Des chercheurs d'Ohio State ont publié les détails de « Serpent », une attaque contre l'authentification d'Apple Intelligence sur macOS 26.0 (Tahoe). L'article est sur arxiv au 2604.15637. Le design d'authentification d'Apple utilise un système de tokens à deux étapes (Token Granting Tokens pis One-Time Tokens, émis via le protocole Privacy Pass) supposé authentifier des appareils anonymement contre les services Apple Intelligence. Serpent démontre que les tokens atterrissent dans le login keychain en texte clair, peuvent être extraits avec des outils macOS standards, pis peuvent être rejoués sur un autre appareil pour se faire passer pour l'original.

Le chemin d'extraction est le détail d'ingénierie à comprendre. Un malware roulant avec des permissions utilisateur ordinaires sur le Mac victime peut tirer les valeurs TGT pis OTT hors du login keychain via l'API SecItemCopyMatching ou le CLI /usr/bin/security, en supposant que l'utilisateur clique à travers l'invite routinière d'accès keychain. Avec les tokens en main, l'attaquant écrase son propre keychain local avec les tokens de la victime, pis les requêtes Apple Intelligence subséquentes identifient l'appareil de l'attaquant comme étant la victime. Ni un exploit kernel ni un accès privilégié ne sont nécessaires. La faille de design est que les tokens sont stockables pis portables dans un conteneur atteignable par du malware ordinaire au niveau applicatif.

Apple a patché dans macOS 26.2 en déplaçant les tokens du login keychain vers l'iCloud keychain pis en ajoutant des vérifications de permission kernel. Les chercheurs notent que c'est un fix partiel, pas complet : un attaquant suffisamment privilégié peut encore contourner les entitlements via des extensions kernel, pis la classe générale de « tokens d'auth anonymes par appareil qui peuvent être volés du stockage local » est architecturale plutôt que spécifique à l'implémentation. CVE-2025-43509 est assigné. Pour n'importe qui bâtissant des flux d'auth anonyme préservant la vie privée sur des plateformes client, la leçon est que la couche stockage compte autant que la couche protocole. Les garanties Privacy Pass s'effondrent si les tokens peuvent être retirés de l'appareil à qui ils ont été émis.

Deux points pour les builders. Un, si ton produit utilise des tokens d'accès anonymes liés à l'identité d'appareil (pour services IA, DRM, limitation API, n'importe quoi de similaire), le pattern Serpent est le template contre lequel tester ton design de stockage. « Tokens dans un keychain fourni par l'OS » n'est pas suffisant si ce keychain est lisible par du code avec permissions utilisateur ordinaires derrière une invite de consentement routinière. Deux, l'article d'Ohio State arrive la même semaine que les 271 zero-days Mozilla/Mythos pis le rapport de fuite Glasswing d'Anthropic. Le pattern est cohérent : la sécurité des plateformes IA se concentre sur le contrôle d'accès aux modèles (qui obtient les poids, qui obtient l'API) tandis que la couche classique d'authentification app-et-OS reste une cible plus molle. Le côté client du déploiement d'IA est là où vivront la prochaine année d'exploits pratiques.