N’hésitez pas à écouter la version podcast. 😉
Le fait du 14 mai…
Le 14 mai 2026, des chercheurs de l’équipe Calif ont publié le premier exploit public du noyau macOS sur puce Apple M5. En cinq jours de travail, assistés du modèle d’intelligence artificielle Mythos d’Anthropic, ils ont contourné le Memory Integrity Enforcement, la protection mémoire du noyau qu’Apple avait passé cinq années à construire. La faille a été corrigée dans macOS Tahoe 26.5, sorti le 11 mai.
Ce qui ressemble à une actualité de sécurité parmi d’autres est en réalité un événement structurel pour l’écosystème Apple.
Ce que personne n’avait vu venir
Apple n’a jamais présenté le Memory Integrity Enforcement en Keynote. Aucune annonce grand public, aucun diaporama. Cette couche de protection matérielle du noyau macOS n’a été décrite que dans un article du blog Apple Security Research, accessible uniquement à ceux qui cherchaient.
C’est précisément ce silence qui rend la chute spectaculaire. L’exploit de Calif ne cible pas une fonctionnalité périphérique : il contourne la protection structurelle centrale qu’Apple considérait comme l’avenir de la sécurité sur toute sa gamme Apple Silicon.
Le vrai signal n’est pas la vulnérabilité elle-même. C’est l’outil qui a permis de la découvrir en cinq jours là où un chercheur humain seul aurait mis plusieurs semaines : Mythos Preview d’Anthropic, un modèle capable de scanner les classes de bugs connus à une vitesse qu’aucune équipe humaine n’atteint.
La mécanique de la forteresse brisée
Le Memory Integrity Enforcement repose sur une spécification d’architecture publiée par ARM en 2019 : la Memory Tagging Extension (MTE).
Le principe est d’une logique implacable. Chaque allocation de mémoire reçoit une étiquette numérique secrète, intégrée directement dans le pointeur qui y donne accès. Le processeur vérifie automatiquement, à chaque accès, que l’étiquette présentée correspond bien à celle attendue. Si elles ne correspondent pas, l’accès est refusé par le matériel avant même d’atteindre le système d’exploitation.
Conséquence théorique : les corruptions de mémoire classiques, qui sont à l’origine de l’immense majorité des exploits noyau depuis trente ans, cessent d’être exploitables. Le pointeur corrompu présente une mauvaise étiquette et la tentative d’attaque échoue au niveau du silicium.
Apple avait déjà déployé une technologie similaire en 2018 avec les PAC (Pointer Authentication Codes) sur la puce A12. Le Memory Integrity Enforcement représentait l’étape suivante : une couverture permanente, universelle, sur toute l’allocation mémoire du noyau.
L’exploit de Calif est une escalade de privilèges locaux en mode données uniquement. Partant d’un processus utilisateur ordinaire, sans aucun privilège particulier, en utilisant uniquement des appels système standards, les chercheurs ont obtenu un accès root complet. La chaîne d’exploitation ne casse pas l’architecture MTE elle-même : elle exploite des asymétries dans la façon dont macOS implémente la gestion des étiquettes sur certains chemins de code spécifiques du noyau XNU.
Mythos Preview d’Anthropic a été utilisé pour cartographier à haute vitesse les classes de bugs connus dans XNU, identifier les zones où l’implémentation de MIE présentait des failles potentielles, et proposer des vecteurs d’attaque. L’expertise humaine reste indispensable pour orienter la recherche, mais la cadence d’exploration a atteint un niveau que les équipes de sécurité défensive n’avaient pas anticipé.
Ce qui change pour l’utilisateur …
La première conséquence est immédiate : si vous utilisez un Mac avec puce M5 pour des usages sensibles, la mise à jour vers macOS Tahoe 26.5 est impérative. Les deux vulnérabilités exploitées dans la chaîne de Calif ont été corrigées dans cette version.
À six mois, les implications sont plus larges. Apple va renforcer l’implémentation de MIE dans les variantes Pro, Max et Ultra du M5, ainsi que dans la prochaine génération M6. La découverte d’un exploit public va mécaniquement accélérer la recherche offensive dans la communauté de sécurité mondiale.
Pour les organisations qui ont déployé des Mac M5 dans des environnements à données sensibles, le message est nuancé : le Memory Integrity Enforcement est une protection réelle et sérieuse, qui élève considérablement le coût d’une attaque locale, mais elle ne dispense pas d’une politique de mise à jour rigoureuse, et ne remplace pas les mesures organisationnelles de sécurité.
Le signal stratégique de fond est plus radical : Mythos et ses équivalents chez d’autres acteurs vont industrialiser la découverte de vulnérabilités dans les systèmes d’exploitation. Apple devra adapter son cycle de réponse sécurité. L’ère où une protection matérielle pouvait tenir plusieurs années sans être mise à l’épreuve publiquement est révolue.
Source : First public macOS kernel memory corruption exploit on Apple M5 — Calif Security Research, 14 mai 2026
| Titre de la page | URL officielle | Date de publication |
|---|---|---|
| First public macOS kernel memory corruption exploit on Apple M5 | blog.calif.io | 14 mai 2026 |
| Memory Integrity Enforcement: A complete vision for memory safety in Apple devices | security.apple.com | 2026 |
| About the security content of macOS Tahoe 26.5 | support.apple.com | 11 mai 2026 |
| Anthropic Mythos helped Calif build a macOS exploit in five days | 9to5mac.com | 14 mai 2026 |
| Aided by Mythos Preview, Researchers Announce MacOS Kernel Exploit | daringfireball.net | 14 mai 2026 |
Vous avez une question, une idée ou une remarque ? Je serai ravi de vous lire ! ✉️ henrido@hdrapin.com
En savoir plus sur Les miscellanées Numériques
Abonnez-vous pour recevoir les derniers articles par e-mail.
