Un chercheur en sécurité de Google a réussi à exploiter des failles présentes dans le protocole qu’Apple utilise notamment pour AirDrop. Résultat : un accès aux fichiers des iPhone et d’autres appareils iOS, et des possibilités de piratage dignes des meilleures œuvres de fiction.
La découverte émane de Ian Beer, un chercheur en sécurité œuvrant dans le cadre de l’initiative Google Project Zero, et elle a de quoi faire frémir. Plusieurs failles identifiées dans le protocole AWDL (Apple Wireless Direct Link), utilisé pour créer un réseau maillé destiné à certaines fonctionnalités comme AirDrop (partage de fichiers entre des appareils Apple) ou Sidecar (partage d’écran entre un Mac et un iPad) pouvaient être exploitées afin de prendre à distance le contrôle d’un iPhone. Comme Ian Beer le démontre dans deux vidéos (disponibles ci-dessous), le vol de fichiers était possible, mais pas seulement.
Le chercheur en sécurité indique qu’il était aussi envisageable de lire des mails et messages, et même d’espionner l’utilisateur en prenant le contrôle des micros et caméras de l’iPhone. Un cas de figure, relativement rare, mais qui n’est pas sans rappeler certaines œuvres de fiction comme la série Mr. Robot ou les jeux vidéo Watch Dogs.
Des failles admises par Apple, mais déjà comblées sur les dernières versions d’iOS
Comme le précise The Verge, le chercheur a aussi été en mesure de trouver un moyen de forcer l’activation du protocole AWDL lorsque ce dernier avait préalablement été coupé manuellement. Ian Beer a néanmoins précisé n’avoir trouvé « aucune preuve que ces failles ont été exploitées dans la nature ». Il explique par ailleurs qu’il lui a fallu 6 mois pour identifier et vérifier ces failles, puis démontrer qu’elles étaient exploitables, mais précise que si l’utilisation de ces failles était compliquée, il ne faudrait pas prendre ses découvertes à la légère.
« Le bilan de cette expérience ne devrait pas être : personne ne passera six mois de sa vie à pirater mon téléphone, je vais bien. Au contraire, il devrait être : une personne, travaillant seule dans sa chambre, a pu se doter d’une capacité qui lui permettrait de compromettre sérieusement les utilisateurs d’iPhone avec lesquels elle est en contact », a-t-il indiqué.
Contacté par The Verge, Apple a reconnu la présence de ces failles sur les anciennes versions d’iOS et a indiqué avoir cité à plusieurs reprises Ian Beer dans les notes de versions de mises à jour de sécurité déployées en mai. Le groupe indique néanmoins qu’à l’heure actuelle, l’essentiel des utilisateurs d’iPhone est déjà passé sur les dernières versions d’iOS, qui ne sont plus exposées à ces vulnérabilités. Apple indique enfin que les attaques démontrées par Ian Beer nécessitaient d’être à portée de Wi-Fi des iPhone ciblés. Ce qui réduit tout de même un peu le champ des possibles pour un hacker.
Pour ne rater aucun bon plan, rejoignez notre nouveau channel WhatsApp Frandroid Bons Plans, garanti sans spam !
Naaah ils payent pour la marque, ils en ont que faire de la sécurité. Comme 95% de la population d'ailleurs
Les pigeons qui payent pour la soit disant sécurité apple
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix