Des experts en sécurité allemands annoncent avoir découvert une faille de sécurité au sein du protocole AirDrop d'Apple. Celle-ci permettrait de récupérer le numéro de téléphone et l'adresse mail d'une victime sans son consentement.
Demandez à un fan d’Apple ce qu’il préfère dans l’écosystème du constructeur américain et il y a de fortes chances pour qu’AirDrop soit dans les premières réponses. Cette fonctionnalité de partage simplifié entre appareils de la marque a longtemps été l’apanage de l’iPhone et des Mac, jusqu’à l’arrivée de Nearby Sharing sur Android qui tente timidement de proposer une alternative, sans le même succès néanmoins.
Cette fonctionnalité tant aimée souffre néanmoins d’une faille de sécurité apparemment plutôt grossière révélée par des chercheurs de l’Université de technologie de Darmstadt, en Allemagne. Celle-ci pourrait rendre vulnérables 1,5 milliard d’appareils Apple, laissant aux hackers la possibilité de récupérer leur numéro de téléphone et leur adresse mail.
Une obfuscation limitée
AirDrop permet donc de partager facilement un fichier ou des données entre appareils Apple. Pour simplifier ce partage, trois modes sont disponibles sur AirDrop : « réception désactivée » pour ne rien recevoir, « contacts uniquement » (le mode par défaut) pour recevoir des fichiers de personnes se trouvant dans votre répertoire ou « tout le monde », dont l’utilité est assez explicite. Lorsque vous lancez AirDrop, votre iPhone ou votre Mac va alors scanner les alentours pour découvrir la présence d’appareils compatibles et, dans le cas où vous auriez laissé l’option « contacts seulement », communiquer avec chacun d’eux afin de vérifier s’ils se trouvent dans votre répertoire et vice-versa.
Pour vérifier cela, votre téléphone ou votre ordinateur communique donc votre numéro de téléphone et votre adresse mail, bien évidemment chiffrés. Cette méthode ne semble cependant pas obfusquer convenablement ces données.
Les chercheurs de l’Université de Darmstadt ont découvert qu’une simple attaque de brute force (utilisant à tour de rôle des combinaisons aléatoires ou tirées d’un « dictionnaire ») permettait d’inverser le chiffrement et donc de récupérer le numéro de téléphone et l’adresse mail d’une personne ayant activé la recherche AirDrop. Une attaque assez peu probable en soi, le temps de scan étant limité, mais loin d’être impossible.
Apple a été averti… il y a deux ans
Dans le billet de blog dévoilant cette faille, les chercheurs de Darmstadt indiquent avoir informé Apple de cette faille de sécurité en mai 2019, sans recevoir de réponse. Depuis, la faille n’a toujours pas été corrigée. Le seul moyen de s’en protéger serait donc de désactiver totalement AirDrop.
La solution existe pourtant bel et bien. Ces mêmes chercheurs ont développé une solution baptisée « PrivateDrop » afin de remplacer le design défaillant d’AirDrop. Selon eux, ce correctif permettrait de préserver les données des utilisateurs, même lors d’un temps d’authentification « bien en dessous d’une seconde ». De quoi réduire drastiquement toute tentative par force brute.
Les résultats de ces recherches seront présentés plus en détail en août lors de l’UNESIC Security Symposium. Espérons que d’ici là Apple aura pris connaissance de cette faille et l’aura corrigée.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Hahaha !! ^^ Il existe encore des iFans pour penser ça ? ^^
Ah
Et pourtant ça arrive. Bien moins que sur Android mais ça arrive tout de même.
C'est vrai, ils sont au top, mais cela ne les immunise pas des failles malgré tout.
nous sommes 1.5 milliard offusqués par cette obfuscation. Une simple fuite d'air polluée🤡
[…] Our Reference […]
C'est évident ! Apple = sécurité ;)
Fake ! Un iFan m'a encore assuré hier qu'il n'y avait jamais de faille dans les produits Apple !
Vous devez faire erreur ce n'est pas possible qu'il y ait une faille sur un produit Apple !
A part, jamais de failles chez Apple... Mais surtout ce qui surprend, comme je le disais sous un autre article, c'est les délais incroyables qu'ils ont pour les corriger ! Ils ne sont pas encore habitués à devoir traiter des failles dirait-on...
+1 Fake news a coup sûr 🤗
Impossible, Apple c'est le top en matière de sécurité !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix