Si vous êtes utilisateur de Mac, il y a de fortes chances que vous utilisiez Spotlight, cet outil pratique qui permet de rechercher des fichiers ou de lancer des applications en quelques instants. Avec une simple combinaison de touches Command+Espace, vous pouvez retrouver un document en quelques secondes. Cependant, ce qui est moins connu, c’est que depuis près de dix ans, ce même Spotlight peut servir de point d’entrée pour siphonner vos données les plus privées. Pire encore, Apple semble toujours peiner à colmater cette brèche.
Patrick Wardle, chercheur en sécurité et développeur de plusieurs outils de protection comme LuLu, a récemment exposé sur son blog Objective-See une technique alarmante. Selon lui, un plugin malveillant peut contourner les protections de TCC (Transparency, Consent and Control) de macOS. Ce dernier est censé être le garde-fou de votre vie privée en vous demandant explicitement quelles applications peuvent accéder à vos données personnelles, mais cette vulnérabilité remet en question son efficacité.
“Cette histoire nous rappelle que les outils les plus dangereux sont souvent ceux auxquels on fait le plus confiance.”
Le fonctionnement de cette attaque est astucieusement simple. Au lieu de tenter de forcer l’entrée, le plugin utilise les notifications Darwin pour transférer des données. Chaque octet du fichier compromis est encodé dans le nom d’une notification, permettant à un processus externe d’écouter et de reconstruire le fichier progressivement. Bien que Wardle ait présenté cette vulnérabilité lors d’une conférence en 2018, la méthode a récemment été redécouverte par Microsoft sous le nom de “Sploitlight”, et bien qu’Apple ait corrigé certaines variantes, la méthode d’origine demeure active, même sur les dernières versions du système d’exploitation.
Les implications de cette faille sont préoccupantes. Un fichier en particulier, knowledgeC.db, est un réservoir de données personnelles précieuses. Il contient des informations sur vos habitudes d’utilisation, votre historique de navigation, et même vos trajets avec CarPlay. En accédant à ces données, un tiers malveillant pourrait non seulement voir vos activités en temps réel, mais également en reconstituer les habitudes sur les 30 derniers jours. Cela représente un véritable trésor pour quiconque cherchant à envahir votre vie privée.
Bien qu’Apple ait tenté de renforcer la sécurité avec la mise à jour macOS 15.4 et d’autres événements TCC, la vulnérabilité initiale présentée par Wardle reste un sujet de préoccupation, même avec des verrouillages de sécurité en place. Wardle propose des solutions telles que l’exigence de notarisation pour les plugins ou l’approbation explicite de l’utilisateur avant installation, ce qui pourrait grandement réduire le risque d’abus. En attendant, il est crucial de rester vigilant sur les applications que vous installez et de prêter attention aux notifications système pour toute connexion de plugins suspects.
