La récente révélation d'un Exploitation de la corruption de la mémoire du noyau sur la puce M5 de macOS Cette découverte a semé l'inquiétude dans le secteur de la cybersécurité. Une petite équipe de la société vietnamienne Calif affirme avoir contourné en quelques jours l'un des systèmes de défense les plus ambitieux d'Apple : Memory Integrity Enforcement (MIE), le système de protection de la mémoire assisté par matériel intégré à sa nouvelle puce.
Au-delà de l'impact direct sur ceux qui utilisent Mac avec puce M5 et macOS 26.xCet épisode est suivi de près par les experts européens, les entreprises technologiques et les organismes de réglementation car il révèle un phénomène plus profond : la combinaison de spécialistes humains et de… modèles avancés d'intelligence artificielleDes outils comme Anthropic Mythos Preview pourraient accélérer considérablement la découverte et l'exploitation des vulnérabilités critiques.
Une faille de sécurité publique du noyau macOS dans M5 qui survit à MIE
Selon les informations publiées par Calif, l'équipe avait développé le Première faille de corruption de mémoire du noyau macOS disponible publiquement et capable de contourner MIE sur le matériel Apple M5. La cible spécifique est macOS 26 et, en particulier, la version 26.4.1 (build 25E253), exécutée directement sur la puce, sans couches de virtualisation ni configurations allégées.
La chaîne d'attaque est décrite comme une escalade locale des privilèges « données uniquement »Le point de départ est un compte utilisateur local sans autorisations spéciales ; à partir de là, l'exploitation repose uniquement sur des appels système normaux jusqu'à aboutir à un shell avec des privilèges root, c'est-à-dire avec un contrôle administratif total de l'ordinateur.
Selon Calif, le processus de mise en œuvre comprend deux vulnérabilités de mémoire combinées à plusieurs techniques supplémentairesBien que les détails les plus sensibles soient tenus secrets jusqu'à ce qu'Apple publie un correctif, les chercheurs insistent sur le fait que la chaîne fonctionne avec le noyau MIE activé, une information clé car elle indique que la mesure d'atténuation n'a pas été désactivée pour parvenir au contournement.
L'organisation affirme que cette faille a été présentée à Apple lors d'une réunion en personne à Apple ParkLe siège social de l'entreprise se trouve en Californie. Le rapport technique de 55 pages aurait été remis en main propre et sous forme imprimée, dans le but précis qu'il ne se perde pas parmi les dizaines de rapports automatisés des programmes de primes.
L'engagement de MIE, MTE et Apple en matière de sécurité de la mémoire
Ces dernières années, Apple a investi au moins cinq années de travail dans le développement de MIECe système de protection de la mémoire est intégré aux niveaux matériel et logiciel. La technologie repose sur l'extension de marquage de la mémoire (MTE) d'Arm, une spécification qui attribue des étiquettes aux régions de mémoire et vérifie que les accès ultérieurs utilisent le « secret » correct.
L'idée est que si une application tente d'utiliser une zone mémoire dont l'étiquette est incorrecte, l'accès est bloqué et le programme plante, en consignant l'incident. C'est sur cette base qu'Apple a conçu MIE. une couche renforcée d'intégrité de la mémoire, avec pour objectif déclaré de mettre fin aux chaînes d'exploitation basées sur la corruption de mémoire, l'un des types de failles les plus fréquemment exploités pour compromettre les systèmes d'exploitation modernes.
L'entreprise elle-même avait déclaré dans sa documentation technique que MIE était capable de Perturber toutes les chaînes d'exploitation publiques connues contre les versions modernes d'iOSParmi ces fuites, on compte notamment les kits qui ont fait l'objet de nombreuses discussions au sein de la communauté de la sécurité. L'arrivée de MIE dans l'écosystème Mac, et plus particulièrement sur les appareils équipés de la puce M5, a été présentée comme une nouvelle étape de cette stratégie visant à accroître le coût des attaques.
Dans ce contexte, l'exploit de Calif ne signifie pas nécessairement que MIE est inutile, mais il met en lumière une réalité gênante pour toute mesure d'atténuation avancée : Aucune défense de la mémoire n'est conçue comme un mur infranchissable.L'efficacité dépend toujours des vulnérabilités spécifiques disponibles et de la capacité des attaquants à les exploiter de manière créative.
De deux bugs à une faille fonctionnelle en cinq jours
L'un des aspects les plus frappants de cette affaire est la rapidité avec laquelle les événements se seraient déroulés. Les enquêteurs estiment que Découverte initiale des erreurs de mémoire le 25 avrilQuelques jours plus tard, le 27 avril, davantage de personnel a rejoint l'effort, et le 1er mai, ils disposaient d'une faille de sécurité fonctionnelle capable d'obtenir un accès root sur macOS 26 sur M5.
Autrement dit, l'équipe affirme être passée de la détection de bugs à la construction d'un Ligne de production opérationnelle en seulement cinq joursPour de nombreux professionnels de la sécurité en Espagne et dans le reste de l'Europe, habitués à voir des processus d'exploitation qui peuvent durer des semaines ou des mois, ce délai très court est un fait qui invite à réfléchir sur la façon dont le paysage évolue.
Calif a rendu public qu'il y a un vidéo de démonstration de faisabilité d'environ vingt secondes Le rapport décrit l'opération en cours, bien que les documents publiés ne permettent pas encore un audit indépendant complet. Pour l'instant, le rapport est à un stade intermédiaire : il comprend une déclaration concrète, un calendrier, la plateforme cible et une description générale, mais les informations techniques détaillées n'ont pas encore été publiées.
Cette décision de ne pas divulguer les documents les plus sensibles se justifie par les raisons suivantes : divulgation responsable. En attendant la publication des correctifs officiels d'AppleIls expliquent ne pas vouloir fournir de guide précis susceptible d'être exploité par des tiers à des fins malveillantes. La communauté européenne de la cybersécurité voit généralement d'un bon œil cette approche, à condition que l'entreprise concernée réagisse rapidement.
Le rôle de l'aperçu du mythe anthropique dans l'attaque
L'autre protagoniste majeur de l'histoire est l'intelligence artificielle. Calif détaille qu'il l'a utilisée Aperçu du mythe anthropique, une version préliminaire d'un modèle spécialisé dans la sécurité, comme soutien tout au long du processus : de l'identification des vulnérabilités aux phases clés du développement de l'exploit.
Selon les chercheurs, Mythos a fait preuve d'une force particulière en ce qui concerne détecter les erreurs qui correspondent à des classes de bogues connuesUne fois que le système a appris à s'attaquer à un type de problème spécifique, il est capable de généraliser de manière très efficace et de trouver des variantes similaires dans différents codes, ce qui, entre les mains d'analystes humains, nécessite généralement beaucoup de temps de vérification manuelle.
Toutefois, le contournement de l'EIM aurait tout de même nécessité une contribution humaine importante. L'MIE est une mesure d'atténuation relativement récente et est considérée comme une mesure de « premier ordre ».Par conséquent, même pour les modèles avancés, le contrôle autonome de ces systèmes reste complexe. À ce stade, le jugement et l'expérience de l'équipe ont joué un rôle crucial pour assembler les pièces du puzzle.
Le cas est ainsi présenté comme un exemple pratique de ce qui peut être réalisé en combinant Automatisation basée sur l'IA avec des experts en sécurité offensiveLe fait de réussir à exploiter une faille de corruption de la mémoire du noyau contre un système de défense de pointe en quelques jours seulement, affirment-ils, en dit long sur les capacités émergentes de ce duo et soulève de sérieuses questions pour l'avenir de la protection des systèmes en Europe et à l'échelle mondiale.
IA, « bugmageddon » et leur impact sur la cybersécurité européenne
Dans ses textes, Calif inscrit cet épisode dans ce qu'il appelle le Le premier « bugmageddon » de l'IA: un scénario dans lequel des modèles de plus en plus performants sont systématiquement utilisés pour trouver des failles dans les logiciels et le matériel, y compris des vulnérabilités à fort impact qui parviennent à survivre à des mesures d'atténuation complexes telles que MIE.
L'entreprise affirme que MIE a été conçu dans un monde antérieur à Mythos Preview.Autrement dit, avant l'existence de modèles commerciaux capables de participer activement à la création d'exploits en plusieurs étapes. Si cette technologie se généralise et atteint de petites équipes à travers le monde, le nombre et la qualité des vulnérabilités exploitables pourraient augmenter considérablement.
Pour l'Union européenne, qui ces dernières années a promu des réglementations telles que Réglementation sur la cyber-résilience Grâce à des cadres d'IA spécifiques, ce type de cas nous rappelle que l'intelligence artificielle n'est pas qu'un outil défensif. Elle peut aussi amplifier les capacités offensives, notamment celles qui mettent en péril les infrastructures critiques, les services financiers ou les appareils grand public où sont stockés des actifs numériques.
La communauté européenne de la sécurité discute déjà de la manière dont les stratégies de gestion des vulnérabilités, les programmes de primes aux bogues et les obligations des fabricants devraient être adaptés pour tenir compte de cette nouvelle réalité. La question de qui a accès à des modèles comme MythosLa question des conditions et des garanties dans lesquelles il est utilisé devient de plus en plus centrale dans le débat.
Réponse imminente d'Apple et ses conséquences pour les utilisateurs
Au moment de la publication des principaux détails, les documents disponibles ne comprenaient pas une réponse publique détaillée d'Apple Aucune confirmation officielle de ces correctifs n'a été apportée. Les chercheurs affirment avoir signalé le problème de manière responsable et avoir collaboré directement avec les ingénieurs d'Apple Park.
Si tous les aspects techniques sont confirmés, cette affaire démontrerait clairement que même les plateformes grand public traditionnellement considérées comme « difficiles à pirater »Les entreprises comme Apple ne sont pas à l'abri de la convergence des talents humains et de l'IA. Une intégration étroite entre matériel et logiciel offre toujours un avantage défensif, mais elle ne constitue plus une protection absolue.
Pour les utilisateurs en Espagne et dans le reste de l'Europe qui utilisent Mac avec puce M5 dans des environnements sensibles — développeurs, journalistes, opérateurs d'infrastructures critiques ou gestionnaires d'actifs numériques —, la principale recommandation est de prêter attention à mises à jour de sécurité qu'Apple publie pour macOS 26.x. En entreprise, les équipes informatiques appliquent souvent ce type de correctifs en urgence afin de combler les failles de sécurité comme celle décrite.
À ce jour, en attendant le rapport technique complet, rien n'indique que cette faille ait été intégrée à des campagnes d'attaques massives, mais la simple possibilité qu'elle existe une chaîne reproductible sur le noyau avec MIE activé Cela conduit de nombreux responsables de la sécurité à revoir leurs modèles de menaces et à mettre à jour leurs politiques.
L'exploitation d'une faille du noyau macOS sur la puce M5 illustre à quel point la cybersécurité moderne est devenue une course contre la montre entre des défenses matérielles toujours plus sophistiquées et des attaquants qui s'appuient sur l'intelligence artificielle pour gagner du temps et multiplier leurs attaques. Si une petite équipe, grâce à un modèle comme Mythos Preview, a pu découvrir deux failles, les exploiter et contourner en quelques jours une mesure d'atténuation développée pendant des années, il est raisonnable de penser que les fabricants, les autorités de réglementation et les entreprises en Europe et dans le reste du monde vont revoir leurs stratégies de sécurité face à une nouvelle génération d'exploits assistés par l'IA.
