Ouvrir le menu principal

iGeneration

Recherche

Une faille liée aux AirTags a été rendue publique à cause de la mauvaise gestion d’Apple

Nicolas Furno

Wednesday 29 September 2021 à 09:47 • 27

Accessoires

Bobby Rauch a découvert une faille liée aux AirTags et plus spécifiquement au mode perdu des balises. Ce chercheur en sécurité a réussi à trouver un moyen pour injecter du code arbitraire dans le champ dédié au numéro de téléphone que l’on doit saisir lors de la déclaration de perte de la balise. Ce code est exécuté quand une autre personne scanne la balise perdue, ce qui pourrait permettre d’ouvrir un site de phishing, par exemple.

C’est une faille de sécurité élaborée, mais qui pourrait servir à des attaques ciblées, par exemple en déposant des AirTags sur le parking d’une personne visée, une technique déjà exploitée avec des clés USB. Le chercheur en sécurité ne détaille pas la procédure qu’il a mise en place pour exploiter cette faille et l’app Localiser ne permet pas de saisir autre chose qu’un numéro de téléphone ou une adresse mail valide. Malgré tout, la faille existe toujours à l’heure actuelle et Apple ne l’a pas encore corrigée.

L’app Localiser valide bien le numéro de téléphone ou l’adresse mail saisie lors de la déclaration de perte d’un AirTag.

L’entreprise est encore une fois victime de sa gestion médiocre des failles de sécurité. Bobby Rauch explique avoir alerté Apple le 30 juin et n’avoir plus eu de nouvelles pendant trois mois, malgré ses relances. Ce n’est que très récemment que l’entreprise l’a notifié que le correctif allait venir et lui a demandé de ne rien dire, mais sans permettre aucune récompense financière, ni même l’assurer d’une reconnaissance de son travail. Face à ce mutisme, il a choisi de divulguer ses découvertes, sans donner toutefois le détail à ce stade.

Ce n’est pas la première fois qu’Apple ignore un chercheur en sécurité. Très récemment, c’est un confrère russe qui a publié ses découvertes sans attendre les correctifs, excédé par le manque de reconnaissance de l’entreprise :

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Cette faille liée aux AirTags n’est pas dangereuse pour la majorité des utilisateurs, ce qui explique sans doute pourquoi elle n’a pas été corrigée plus rapidement. Avec une alerte en juin, Bobby Rauch est aussi tombé en plein développement d’iOS 15, mais ce n’est pas son problème. Et l’entreprise aurait pu lui répondre plus rapidement en lui promettant une reconnaissance publique, voire une récompense financière, même si cela peut prendre du temps.

Source : MacRumors

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Etat des lieux : fini les mauvaises surprise avec ZIIIMO !

Partenaire


Kuo : le modem 5G d’Apple en 2025, enfin ?

06/09/2024 à 20:30

• 12


Keynote Apple : un lundi 9 septembre rempli d'iPhone 16, d'Apple Watch et d'AirPods 4

06/09/2024 à 19:13


WeChat : Apple tance Tencent pour des paiements sans in-apps 🆕

06/09/2024 à 15:36

• 76


L’Apple Watch Series 10 pourrait détecter l’apnée du sommeil

06/09/2024 à 14:49


Utilisez-vous la fonction de partage audio sur iPhone ou iPad ?

06/09/2024 à 13:30

• 21


Le « petit » iPhone 16 Pro pourrait lui aussi avoir 256 Go de stockage par défaut

06/09/2024 à 12:24

• 58


Orange va prolonger un peu la 5G gratuite pour tous ses clients

06/09/2024 à 11:31

• 61


Pavel Durov considère sa mise en examen « surprenante » mais revoit la modération de Telegram

06/09/2024 à 10:19

• 61


Google Photos va s’améliorer grâce à une bonne dose d’IA

06/09/2024 à 09:51

• 4


Nanoleaf améliore ses panneaux lumineux et imagine un interrupteur sans fil deux-en-un compatible Matter

06/09/2024 à 08:45

• 9


Ugreen lance les Uno, des chargeurs et batteries Qi2 au look de robots

06/09/2024 à 07:40

• 8


Philips Hue : un boitier Sync Box 8K et des plafonniers plus carrés

06/09/2024 à 07:00

• 12


Test de quatre préservatifs USB pour protéger votre iPhone sur les chargeurs publics

05/09/2024 à 20:30

• 19


Le réseau Localiser sera déployé au printemps prochain en Corée du Sud

05/09/2024 à 18:30

• 5


Balatro sera disponible sur l’App Store et Apple Arcade le 28 septembre

05/09/2024 à 17:00

• 21