Baptisée Sploitlight, cette vulnérabilité -qui passait par Spotlight- a été découverte par Microsoft Threat Intelligence. Elle aurait pu permettre à des attaquants d’accéder à des données hautement sensibles sur l'iPhone et le Mac. Heureusement, Apple a corrigé le problème avant qu’il ne soit exploité.
Une faille dans Spotlight qui inquiète
Microsoft a révélé aujourd’hui avoir identifié une faille de sécurité importante dans Spotlight, le moteur de recherche intégré à macOS et iOS. Selon le post de blog publié par la division Threat Intelligence, la vulnérabilité –surnommée Sploitlight – permettait de contourner le système Transparency, Consent, and Control (TCC) d’Apple, qui est normalement chargé de protéger les informations privées des utilisateurs.
En exploitant certaines failles dans les plugins Spotlight, des chercheurs de Microsoft ont réussi à accéder à des données normalement inaccessibles, comme les données de localisation précises, les métadonnées de photos et vidéos, les informations de reconnaissance faciale de la photothèque, mais aussi l’historique des recherches, des résumés d’emails générés par Apple Intelligence et des préférences utilisateur.
Comment l’attaque fonctionnait ?
Le système TCC empêche habituellement les applications d’accéder aux données sensibles sans le consentement explicite de l’utilisateur. Mais Microsoft a découvert qu’il était possible de contourner ces restrictions en modifiant les bundles d’applications indexés par Spotlight. Cette manipulation permettait de forcer le moteur de recherche à exposer des fichiers et métadonnées confidentiels.
Apple corrige le tir avec macOS 15.4 et iOS 15.4
Alertée par Microsoft, Apple a rapidement réagi. Le correctif a en effet été intégré dans les mises à jour macOS 15.4 et iOS 15.4, publiées le 31 mars dernier - sous le nom de CVE-2025-31199. Dans sa documentation de sécurité, Apple explique avoir résolu le problème par une meilleure rédaction des données et des contrôles renforcés sur les symlinks et la gestion des états. Microsoft et Apple confirment que la faille n’a jamais été exploitée.
Cet épisode illustre la coopération entre géants de la tech pour renforcer la cybersécurité. Ce n’est pas la première fois que Microsoft signale des failles à Apple : deux autres vulnérabilités, découvertes en parallèle, ont également été corrigées dans la même mise à jour. Les détails techniques sont disponibles dans le rapport complet publié par Microsoft, destiné notamment aux experts en sécurité.
