
En informatique, la commodité est souvent l’ennemi de la sécurité. C’est ce que prouvent plusieurs nouvelles failles découvertes au sein des systèmes Quick Share et AirDrop. Les protocoles d’échange de données sans fil implémentés sur les téléphones Apple et Android permettent à un pirate déterminé de faire planter certaines fonctionnalités de votre téléphone.
Les détails exacts de ces failles de sécurité ont été publiés dans un article de recherche repéré par The Hacker News et montrent les problèmes inhérents à ce genre d’applications.
Des systèmes mécaniquement faillibles
Sur iPhone, il est, par exemple, possible d’initier silencieusement une connexion avec un téléphone connecté à AirDrop et faire planter le système sans que le ou la propriétaire de l’appareil ne soit averti de quoi que ce soit. Problème, c’est la même brique logicielle qui gère AirPlay (le protocole de partage de contenus audios/vidéos d’Apple), Handoff (qui permet le partage des tâches entre plusieurs appareils), le presse-papier universel et l’Appareil photo Continuité. Un bout de code malveillant et ce sont donc ces nombreuses fonctions qui sont mises HS.
Du côté d’Android, une autre faille repérée sur un Galaxy S23 permet de contourner les processus d’identification et de se connecter à une session Quick Share sans passer par les mesures de sécurité habituelles. Mais le problème le plus grave se situe dans l’application Quick Share sur Windows, qui désactive certaines mesures de sécurité et permet potentiellement l’exécution de code sur une machine infectée.
Que ce soit du côté d’iOS ou Android, ces failles exploitent la structure même de ces protocoles de partage qui, pour fonctionner efficacement, doivent offrir un accès assez profond aux couches système avant même d’avoir pu vérifier l’identité d’un appareil connecté.
Des risques mesurés
Il faut tout de même savoir raison garder. Tout d’abord parce que ces failles ne sont accessibles que via un réseau Wi-Fi partagé et pas via le web, ce qui réduit les risques. Ensuite, parce que dans les faits, ces bugs ne permettent pas de voler des données ou d’exécuter du code à distance. Juste de faire planter des applications sur votre téléphone, potentiellement en boucle. Enfin, car des correctifs ont déjà commencé à être déployés. Apple a patché l’une des trois failles dans une récente mise à jour et Google a déployé une nouvelle version de son application Quick Share pour Windows.
Pour aller plus loin
La sécurité d’AirDrop compromise : pourquoi c’est un gros problème
D’ici à ce que tous les systèmes soient bien mis à jour et protégés, la méthode la plus efficace pour se protéger reste de basculer le partage AirDrop et Quick Share en mode « Contacts uniquement » plutôt que sur « Tout le monde ». Et tant pis pour l’interopérabilité AirDrop / Quick Share pour le moment.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Quick Share pour Windows (Nearby Share)

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.