Des chercheurs en sécurité ont découvert une nouvelle méthode pour contourner les mesures de sécurité avancées d'Apple Inc., en utilisant un processus assisté par l'IA pour révéler deux bogues distincts dans le système d'exploitation macOS. La découverte de la société de sécurité Calif, aidée par une version préliminaire de l'IA Mythos d'Anthropic, marque une étape importante dans une nouvelle course aux armements entre l'offensive et la défense alimentées par l'IA en cybersécurité.
'La technique est remarquable parce qu'Apple a fait tant d'efforts pour verrouiller macOS', a déclaré Michał Zalewski, un ancien chercheur en sécurité de Google qui a examiné les recherches de Calif. Apple, qui utilise ses propres modèles d'IA pour tester les vulnérabilités, examine le rapport de 55 pages. 'La sécurité est notre priorité absolue, et nous prenons les rapports de vulnérabilités potentielles très au sérieux', a déclaré une porte-parole de l'entreprise.
Les chercheurs de la société basée à Palo Alto affirment que leur logiciel lie les deux bogues pour corrompre la mémoire du Mac, permettant l'accès à des parties de l'appareil qui devraient être inaccessibles. Cet exploit d'escalade de privilèges, s'il est combiné à d'autres attaques, pourrait permettre à un pirate de prendre le contrôle de l'ordinateur. L'équipe a construit le code pour exploiter les vulnérabilités en seulement cinq jours.
Cette découverte renforce l'inquiétude croissante des experts en cybersécurité face à un 'Bugmageddon', une inondation potentielle de vulnérabilités logicielles nouvellement découvertes par des modèles d'IA avancés de firmes comme Anthropic et OpenAI. Cela pourrait submerger les départements informatiques des entreprises responsables de leur correction et créer un niveau de risque de cybersécurité sans précédent, ce qui aurait poussé la Maison Blanche à reconsidérer son approche du développement et de la surveillance de l'IA.
Collaboration Homme-IA
L'attaque n'était pas l'œuvre de l'IA seule. Thai Duong, directeur général de Calif, a précisé que l'exploit nécessitait l'expertise de ses hackers humains. Il a noté que si Mythos est excellent pour reproduire des attaques déjà documentées, 'nous n'avons pas vu de cas où il invente de nouvelles techniques d'attaque'. Cet exploit réussi est un mélange d'ingéniosité humaine et d'analyse pilotée par l'IA.
Les vulnérabilités ont contourné la Memory Integrity Enforcement (MIE) d'Apple, une technologie que l'entreprise a introduite en septembre dernier comme 'l'aboutissement d'un effort de conception et d'ingénierie sans précédent, s'étendant sur une demi-décennie'. Les chercheurs de Calif étaient si confiants dans leurs conclusions qu'ils se sont rendus au siège d'Apple à Cupertino pour présenter le rapport en personne.
Implications à l'échelle de l'industrie
L'utilisation de l'IA pour trouver un exploit d'un tel niveau dans une cible renforcée comme macOS a des implications significatives pour toute l'industrie du logiciel. Cela suggère que le coût et le temps nécessaires pour trouver des vulnérabilités critiques pourraient diminuer considérablement, obligeant les entreprises à investir plus lourdement dans les tests de sécurité automatisés et les mesures défensives basées sur l'IA.
Pour Apple, la nouvelle est un défi direct à sa réputation en matière de sécurité. L'action de la société, se négociant à environ 30 fois les bénéfices prévisionnels, a montré peu de réaction immédiate, mais un exploit réussi contre son système d'exploitation phare pourrait avoir un impact sur la confiance des consommateurs. Calif prévoit de publier les détails complets de l'attaque une fois qu'Apple aura corrigé les problèmes, ce qui, selon Duong, devrait arriver rapidement.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
