High-tech

Un MacBook non restitué et un bug d’authentification : la forteresse Apple a cédé

Chang Liu quitte Apple le 22 janvier 2026 pour OpenAI et ne restitue pas au moins un MacBook de fonction. Selon la plainte, un bug d’authentification aurait maintenu son accès au stockage réseau d’Apple, permettant le téléchargement de dizaines de fichiers confidentiels.


Dans la plainte déposée par Apple contre OpenAI, un élément retient particulièrement l’attention : un ancien ingénieur qui n’aurait jamais restitué son MacBook, et un bug qui lui aurait permis d’accéder aux serveurs pendant plusieurs semaines. La sécurité réputée solide de la technologie a montré une faiblesse sur un aspect souvent négligé par de nombreuses entreprises : le départ d’un salarié.

Retenir son ordinateur professionnel après une démission est une pratique qui existe, souvent par négligence tant du salarié que du service informatique. Chez Apple, cette négligence est devenue un élément central d’une plainte fédérale pour espionnage industriel. Chang Liu, un ingénieur ayant travaillé huit ans sur l’iPhone, a quitté l’entreprise le 22 janvier 2026 pour rejoindre OpenAI. Selon Apple, il a ignoré les relances pour son entretien de sortie et n’a pas restitué au moins un MacBook de fonction.

Le 9 février, toujours selon la plainte, il essaie d’accéder au stockage réseau d’Apple, un espace cloud contenant des fichiers d’ingénierie et des documents de projet. Cela fonctionne. Un bug d’authentification, jusque-là inconnu, aurait conservé son accès alors qu’Apple coupe normalement les comptes dès le jour du départ. S’ensuivent des semaines de téléchargements : des dizaines de fichiers confidentiels, y compris une compilation technique dépassant 1 000 pages. Le récit complet, avec le fameux « LOL » laissé durant ce processus, est marquant.

Le paradoxe est qu’Apple décrit dans la même plainte un ensemble de mesures de sécurité digne d’une base militaire : badges limités pour chaque bâtiment, escortes obligatoires, traçabilité des composants jusqu’à leur destruction. Cependant, ce dispositif repose sur une condition préalable : que le salarié se présente à la sortie. Or, Apple constate une tendance inverse chez ceux qui partent pour OpenAI. Les entretiens de sortie sont ignorés, les préavis sont écourtés, et les relances de l’équipe de sécurité restent sans réponse.

Le phénomène semblerait même organisé. Un document interne intitulé « Need to Know », détaillant les contrôles appliqués aux partants, circulerait chez OpenAI, diffusé aux nouvelles recrues avant leur démission par Tang Tan, l’ancien cadre d’Apple devenu responsable du hardware chez OpenAI.

Toujours selon la plainte, OpenAI conseillerait à ses futurs employés de ne pas révéler leur destination, d’éviter une sortie immédiate escortée, et de ne « rien signer » lors de l’entretien de départ. De son côté, Apple affirme avoir corrigé le bug dès sa découverte, ses journaux serveurs montrant que les rares autres comptes concernés n’ont effectué aucun téléchargement.

Rien de tout cela n’est encore jugé. OpenAI a pour sa part réagi en affirmant ne « n’avoir aucun intérêt pour les secrets commerciaux d’autres entreprises », tandis que Chang Liu et Tang Tan n’ont pas répondu publiquement aux accusations.

Cette plainte s’inscrit dans un contexte tendu entre les deux entreprises. Alliées en 2024 avec l’intégration de ChatGPT à Siri, elles se sont éloignées depuis qu’OpenAI a acquis en 2025 la start-up de matériel io, fondée par l’ancien designer vedette d’Apple Jony Ive, pour près de 6,5 milliards de dollars (environ 6 milliards d’euros). Apple a d’ailleurs annoncé en juin que la nouvelle version de Siri se basera finalement sur Gemini, l’IA de Google, et non plus sur la technologie d’OpenAI.

La leçon tirée de cette affaire va bien au-delà du conflit entre Apple et OpenAI. Peu importe le nombre de caméras, les noms de code et les transports sécurisés, si le compte réseau reste actif après le retrait du badge, toute la sécurité physique devient inutile. Les responsables informatiques du monde entier ont désormais sous les yeux un rappel : la sécurité craque toujours au même endroit, entre la lettre de démission et le carton de départ. Le « LOL » de Chang Liu restera comme le symbole d’une désinvolture face à une faille aussi manifeste.