Tout ce qu’Apple fait « ne fonctionne pas », du moins pas comme prévu, en tout cas.
Des chercheurs en sécurité explorent AirDrop, la fonctionnalité iOS et macOS qui permet aux utilisateurs de partager des fichiers sans fil via Wi-Fi et Bluetooth, rapporté mercredi sur une faille, selon eux, expose les e-mails et les numéros de téléphone des utilisateurs. À moins que vous ne vouliez que chaque fluage dans la rue puisse saisir secrètement vos coordonnées, c’est un peu un cauchemar.
Les chercheurs, une équipe composée de membres du et le Groupe d’ingénierie de la cryptographie et de la confidentialité (ENCRYPTO), affirment avoir alerté Apple de la faille en mai 2019. Cependant, selon eux, la société n’a jamais répondu.
« En tant qu’attaquant, il est possible d’apprendre les numéros de téléphone et les adresses e-mail des utilisateurs d’AirDrop – même en tant que parfait inconnu », lit-on communiqué de presse du mardi. « Tout ce dont ils ont besoin, c’est d’un appareil compatible Wi-Fi et d’une proximité physique avec une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS. »
Nous avons contacté Apple pour confirmer les résultats et lui demander s’il avait effectivement été alerté de la vulnérabilité en 2019. Nous n’avons reçu aucune réponse immédiate.
Notamment, ce n’est pas la première situation de confidentialité douteuse liée à AirDrop. En 2019, les chercheurs ont découvert qu’ils ont pu déterminer les numéros de téléphone des utilisateurs en fonction des hachages partiels envoyés par AirDrop. Il n’est pas clair si cette préoccupation a déjà été résolue par Apple, d’autant plus que la vulnérabilité divulguée cette semaine semble de nature similaire.
« Les problèmes découverts sont enracinés dans l’utilisation par Apple des fonctions de hachage pour » masquer « les numéros de téléphone et les adresses e-mail échangés au cours de la [AirDrop] processus de découverte », explique le communiqué de presse de mardi. « Cependant, des chercheurs de la TU Darmstadt ont déjà montré que le hachage ne parvient pas à fournir une découverte de contacts préservant la confidentialité, car les soi-disant valeurs de hachage peuvent être rapidement inversées à l’aide de techniques simples telles que les attaques par force brute. »
AirDrop est également connu pour son association avec le harcèlement numérique. Plus précisément, les harceleurs ont utilisé la fonctionnalité pour cyber-clignotant – dans lequel un étranger bombarde le téléphone d’une victime avec des photos indésirables de nature sexuelle ou graphique – et envoie des images associées à des suprémacistes blancs à des personnes qui ne font que vaquer à leurs propres occupations en public.
Quelqu’un vient d’essayer de diffuser une photo de bite sur mon téléphone dans un espace public ???? Je suis tellement confus et en colère ?????
– Julia Beebe (@juliaebeebe) 26 août 2017
Nouvelle forme de harcèlement sexuel : aujourd’hui, un homme effrayant anonyme a essayé de AirDrop une photo de bite à ma fiancée dans le métro. Clignotant du 21e siècle.
– Rob Liguori (@robxlii) 18 mai 2016
Bien sûr, vous n’avez pas à vous occuper de tout cela.
Si vous préférez éviter que votre iPhone expose vos coordonnées à la chair de poule et vous protéger des cyber-clignoteurs, vous pouvez désactiver AirDrop (et désactivez Bluetooth pendant que vous y êtes).
Ce n’est pas une chose permanente – vous pouvez toujours réactiver brièvement AirDrop si vous en avez besoin pour une raison quelconque – mais la désactivation de la fonctionnalité vous procurera une certaine tranquillité d’esprit, et hé, cela « fonctionne tout simplement ».
Laisser une réponse
Afficher les commentaires