AirDrop : une faille de sécurité connue d’Apple menace votre mail et numéro de téléphone

 

Des experts en sécurité allemands annoncent avoir découvert une faille de sécurité au sein du protocole AirDrop d'Apple. Celle-ci permettrait de récupérer le numéro de téléphone et l'adresse mail d'une victime sans son consentement.

Demandez à un fan d’Apple ce qu’il préfère dans l’écosystème du constructeur américain et il y a de fortes chances pour qu’AirDrop soit dans les premières réponses. Cette fonctionnalité de partage simplifié entre appareils de la marque a longtemps été l’apanage de l’iPhone et des Mac, jusqu’à l’arrivée de Nearby Sharing sur Android qui tente timidement de proposer une alternative, sans le même succès néanmoins.

Cette fonctionnalité tant aimée souffre néanmoins d’une faille de sécurité apparemment plutôt grossière révélée par des chercheurs de l’Université de technologie de Darmstadt, en Allemagne. Celle-ci pourrait rendre vulnérables 1,5 milliard d’appareils Apple, laissant aux hackers la possibilité de récupérer leur numéro de téléphone et leur adresse mail.

Une obfuscation limitée

AirDrop permet donc de partager facilement un fichier ou des données entre appareils Apple. Pour simplifier ce partage, trois modes sont disponibles sur AirDrop : « réception désactivée » pour ne rien recevoir, « contacts uniquement » (le mode par défaut) pour recevoir des fichiers de personnes se trouvant dans votre répertoire ou « tout le monde », dont l’utilité est assez explicite. Lorsque vous lancez AirDrop, votre iPhone ou votre Mac va alors scanner les alentours pour découvrir la présence d’appareils compatibles et, dans le cas où vous auriez laissé l’option « contacts seulement », communiquer avec chacun d’eux afin de vérifier s’ils se trouvent dans votre répertoire et vice-versa.

Pour vérifier cela, votre téléphone ou votre ordinateur communique donc votre numéro de téléphone et votre adresse mail, bien évidemment chiffrés. Cette méthode ne semble cependant pas obfusquer convenablement ces données.

Les chercheurs de l’Université de Darmstadt ont découvert qu’une simple attaque de brute force (utilisant à tour de rôle des combinaisons aléatoires ou tirées d’un « dictionnaire ») permettait d’inverser le chiffrement et donc de récupérer le numéro de téléphone et l’adresse mail d’une personne ayant activé la recherche AirDrop. Une attaque assez peu probable en soi, le temps de scan étant limité, mais loin d’être impossible.

Apple a été averti… il y a deux ans

Dans le billet de blog dévoilant cette faille, les chercheurs de Darmstadt indiquent avoir informé Apple de cette faille de sécurité en mai 2019, sans recevoir de réponse. Depuis, la faille n’a toujours pas été corrigée. Le seul moyen de s’en protéger serait donc de désactiver totalement AirDrop.

La solution existe pourtant bel et bien. Ces mêmes chercheurs ont développé une solution baptisée « PrivateDrop » afin de remplacer le design défaillant d’AirDrop. Selon eux, ce correctif permettrait de préserver les données des utilisateurs, même lors d’un temps d’authentification « bien en dessous d’une seconde ». De quoi réduire drastiquement toute tentative par force brute.

Les résultats de ces recherches seront présentés plus en détail en août lors de l’UNESIC Security Symposium. Espérons que d’ici là Apple aura pris connaissance de cette faille et l’aura corrigée.

Les derniers articles