Pendant qu’Apple peaufine son IA maison pour Xcode (sans date de sortie, évidemment), Microsoft vient tranquillou installer ses petites affaires dans l’écosystème le plus verrouillé du marché en sortant son extension officielle Github Copilot pour Xcode , pile-poil au moment où les rumeurs nous soufflent qu’Apple travaille aussi sur sa propre solution locale.

Cette extension de Github pour Xcode propose trois fonctionnalités principales. Tout d’abord de la complétion de code en temps réel. Ensuite, pendant que vous tapez, un tchat vous permet de poser des questions sur votre code, et il y a également un mode Agent qui peut modifier directement vos fichiers et lancer des commandes terminal. C’est gratuit jusqu’à 2000 complétions et 50 messages tchat par mois, donc largement de quoi rendre accro la majorité des devs iOS avant qu’Apple ne sorte son propre truc !

Maintenant pour utiliser un outil Microsoft dans un IDE Apple, vous devez accorder trois permissions macOS sacrées : Background, Accessibilité, et Xcode Source Editor Extension. Hé oui, Apple force littéralement ses développeurs à ouvrir toutes ces portes et niveau permissions, c’est l’Accessibilité qui pose régulièrement problème, car faut souvent la désactiver puis la réactiver pour que ça fonctionne correctement.

Ensuite l’installation est assez classique. Soit via Homebrew ou en téléchargeant le DMG directement depuis le dépôt GitHub.

brew install --cask github-copilot-for-xcode

Si vous êtes sous Mac, je pense que comme moi, vous passez votre temps à chercher des fichiers ou lancer des applications avec Spotlight… Si vous ne connaissez pas cet outil, c’est un truc super pratique d’Apple qui indexe tout votre disque dur pour vous faire gagner du temps. Command+Espace, trois lettres tapées, et hop, votre document apparaît. Pratique, non ?

Sauf que voilà, depuis presque 10 ans maintenant, ce même Spotlight peut servir de cheval de Troie pour siphonner vos données les plus privées. Et le pire, c’est qu’Apple le sait et n’arrive toujours pas à vraiment colmater la brèche.

Patrick Wardle, le chercheur en sécurité derrière plusieurs outils populaires comme LuLu , vient d’expliquer sur son blog Objective-See une technique ahurissante qui permet à un plugin Spotlight malveillant de contourner toutes les protections TCC de macOS. Pour info, TCC (Transparency, Consent and Control), c’est le système qui vous demande si telle application peut accéder à vos photos, vos contacts, votre micro… Bref, c’est censé être le garde du corps de votre vie privée sous Mac.

Alors comment ça marche ?

Hé bien au lieu d’essayer de forcer les portes blindées du système, le plugin malveillant utilise les notifications Darwin comme une sorte de morse numérique. Chaque byte du fichier à voler est encodé dans le nom d’une notification (de 0 à 255), et un processus externe n’a qu’à écouter ces notifications pour reconstruire le fichier original, octet par octet. C’est du génie dans sa simplicité !

Ce qui rend cette histoire encore plus dingue, c'est que cette vulnérabilité a été présentée pour la première fois par Wardle lui-même lors de sa conférence #OBTS v1.0 en 2018. Il avait déjà montré comment les notifications pouvaient permettre aux applications sandboxées d'espionner le système.

Plus récemment, Microsoft a “redécouvert” une variante de cette technique cette année et l’a baptisée “ Sploitlight ”. Ils ont même obtenu un joli CVE tout neuf (CVE-2025-31199) pour leur méthode qui consistait à logger les données dans les journaux système. Apple a corrigé cette variante dans macOS Sequoia 15.4… mais la méthode originale de Wardle fonctionne toujours, même sur macOS 26 (Tahoe) !

Et sinon, savez-vous ce que ces plugins peuvent voler exactement ?

Il y a notamment un fichier bien particulier sur votre Mac, caché dans les profondeurs du système, qui s’appelle knowledgeC.db. Cette base de données SQLite est littéralement le journal intime de votre Mac. Elle contient tout :

• Quelles applications vous utilisez et pendant combien de temps
• Vos habitudes de navigation web avec Safari (historique détaillé, fréquence des visites, interactions)
• Quand vous branchez votre téléphone
• Quand vous verrouillez votre écran
• Vos trajets en voiture avec CarPlay
• Vos routines quotidiennes et patterns comportementaux

C’est le genre de données qui raconte votre vie mieux que vous ne pourriez le faire vous-même. Et avec les nouvelles fonctionnalités d’Apple Intelligence dans macOS Tahoe, cette base de données alimente directement l’IA d’Apple pour personnaliser votre expérience.

Avec ce fichier, quelqu’un pourrait non seulement voir ce que vous faites maintenant sur votre Mac, mais aussi reconstituer vos habitudes des 30 derniers jours. À quelle heure vous commencez votre journée, quelles apps vous lancez en premier, combien de temps vous passez sur tel ou tel site… C’est le rêve de n’importe quel espion ou publicitaire, et c’est accessible via une simple vulnérabilité Spotlight.

Apple a bien sûr essayé de corriger le tir. Dans macOS 15.4, ils ont ajouté de nouveaux événements TCC au framework Endpoint Security pour mieux surveiller qui accède à quoi. Ils ont aussi corrigé la variante découverte par Microsoft (CVE-2025-31199).

Mais… la vulnérabilité de base présentée par Wardle fonctionne toujours sur macOS 26 (Tahoe), même en version Release Candidate avec SIP activé ! C’est comme ajouter une serrure supplémentaire sur la porte alors que tout le monde passe par la fenêtre depuis 10 ans.

Wardle a une idée toute simple pour régler définitivement le problème : Apple pourrait exiger une notarisation pour les plugins Spotlight, ou au minimum demander l’authentification et l’approbation explicite de l’utilisateur avant leur installation. Actuellement, n’importe quel plugin peut s’installer tranquillement dans ~/Library/Spotlight/ et commencer à espionner vos données, sans même nécessiter de privilèges administrateur.

Alors bien sûr, avant que vous ne couriez partout comme une poule sans tête, il faut relativiser :

1. Cette attaque nécessite un accès local à votre système - on ne parle pas d’une vulnérabilité exploitable à distance
2. Il faut qu’un malware ou un attaquant installe d’abord le plugin malveillant sur votre Mac
3. La “bande passante” est limitée - transmettre octet par octet n’est pas très efficace pour de gros fichiers
4. macOS affiche une notification quand un nouveau plugin Spotlight est installé (même si cette alerte peut être contournée)

Ça fait quand même quelques conditions… mais le fait que cette faille existe depuis près de 10 ans et fonctionne toujours sur la dernière version de macOS reste préoccupant.

Cette histoire nous rappelle que les outils les plus dangereux sont souvent ceux auxquels on fait le plus confiance… Wardle fournit même un proof-of-concept complet sur son site pour que la communauté puisse tester et comprendre le problème. Espérons qu’Apple prendra enfin cette vulnérabilité au sérieux et implémentera les mesures de sécurité suggérées.

En attendant, restez vigilants sur les applications que vous installez et gardez un œil sur les notifications système concernant l’installation de nouveaux plugins Spotlight !

Vous le savez, j’ai toujours eu un faible pour les outils qui font des trucs qu’ils ne devraient pas pouvoir faire. Et mas-cli , c’est exactement ça : un petit utilitaire en ligne de commande qui permet d’automatiser le Mac App Store depuis votre terminal

Si vous êtes sous Mac et que comme moi, vous trouvez l’App Store d’Apple lent et peu pratique, cet outil open-source écrit en Swift va peut-être vous changer la vie. Il utilise des frameworks Apple privés non-documentés pour automatiser un store qui n’a jamais été pensé pour ça. C’est beau comme du Bruno Le Maire dans le texte…

Les développeurs Mac, supposés accepter l’expérience voulue par Apple, recréent donc secrètement leur propre système de paquets à la Unix. L’amour c’est compliqué, je sais…

Installation

L’installation se fait très simplement via Homebrew :

brew install mas

Vous pouvez aussi récupérer directement le binaire si vous préférez.

Utilisation au quotidien

Une fois installé, vous pouvez vous connecter à l’App Store directement depuis un terminal avec :

mas signin [email protected]

Pour lister vos applications installées via l’App Store :

mas list

Lancer une recherche d’app :

mas search MOTCLÉ

Et installer l’application de votre choix en utilisant son ID :

mas install 123456789

Gestion des mises à jour

Pour lister les applications qui n’ont pas été mises à jour :

mas outdated

Pour mettre une application spécifique à jour, utilisez l’ID de l’app en question :

mas upgrade 123456789

Et pour tout mettre à jour d’un coup :

mas upgrade

L’automatisation ultime

Là où ça devient vraiment intéressant, c’est que mas-cli, avec son intégration à homebrew-bundle, permet de scripter complètement l’installation d’un nouvel environnement Mac. Vous pouvez définir dans un Brewfile toutes vos apps, y compris celles du Mac App Store, et tout installer d’un coup. C’est exactement ce dont rêvent tous les développeurs qui passent leur vie dans un terminal.

Ça va être particulièrement pratique pour scripter 2 ou 3 trucs afin de gérer au mieux la mise à jour de vos applications ou la récupération régulière d’une liste de softs installés. Tout ça depuis votre terminal, sans jamais ouvrir l’interface graphique du Mac App Store.

Les limites à connaître

Comme l’expliquent les développeurs eux-mêmes , mas-cli utilise des frameworks Apple privés non-documentés qui peuvent changer sans préavis. C’est génial sur le papier, mais dans la réalité, vous ne saurez jamais si ça marchera encore demain car Apple peut décider de changer ses API.

Mais bon, en attendant que ça casse, profitons-en pour automatiser tout ce qui peut l’être !

Merci à Lorenper pour le partage.

Article paru initialement le 09/02/2017, mis à jour le 17/09/2025

Vous en avez marre d’attendre 3 plombes que votre VM Windows copie un fichier ? Vous regardez l’indicateur de progression en vous demandant si c’est votre SSD de 2 To qui a soudainement décidé de se transformer en disquette ? Alors Apple a enfin entendu vos cris de désespoir avec ASIF dans macOS Tahoe.

Pour ceux qui bossent avec des machines virtuelles, c’est le drame quotidien. Vous avez beau avoir un Mac Studio M2 Ultra avec un SSD qui crache 7 GB/s, dès que vous lancez une VM Linux ou Windows, c’est la cata. Les images disque UDSP (Sparse Image) plafonnent lamentablement à 100 MB/s, voire 0,1 GB/s quand elles sont chiffrées. Autant dire que votre SSD NVMe de compète se transforme en disque dur des années 90.

Mon fils voulait qu’on joue ensemble à Fortnite, mais j’avais la flemme de sortir le PC. Problème, j’ai un Mac Silicon et Fortnite, c’est officiellement mort sur macOS depuis qu’Apple et Epic se tirent des boulets de canon. Heureusement, des bidouilleurs de talent veillent au grain.

En effet, depuis 2020, Apple a banni Fortnite de ses machines après le conflit épique (sans jeu de mots) avec Epic Games autour des commissions de l’App Store. Epic voulait contourner la taxe de 30%, Apple a sorti l’artillerie lourde. Résultat, plus de Fortnite sur Mac, et les gamers macOS se retrouvent le bec dans l’eau.

Si vous passez vos journées, le nez dans un terminal, ce serait-y pas trop cool de pouvoir également y écouter vos livres audio et vos podcasts ?

On évite ainsi les interfaces flashy, les notifs et autres animations inutiles et on se concentre sur l’essentiel, à savoir la simplicité monacale du terminal. Bref, si vous êtes de ceux qui pensent qu’une journée sans taper une commande est une journée perdue, il faut que je vous présente Toutui !