Une faille critique dans macOS permettait de contourner le sandbox des applications via l'utilitaire d'archivage

Une brèche dans les défenses de macOS

Des chercheurs en sécurité ont mis au jour une vulnérabilité critique affectant les versions de macOS allant de Tahoe 26.0.0 à 26.3.2, et probablement les versions antérieures. Identifiée sous la référence CVE-2026-28910, cette faille exploite l'utilitaire d'archivage intégré au système — l'outil par défaut pour ouvrir et compresser les fichiers zip — afin de contourner plusieurs couches de protection essentielles de macOS.

Selon les détails publiés par les chercheurs, l'utilitaire d'archivage disposait, jusqu'à la version 26.4, d'un accès quasi illimité au système de fichiers. En combinant ce défaut avec une particularité du mécanisme de glisser-déposer (drag & drop), un attaquant peut, sans mot de passe ni autorisation spéciale, lire les données des applications, y compris celles d'Apple (Safari, Messages, Notes) et de tiers (WhatsApp, Signal), accéder au contenu du Bureau et des Documents même si l'utilisateur refuse explicitement l'accès via la fenêtre de permission TCC (Transparency, Consent, and Control), et remplacer subrepticement une application installée par une version malveillante.

Un scénario d'attaque en deux étapes

L'attaque, bien que technique, ne requiert que deux actions de la part de la victime : exécuter un script fourni par l'attaquant, puis glisser-déposer un fichier spécifique. Une fois ces actions effectuées, l'exploit peut se dérouler sans déclencher d'alerte.

Les chercheurs ont développé une preuve de concept réaliste, baptisée « pb2au », qui illustre le danger. En détournant l'utilitaire d'archivage (Archive Utility), l'attaque peut copier des fichiers depuis les conteneurs de données protégés — ces dossiers dédiés à chaque application, situés dans ~/Library/Containers/ — sans que le système ni l'utilisateur n'en soient informés. Elle peut également modifier le contenu d'une application en remplaçant son exécutable principal, ce qui permet de prendre le contrôle d'un logiciel de confiance. Les chercheurs ont notamment démontré le vol de données de Safari, Messages, WhatsApp, l'espionnage du presse-papiers via le détournement d'agents d'arrière-plan, et le détournement du gestionnaire de mots de passe 1Password.

Un contournement en chaîne

La faille repose sur trois mécanismes de protection normalement indépendants mais qui se trouvent ici neutralisés. D'abord, le App Sandbox de macOS limite l'accès de chaque application aux seules ressources qui lui sont explicitement accordées. Ensuite, les Data Containers offrent un espace de stockage privé à chaque application, inaccessible même aux processus ayant les droits root. Enfin, le système TCC exige le consentement explicite de l'utilisateur avant qu'une application puisse accéder à des dossiers sensibles comme le Bureau ou les Documents.

Or, l'utilitaire d'archivage, du fait de son accès étendu, peut lire et écrire dans ces zones protégées. L'astuce consiste à lui faire exécuter des opérations d'archivage et de désarchivage sur des fichiers situés dans les conteneurs d'applications tierces. Le glisser-déposer, quant à lui, est utilisé comme un « trou intentionnel » dans le sandbox pour déclencher l'action de l'utilitaire sans restriction.

Correctif et recommandations

Apple a corrigé la vulnérabilité dans la mise à jour macOS 26.4, publiée après le signalement des chercheurs. Ceux-ci recommandent vivement aux utilisateurs de mettre à jour leur système dès que possible. Aucune solution de contournement simple n'existe pour les versions antérieures, car la faille est inhérente aux privilèges excessifs accordés à l'utilitaire d'archivage.

Les chercheurs soulignent que la vulnérabilité a été jugée sérieuse dès sa découverte, car elle contournait trois couches de sécurité majeures avec une interaction utilisateur minimale. Ils ont choisi de la signaler à Apple avant d'en explorer toute l'étendue, afin d'accélérer la correction. La chronologie du signalement n'a pas été détaillée, mais la publication technique intervient après le correctif.

Implications pour la sécurité des utilisateurs

Cette découverte met en lumière une nouvelle catégorie de risques liés aux outils système de base. Alors que les utilisateurs sont souvent incités à faire confiance aux applications intégrées, cette faille montre qu'un composant aussi banal qu'un utilitaire d'archivage peut devenir un vecteur d'attaque puissant. Les experts en sécurité appellent à une révision des privilèges accordés aux outils système hérités, et à une vigilance accrue face aux demandes d'exécution de scripts suivies de glisser-déposer, même sur un système réputé sécurisé.