Des failles AirDrop d'Apple pourraient compromettre numéros de téléphone et adresses email

Le par Jérôme G.  |  2 commentaire(s)
AirDrop

Des failles en rapport avec la solution AirDrop d'Apple pour le partage de fichiers à proximité sont susceptibles de permettre à des attaquants d'obtenir les numéros de téléphone, voire adresses email de cibles.

AirDrop est un service d'Apple pour le partage sans fil de fichiers entre ses appareils situés à proximité comme l'iPhone, l'iPad et l'ordinateur Mac. Il s'exécute entièrement hors ligne - sans connexion internet - et repose sur le Bluetooth (Bluetooth Low Energy) avec la création d'un réseau Wi-Fi en P2P (Wi-Fi Direct) entre les appareils.

Des chercheurs de l'université de technologie de Darmstadt en Allemagne ont découvert deux failles de conception dans le protocole sous-jacent de AirDrop. Selon eux, une exploitation permet à des attaquants de connaître les numéros de téléphone et adresses email des appareils de l'expéditeur et du destinataire lors d'un partage de fichiers.

" Tout ce qu'il faut aux attaquants, c'est un appareil compatible Wi-Fi et la proximité physique d'une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS ", peut-on lire dans un communiqué de presse de l'université allemande.

AirDrop

Les failles sont en lien avec l'échange de valeurs de hachage de tels identifiants de contact, avec des comparaisons et la recherche d'une correspondance mutuelle pour déterminer si une personne pour un partage du contenu se trouve dans les contacts. Les valeurs de hachage pourraient être rapidement inversées avec des attaques par force brute ou dictionnaire. Compte tenu du nombre de possibilités, la compromission d'adresses email serait plus compliquée que pour les numéros de téléphone.

Divulgation responsable auprès d'Apple

Les chercheurs ont informé Apple de leur découverte en mai 2019. Une correction n'a pas suivi et de l'ordre de 1,5 milliard d'appareils Apple seraient ainsi vulnérables. " Les utilisateurs peuvent uniquement se protéger en désactivant la découverte d'AirDrop dans les paramètres du système et en s'abstenant d'ouvrir le menu de partage. "

À souligner toutefois qu'une éventuelle attaque nécessite d'être à proximité physique des victimes, en plus d'autres contraintes pour l'échange des valeurs de hachage. Les chercheurs doivent plus amplement présenter leurs travaux au mois d'août prochain, et c'est sans doute pourquoi cette affaire refait surface.

Pour un protocole privé d'authentification mutuelle visant à combler les failles d'AirDrop, les chercheurs ont développé leur propre solution baptisée PrivateDrop dont une implémentation est disponible en open source.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires

Trier par : date / pertinence
zzepx online Connecté VIP icone 9880 points
Premium
Le #2129195
Impossible. Je n'y crois pas une seule seconde.
iFlo59 online Connecté VIP icone 32081 points
Le #2129213
1,5 milliard d'appareils Apple
Ah quand même ! Microsoft doit être vert de jalousie

J'suis câblé, donc pas concerné, mais ce serait quand même bien qu'ils corrigent ce problème là... On parle d'un produit APPLE tout de même
icone Suivre les commentaires
Poster un commentaire