Ouvrir le menu principal

MacGeneration

Recherche

Une vulnérabilité dans macOS Monterey permet de localiser et de suivre un utilisateur de Mac M1

Mickaël Bazoge

lundi 11 avril 2022 à 22:30 • 22

macOS

Oups, il y a comme un bug vraiment embarrassant dans le processus de mise à jour des Mac équipés d'une puce M1. Quand il doit se mettre à jour, macOS Monterey demande à Apple une signature de démarrage spéciale, un « ticket », auprès d'Apple. D'après la découverte de Jeffrey Paul, chercheur en sécurité, cette communication passe par une requête HTTP, donc très mal sécurisée puisqu'elle est transmise en clair, sans chiffrement.

La requête HTTP vers le serveur hôte gs.apple.com inclut l'identifiant matériel unique à 16 chiffres de la puce (ECID), qui est donc visible sans difficulté par tous ceux qui savent où chercher : n'importe qui sur un réseau local LAN, le fournisseur d'accès à internet, et bien sûr Apple.

Un malandrin qui écouterait aux portes aurait non seulement accès à ce numéro ECID, mais aussi à l'adresse IP de l'utilisateur du Mac, donc une localisation plus ou moins précise. Celle-ci s'affinera au fil des mises à jour de macOS qui tombent tous les deux ou trois mois, sachant qu'à chaque fois une requête HTTP est envoyée à Apple.

Bloquer cette connexion durant le processus de mise à jour revient à le faire planter, si on veut un Mac à jour, et donc bénéficiant des derniers correctifs de sécurité, il faut absolument que l'ordinateur envoie son ECID à Apple via ce protocole non sécurisé qui permet aux appareils dotés d'une puce ARM de démarrer suite à une mise à jour.

Cette insécurité existe sous macOS 12.3.1 — la version actuelle du système —, mais aussi sous la version précédente 12.3. Selon Jeffrey Paul, il est possible qu'iOS soit aussi concerné.

Source : Merci @kled, vignette : AltumCode (Unsplash)

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

L'Apple Watch Ultra 2 et quatre autres montres à l'épreuve du marathon de New York

15:07


Pour son Black Friday, Apple offrira jusqu’à 150 € en carte cadeau

15:02

• 10


Antitrust : le DoJ réclame officiellement que Google vende Chrome

10:32

• 90


Apple, Anker : de nombreux adaptateurs secteur en promo (jusqu’à -33 %)

10:02

• 3


Les meilleures offres de la Black Week. Tout au long du mois de novembre

Partenaire


Le SSD Thunderbolt 5 d'OWC est disponible : le plus rapide du marché, mais aussi le plus cher

20/11/2024 à 21:30

• 15


Test de l’iMac 24" M4 : haut en couleur

20/11/2024 à 20:30

• 27


Promotion Black Friday de Godeal24 : Microsoft Office à - 80 %, c'est maintenant 📍

20/11/2024 à 20:22


macOS 15.2 : quatrième bêta développeur, et troisième bêta publique 🆕

20/11/2024 à 19:56

• 6


Refurb : -220 € sur le MacBook Air M3 en 16/1 To

20/11/2024 à 17:45

• 38


Aqara commercialise aussi un détecteur de fumée connecté compatible HomeKit (avec code promo 🆕)

20/11/2024 à 15:25


Apple vs DoJ : la Pomme va demander à un juge fédéral d’abandonner les poursuites

20/11/2024 à 15:09

• 57


Apple vend désormais elle-même des espaces publicitaires dans Apple News

20/11/2024 à 14:38

• 8


Beats : Erling Haaland fait de la pub à l'ancienne

20/11/2024 à 12:15

• 12


YouTube : IMG_0001 déterre de vieilles vidéos filmées à l’iPhone

20/11/2024 à 11:44

• 9


Incogni en énorme promotion pour le Black Friday, reprenez le contrôle de vos données en ligne ! 📍

20/11/2024 à 10:19