Apple a corrigé une faille de sécurité majeure dans macOS, baptisée « Sploitlight », qui permettait aux attaquants de contourner les paramètres de confidentialité des utilisateurs et d'extraire des données sensibles, y compris des fichiers mis en cache par Apple Intelligence.
Découverte par l’équipe Threat Intelligence de Microsoft et suivie comme CVE-2025-31199, la vulnérabilité exploitait le système de plug-in Spotlight de macOS pour échapper aux protections de transparence, de consentement et de contrôle (TCC). TCC est censé empêcher tout accès non autorisé aux données utilisateur telles que la localisation, les photos, les téléchargements et le contenu personnel générés par les systèmes d’IA d’Apple.
Sploitlight a profité des importateurs Spotlight, qui sont de petits outils qui indexent les fichiers pour la recherche macOS. Bien que ces plugins fonctionnent normalement dans un bac à sable et soient limités aux fichiers qu'ils traitent, les chercheurs de Microsofttrouvéun moyen d’abuser du processus d’indexation pour divulguer des données privées. En créant ou en modifiant un plugin et en le plaçant dans un dossier utilisateur, les attaquants pourraient analyser et enregistrer le contenu des fichiers stockés dans des emplacements protégés par TCC tels que les dossiers Téléchargements, Bureau et Images. Aucune autorisation élevée n’était nécessaire et le plugin n’avait pas besoin d’être signé.
Cette technique a permis de siphonner les métadonnées des médias privés, l'historique de géolocalisation, les balises de reconnaissance de visage et de personne, les préférences des utilisateurs et même les résumés en cache générés par Apple Intelligence. Ce qui a aggravé le problème, c'est la synchronisation iCloud. Un seul Mac compromis pourrait être utilisé pour collecter des données liées à d'autres appareils Apple liés au même compte iCloud, y compris les iPhones et iPads. Microsoft a souligné que les implications de cette vulnérabilité étaient plus graves que les contournements TCC précédents comme « powerdir » ou « HM-Surf » en raison de la nature sensible des données Apple Intelligence impliquées.
La bonne nouvelle est qu'Apple a corrigé la faille de la mise à jour macOS Sequoia 15.4, publiée le 31 mars 2025, après avoir été alerté par Microsoft en début d'année. Selon la documentation de sécurité d'Apple, la vulnérabilité Sploitlight a été corrigée grâce à une rédaction améliorée des données. Parallèlement à ce correctif, Apple a également résolu deux autres problèmes macOS découverts par Microsoft en améliorant la validation des liens symboliques et la gestion de l'état.
Bien que l’exploit Sploitlight n’ait pas été observé dans la nature, le potentiel d’abus était sérieux. Les utilisateurs sont fortement encouragés à mettre à jour leurs systèmes s’ils ne l’ont pas déjà fait. L'installation de macOS Sequoia 15.4 empêchera les attaquants d'utiliser cette technique pour analyser des fichiers sensibles. De plus, les utilisateurs doivent éviter d'installer des plugins Spotlight inconnus ou non signés et doivent surveiller l'activité du système pour déceler tout comportement suspect.