1,5 milliard d'appareils Apple vulnérables à cause d'AirDrop selon des chercheurs

23 avril 2021 à 20h11
22
AirDrop © MacWorld
Crédit : MacWorld

Une faille de sécurité a été découverte dans l'application de partage de fichiers AirDrop. Apple est au courant depuis deux ans mais n'a pas encore corrigé la vulnérabilité.

Des chercheurs en sécurité informatique de l'Université Technique de Darmstadt, en Allemagne, ont révélé une faille dans AirDrop qui peut potentiellement rendre vulnérable 1,5 milliard d'appareils Apple.

1,5 milliard d'iPhone et Mac utilisant AirDrop

Cette faille a été découverte il y a deux ans. En mai 2019, les chercheurs ont contacté Apple pour alerter l'entreprise de la présence de cette vulnérabilité, mais la marque à la pomme n'a pas réagi pour corriger la faille, qui est donc désormais publiquement connue.

D'après les experts en sécurité à l'origine de la mise au jour de la vulnérabilité d'AirDrop, un pirate est capable de découvrir le numéro de téléphone et l'email de n'importe quel utilisateur d'AirDrop qui se trouve à portée de Wi-Fi de lui.

Pour cela, le hacker doit donc se trouver physiquement à proximité de sa victime. Mais il peut ensuite subtiliser les informations susmentionnées sans que l'utilisateur ne lance une opération de transfert de fichier par AirDrop.

Une fonction pratique mais peu sécurisée d'AirDrop en cause

Cette faille de sécurité est la conséquence d'une combinaison de deux éléments. D'abord, l'option « Contacts uniquement » d'AirDrop fonctionne en interrogeant les appareils alentours en arrière-plan et en récoltant des données sur ceux-ci. Concrètement, pour déterminer si le possesseur d'un appareil tiers fait partie de nos contacts, AirDrop récupère son numéro de téléphone et son adresse mail pour les comparer à ceux enregistrés dans son carnet d'adresse.

Ensuite, les chercheurs expliquent que l'échange de données entre les appareils n'est pas suffisamment sécurisé. Les informations sont certes chiffrées, mais le mécanisme de hachage utilisé est jugé comme étant trop faible. « De simples techniques comme les attaques de force brute » suffisent à briser la protection.

Source : 9To5Mac

Modifié le 26/04/2021 à 10h13
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
22
16
SlashDot2k19
Apple dira que de toute manière ce n’était pas une faille de sécurité… Vous inquiétez pas les enfants…
notolik
Au titre de la news j’ai un peu flipé, et puis quand on lit la suite…
cyrano66
Bof bof.<br /> Déjà à porté de wifi j’ai des doutes.<br /> AirDrop en plus d’être capricieux à plus de 2 m ça ne fonctionne quasi jamais et en plus il faut que l’iPhone soit déverrouillé (au fond de la poche ça ne marche pas)<br /> (Un test simple consiste à lancer AirDrop dans un Wagon. A porté de wifi ça devrait faire …au moins une vingtaine de zozos avec un iPhone a pirater… Ha ? Ben non !? Bizarre ! )<br /> Donc il faut une bonne conjonction de planètes.<br /> Une cible statistique a moins de 2m et en train d’utiliser son iPhone.<br /> Bon admettons (comme la chauves-souris enragée.)<br /> Maintenant le gars chope ton téléphone et ton e-mail. (C’est déjà moins d’info que sur n’importe quelle carte de visite.)<br /> Il va en faire quoi le gars ?<br /> Te faire des blagues téléphoniques et t’envoyer des spams ?
jhe
Waouh ! Saperlipopette ! Énorme révélation : Apple va enfin couler à cause de cette affaire ! Yes !!!
malak
Si tu étais une femme, je suis certain que cette faille te poserai problème… En plus d’être harcelée physiquement/verbalement par quelques gus, tu peux l’être sur les réseaux sociaux par d’autres pervers car on peut facilement t’identifier et te retrouver.<br /> Mais bon, ça sera toujours de ta faute, fallait pas utiliser son iPhone.
toast
Oui c’est sûr, les racailles frotteurs du metro sont des as du craquage brute force de trames échangées sur des réseaux wifi
malak
Je parlais des «&nbsp;autres pervers&nbsp;» justement… les «&nbsp;timides&nbsp;» qui font rien dans la vraie vie et se planquent derrière un pc. Là, ils ont une belle porte d’entrée avec de nouvelles cibles.
fg03
J’ai appris un truc : Apple a commercialisé 1,5 milliard d’appareils quand meme<br /> Sinon que l’informatique soit vulnérable et qu’il y a des failles 0day… c’est anecdotique. Mais il est vrai que plus on le crie fort plus elles sont comblées rapidement.
bmustang
le harcèlement ne vaut pas qu’aux femmes !? Qu’on comprenne bien ça chez les féministes.
cmoileena
AirDrop je m’en sert assez souvent et ça fonctionne très bien … que ce soit entre iPhone iPad ou mac book. C’est réactif rapide et quasi transparent. On a pas le même ressenti.
cyrano66
En gros rien de plus que ce qui peut malheureusement arriver à n’importe quelle femme n’importe quand avec ou sans téléphone portable.<br /> C’est bien d’être parano et de jouer à se faire peur.
Nehi
Il dit qu’il voit pas le rapport<br /> https://www.youtube.com/watch?v=31nTWJhnzDQ
cyrano66
Donc vous confirmez la portée courte<br /> Et le faite que l’appareil récepteur doit être déverrouillé ?<br /> Parce que c’est ça l’important
Maxvarchar
Le retour de l’éternel «&nbsp;Bug&nbsp;».
sandalfo
Oui la portée de Airdrop est très courte. 2m ou moins je pense, j’ai fait des essais dans le salon de mes parents et ca fonctionnait pas très bien.<br /> Oui il faut que l’appareil soit déverouillé.<br /> Oui on peut récupérer n° de tel et email avec le bon device (il faut sniffer les paquets quand même)<br /> Mais après c’est chiffré donc il faut lancer une attaque brute force avec un dico de crack et attendre un bon moment que ça aboutisse. Tout ça pour avoir une info que tu peux trouver ailleurs parfois sans trop de difficultés.<br /> Pas bien méchant comme faille, à corriger tout de même, par exemple en renforçant le chiffrement des données.
Iceslash
Ce n’est pas une faille mais une Feature Apple.
jhe
C’était ironique
Gloops
Nehi:<br /> rapport<br /> C’est normal, qu’il ne voie pas le rapport : il est encore dans la serviette de sa secrétaire.
Gloops
Donc, si je situe bien, on a une fonctionnalité qui permet d’éviter d’avoir à taper son adresse mail en la récupérant d’un autre terminal, mais il va falloir améliorer le cryptage dessus pour éviter les fuites.<br /> Ah. Et une demande de confirmation sur l’appareil émetteur, comme avec le BlueTooth, non, ce n’est pas envisageable ?
Voir tous les messages sur le forum

Lectures liées

Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Acer s’est fait voler des données pour la deuxième fois et par le même groupe de hackers
Haut de page