Repérée par Microsoft, une faille dans le système d’indexation de macOS exposait des données stockées localement, mais aussi certaines informations synchronisées depuis un iPhone ou un iPad.

Synchronisation iPhone : Apple referme une brèche de justesse. © Alberto Garcia Guillen / Shutterstock
Synchronisation iPhone : Apple referme une brèche de justesse. © Alberto Garcia Guillen / Shutterstock
L'info en 3 points
  • Microsoft a découvert une faille dans macOS, exposant des données locales et synchronisées depuis iPhone/iPad. Mettez à jour!
  • La faille exploitait les plugins de Spotlight pour accéder à des fichiers protégés, contournant les restrictions de macOS.
  • Apple a corrigé la faille en mars avec macOS Sequoia 15.4. Évitez les plugins non signés et surveillez les activités suspectes.

Si vous avez tendance à repousser les mises à jour sur Mac, c’est sans doute le bon moment pour faire une exception. Microsoft vient de rendre publique l’analyse d’une faille signalée à Apple plus tôt cette année et baptisée Sploitlight, qui concernait un composant du système capable d’accéder à des fichiers protégés, y compris des données synchronisées depuis un iPhone ou un iPad. Le correctif est disponible depuis mars, mais maintenant que les détails sont connus, la vulnérabilité pourrait techniquement être exploitée par n’importe qui s’y intéressant de près. Ou pour le dire de manière plus frontale, vous n’avez plus le temps d’attendre.

Une faille structurelle sur macOS, capable d’exfiltrer des données iCloud

Le cœur du problème résidait dans Spotlight, ou plus précisément dans les plugins associés que macOS utilise pour indexer les fichiers. Parce qu’ils doivent pouvoir extraire des métadonnées à la volée, ces modules bénéficient d’un accès direct, mais contrôlé, au contenu des documents. Ils opèrent donc dans un environnement cloisonné, soumis à des restrictions censées les empêcher d’interagir avec autre chose que les seuls fichiers explicitement déclarés.

Et c’est justement ce cadre que les équipes de Microsoft Threat Intelligence ont réussi à détourner. En modifiant un plugin existant, puis en l’installant dans un dossier utilisateur sans signature ni privilège particulier, les chercheurs sont parvenus à contourner les protections natives de macOS, notamment TCC, et à déclencher l’indexation de fichiers normalement sécurisés par les réglages de confidentialité du système – y compris ceux présents dans les dossiers Téléchargements, Bureau ou Images. Le contenu était ensuite consigné dans les journaux système, accessible à un processus qui, en temps normal, n’aurait pas dû y avoir accès.

Parmi les données exposées figuraient ainsi des métadonnées de photos, des historiques de localisation ou encore des tags de reconnaissance faciale. À cela s’ajoutaient des contenus générés par Apple Intelligence – résumés de notes, extraits de mails, préférences de recherche – temporairement stockés dans les fichiers cache, mais aussi, et c’est bien là le plus embêtant, des contenus synchronisés avec iCloud, susceptibles de provenir d’autres appareils connectés au même compte. Autrement dit, un Mac compromis pouvait suffire à dévoiler des informations stockées sur un iPhone ou un iPad associé, sans avoir à accéder directement à l’appareil mobile.

Extrait de la preuve de concept utilisée par Microsoft pour démontrer la faille Sploitlight. Ce code lit le contenu de fichiers protégés et consigne leur contenu brut dans les journaux système. © Microsoft
Extrait de la preuve de concept utilisée par Microsoft pour démontrer la faille Sploitlight. Ce code lit le contenu de fichiers protégés et consigne leur contenu brut dans les journaux système. © Microsoft

Comme toujours, mise à jour, vigilance, et un peu de bon sens

Signalée par Microsoft au début de l’année, la faille (CVE-2025-31199) a été corrigée par Apple dans la mise à jour macOS Sequoia 15.4, déployée le 31 mars dernier. À titre d’information, on rappellera que si les détails techniques n’émergent que maintenant, c’est parce qu’Apple impose un délai de divulgation différée, le temps que le patch soit largement déployé. Une pratique qui, dans ce cas précis, prend tout son sens. Bref, si vous utilisez une version de macOS antérieure au correctif, mettez à jour votre système sans tarder.

Plus largement, évitez d’installer des plugins Spotlight non signés ou provenant de sources peu fiables, et surveillez les processus inhabituels liés à l’indexation ou à l’accès aux dossiers protégés – chargements répétés de modules, activité excessive dans les répertoires partagés, ou apparition de fichiers suspects dans les journaux système.

Enfin, ne perdez pas de vue que la synchronisation iCloud peut amplifier les conséquences d’une compromission locale. Et puisqu’aucune protection native n’est infaillible – malgré une idée reçue bien tenace sur les produits Apple – il peut être judicieux de s’appuyer sur un antivirus tiers qui, sans corriger les failles structurelles du système, peut détecter des accès anormaux aux fichiers sensibles, bloquer certains modules suspects ou alerter sur des comportements inhabituels, y compris ceux liés à l’indexation.

À découvrir
Meilleur antivirus, le comparatif en août 2025
28 juillet 2025 à 12h25
Comparatifs services