Des chercheurs de Trail of Bits ont mis le doigt sur une vulnérabilité qui permet à un pirate d’accéder à la mémoire locale des GPU vulnérables et donc, de récupérer de gros volumes de données — en l’occurrence, des requêtes à des bots ainsi que leurs réponses. Un vrai danger puisqu’un tel accès peut révéler des secrets d’entreprise ou des informations personnelles. Au préalable, le hacker doit avoir un accès physique à l’ordinateur de sa victime, ce qui limite l’impact de la vulnérabilité.
Des données sensible en danger
En tant que tel, la dangerosité de la faille baptisée « LeftoverLocals » ne parait pas si importante ; néanmoins, les pirates peuvent l’exploiter en plus d’autres vulnérabilités. Et puis l’IA générative infuse de plus en plus dans de nombreuses applications et services. Elle touche les GPU fabriqués par Apple (il y en a un dans tous les systèmes-sur-puce du constructeur), Qualcomm et AMD. Les GPU de Nvidia, d’Intel et d’Arm ne sont en revanche pas concernés. La découverte remonte à l’été dernier, et elle a été révélée aux principaux intéressés en septembre.
Apple a confirmé l’existence de la faille et a indiqué qu’un correctif avait été publié pour les puces A17 Pro (les iPhone 15 Pro) et M3 (les nouveaux iMac et MacBook Pro). Bel effort, mais cela laisse encore des millions d’appareils fonctionnant avec des puces moins récentes sur le carreau. Les chercheurs ont d’ailleurs pu constater que la vulnérabilité était toujours présente sur un MacBook Air M2 ; en revanche, l’iPad Air 3e génération (A12) est immunisé.
Chez Qualcomm, le correctif est toujours en phase de déploiement mais Trail of Bits indique que le patch corrige bien la faille. AMD va proposer des protections en mars. Google va livrer des correctifs pour les Chromebook intégrant des GPU AMD et Qualcomm. Il faut en effet que les constructeurs distribuent les mises à jour firmware, ce qui peut demander un certain temps.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wired