Face aux spywares de plus en plus évolués, Apple a conçu un système pour faire face aux attaques par corruption de mémoire afin de mieux protéger les iPhone.
Depuis cinq ans, Apple planche sur Memory Integrity Enforcement (MIE). Directement intégrée aux puces Apple SIlicon, ce dispositif propose des mécanismes de sécurité du système d'exploitation pour créer une protection mémoire active et permanente.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
La mémoire, ce maillon faible exploité par les spyware
Si Apple se targue de barrer la route à toutes les menaces ciblant le grand public, son système iOS reste la cible de malwares avancés, à l'image de Pegasus conçu par NSO. Les attaques système contre iOS proviennent principalement de logiciels espions mercenaires, des outils développés par des acteurs étatiques qui coûtent des millions de dollars et ciblent des individus spécifiques comme des activistes, des journalistes ou des politiciens. Selon Apple, à chaque fois, les chaînes d'exploitation mises en place par les hackers exploitent des vulnérabilités de sécurité mémoire, un problème commun aux plateformes Windows, Android et iOS.
La semaine dernière encore, l'Agence nationale de la sécurité des systèmes d'information prévenait qu'Apple a envoyé des notifications à une poignée de victimes françaises ciblée par un spyware comme Pegasus ou Predator. Rien qu'en 2025, quatre campagnes majeures ont déjà été recensées par le CERT-FR, le centre français de veille, d'alerte et de réponse aux attaques informatiques.
Pourtant, Apple a déjà développé plusieurs couches de protection. De base, son langage de programmation, Swift, offre une sécurité mémoire native. Les allocateurs de mémoire sécurisés kalloc_type (introduit avec iOS 15) et xzone malloc (iOS 17) organisent les allocations mémoire selon leur type d'usage. Cela complique l'exploitation des corruptions pour les hackers. En 2018, Apple introduisait les Pointer Authentication Codes (PAC) dans la puce A12 Bionic. ce dispositif permet de protéger l'intégrité du flux de code.
Les ingénieurs ont souhaité renforcer davantage la mémoire avec une approche hybride matérielle-logicielle pour un mécanisme intégré directement dans les puces Apple Silicon.
MIE, une évolution d'ARM MTE
Memory Integrity Enforcement s'appuie sur l'Enhanced Memory Tagging Extension (EMTE), une évolution de la spécification ARM Memory Tagging Extension (MTE) publiée en 2019. Le système ajoute une petite "étiquette" invisible à chaque morceau de mémoire et à chaque pointeur, pour s'assurer que seuls les bons accès sont autorisés. Cela permet ainsi éviter les bugs graves comme les dépassements de mémoire ou l'accès à de la mémoire déjà supprimée.
Apple explique : "Notre analyse a révélé que, lorsqu'elle était utilisée comme mesure défensive en temps réel, la version originale d'ARM MTE présentait des faiblesses qui nous étaient inacceptables, et nous avons travaillé avec ARM pour remédier à ces lacunes dans la nouvelle Extension de marquage de mémoire améliorée (EMTE) spécification, publiée en 2022" . Là où MTE peut signaler les corruptions de façon asynchrone (laissant une fenêtre d'attaque), EMTE fonctionne en mode synchrone, bloquant immédiatement tout accès incorrect.
Le système fonctionne comme si chaque case mémoire avait un cadenas avec un code secret : s’il y a trop de données et qu’on essaie d’ouvrir une case voisine avec le mauvais code (débordement), le cadenas bloque l’accès ; quand une case est fermée puis réutilisée, son code change, donc l’ancienne clé ne marche plus (use-after-free) et il devient impossible d’y accéder par erreur ou piratage.
Les fruits de ces travaux se concrétisent au sein de Memory Integrity Enforcement (MIE), L'équipe d'Apple Security Engineering and Architecture (SEAR) explique :
"MIE est intégré directement au matériel et aux logiciels Apple dans tous les modèles d'iPhone 17 et d'iPhone Air et offre une protection de sécurité de la mémoire inégalée et toujours active pour nos principales surfaces d'attaque, y compris le noyau, tout en conservant la puissance et les performances attendues par les utilisateurs."
Apple va blinder les iPhone
Les chercheurs ont testé Memory Integrity Enforcement contre des chaînes d'exploitation sophistiquées utilisées précédemment contre iOS. Les résultats montrent que MIE interrompt les attaques très tôt dans le processus d'exploitation, rendant impossible la reconstruction des chaînes d'attaque.
L'étude de six attaques réelles en chaine montre que Memory Integrity Enforcement stoppe les tentatives dès les premières phases, ce qui laisse aux attaquants très peu de marge de manœuvre. Les rares corruptions de mémoire qui survivent à MIE sont jugées trop instables pour que les attaquants puissent réellement en profiter.
Memory Integrity Enforcement sera disponible sur tous les modèles iPhone 17 et iPhone Air. En plus du noyau, cette technologie surveille et protège plus de 70 processus utilisateur, qu'il s'agisse des programmes ou services lancés pour exécuter des tâches comme la gestion des appels, des messages, ou le fonctionnement des applications. Les développeurs peuvent dès maintenant tester cette protection via les paramètres Enhanced Security dans Xcode, permettant une adoption progressive de cette technologie de sécurité avancée.
