n’a pour l’instant pas vocation à devenir public. Si ces informations sont exactes, cela signifie que l’organisation d’Apple change. Ainsi, la division IA de la société, dirigée par John Giannandrea, travaille plus étroitement avec la division logicielle de Craig Federighi. On leur prête la volonté de faire une annonce importante en rapport avec l’IA l’an prochain.
Ce rapprochement laisse augurer d’une plus grandes intégration de l’IA générative dans les différents produits et services du fournisseur. Apple est peut-être un peu en retard, mais il semble que l’entreprise prenne la technologie très au sérieux. Et comme le veut la coutume chez Apple, celle-ci fera une entrée remarquée dès qu’elle arrivera.