iOS 12, macOS Mojave : AirDrop partage les mots de passe en clair
AirDrop gagne une nouvelle fonction avec iOS 12 et macOS Mojave : le partage des mots de passe. Une nouvelle option AirDrop apparait dans le menu contextuel quand on touche le mot de passe d'un service ou d'un compte (dans Réglages > Mots de passe et compte). Cette option affiche le panneau de partage AirDrop, vous n'avez plus qu'à sélectionner le destinataire.
Le destinataire recevra en fait une fiche complète : l'URL de connexion le cas échéant, l'identifiant et le mot de passe, le tout en clair. Une fonction à se réserver à soi-même et à ses plus proches dignes de confiance. Ces derniers devront avoir un appareil sous iOS 12, dans le cas contraire il affichera un message d'erreur :
Pour le moment, ce partage de mot de passe par AirDrop fonctionne bien entre appareils iOS, mais le Mac retourne une alerte :
Je pense que le transport est chiffré...
@bunam
Ça vaudrait mieux
@bunam
«Je pense que le transport est chiffré...»
Avec un mot de passe qui est envoyé en clair? ;)
Si j'ai bien compris le truc, meme si j'arrive pas a y croire, il s'agit d'envoyer
- url du site
- identifiant
- mot de passe
Tout ça en clair, sur un reseau Wifi, Wifi connu pour etre une passoire insecurisable... Ah oui et Airdrop utilise Wifi et Bluetooth, lui aussi insecurisable.
Autrement dit, il s'agit de violer a peu pres tous les principes de base de securité informatique!!! ( a commencer par la principe de ne jamais transmettre l'identifiant et l'adresse du site en meme temps et sur le meme systeme de communication)
Bon aller pour ceux qui se disent naivement que tout ça n'est pas grave vu que ça reste sur le reseau local: https://arstechnica.com/information-technology/2018/06/vpnfilter-malware-infecting-50000-devices-is-worse-than-we-thought/
@C1rc3@0rc
Tjrs au top ! ^^
@Julien Lavergne
Pas vraiment
@C1rc3@0rc
Airdrop n’utilise pas un réseau local en mode infrastructure avec point d’accès. La communication se fait en mode ad-hoc (peer to peer) et est chiffré. Pas de routeur requis.
AirDrop security
iOS devices that support AirDrop use Bluetooth Low Energy (BLE)
and Apple-created peer-to-peer Wi-Fi technology to send files and information to nearby devices, including AirDrop-capable Mac computers running OS X 10.11 or later. The Wi-Fi radio is used to communicate directly between devices without using any Internet connection or Wi-Fi Access Point.
Le bluetooth est utilisé pour découvrir les appareils à proximité, puis le transfert se fait en wifi ad hoc.
When a user enables AirDrop, a 2048-bit RSA identity is stored on the device. Additionally, an AirDrop identity hash is created based on the email addresses and phone numbers associated with the user’s Apple ID.
When a user chooses AirDrop as the method for sharing an item, the device emits an AirDrop signal over Bluetooth Low Energy. Other devices that are awake, in close proximity, and have AirDrop turned on detect the signal and respond with a shortened version of their owner’s identity hash.
Page 39 et 40
https://www.apple.com/business/docs/iOS_Security_Guide.pdf
Before we get to it, I should point out that anyone concerned about their privacy has nothing to worry about. Of course your precious passwords are not sent in plain text.
Like with photos, documents and any other item which you can send over AirDrop, your password is encrypted as it’s being transmitted over a direct peer-to-peer Wi-Fi connection established on an ad hoc basis between the source and target device.
http://www.idownloadblog.com/2018/06/07/airdrop-passwords-ios-12-macos-mojave/
AirDrop uses Bluetooth to create a peer-to-peer Wi-Fi network between the devices.
Each device creates a firewall around the connection and files are sent encrypted, which actually makes it safer than transferring via email.
https://apple.stackexchange.com/questions/146644/airdrop-bluetooth-or-wi-fi
@reborn
Merci bien, je commençais à m’inquiéter ?
@reborn
Je sais bien ce que raconte Apple dans ses documents marketing. Ce discours est le meme depuis le lancement de Airdrop.
Le probleme c'est que le protocole Wifi et le Bluetooth sont des passoires impossibles a securiser... donc meme en ad hoc, c'est piratable.
Apres, je t'invite a faire l’expérience:
Vas dans les info de tes appareils, regardes les adresses MAC du bluetooth et du wifi ...
Tu vas avoir un truc du genre:
MAC Wifi: 20:A4:CA:92:F8:16
MAC Bluetooth: 20:A4:CA:92:F8:17
Oui, sur les 5 paires de l'adresse MAC du Bluetooth et le Wifi sont les memes, seule la dernière change...
Connectes tes appareils sur ton reseau Wifi domestique. Installes un logger pour ecouter le traffic Wifi. Lances un transfert Airdrop et tu regardes tout ce que le logger enregistre... Selon ce que dit Apple, si les deux appareils créaient un réseau entre eux, il ne devrait pas y avoir de trafic sur le Wifi domestique... fais l'experience.
Pour le bluetooth, fais la meme chose avec un logger BT et regarde le trafic.
Le hacker qui ecoute le traffic BT va savoir facilement quel est le MAC du WIFI qui sera utilisé, meme pas besoin d'un outil dedié, la commande arp suffit. A partir de la il y a assez d'outils disponibles pour faire des attaques Wifi et BT meme pour un script kiddy de base pas tres futé.
Et je vais pas te rappeler l'histoire de la faille dans Airdrop rendue publique par Mark Dowd. Certes Apple a comblé celle-ci... enfin sauf si on a un appareil qui est encore sur une version non patché (jusqu'a iOS 9 ou MacOS 10.11).
Note que cela est faisable sur des appareils connectés au routeur Wifi, mais hacker un réseau ad hoc revient au même.
Apres c'est certain que Airdrop est plus securisé que de passer par l'email ou un chat quelconque utilisant un serveur central... mais personne ne serait assez inconscient pour envoyer une URL+ un identifiant + un mot de passe en clair par email… Si?
@C1rc3@0rc
Pour commencer, ce document est tour sauf un document marketing..
L’on envoie bien des mots de passe avec du https qui n’est pas infaillible.
Là le but c’est de savoir si le transfert et chiffré, oui. Cela utilise un routeur pour le transfert ? Non.
Selon ce que dit Apple, si les deux appareils créaient un réseau entre eux, il ne devrait pas y avoir de trafic sur le Wifi domestique... fais l'experience.
J’ai pas de routeur là où je suis, Airdrop fonctionne.
Oui bien, sur aucune liaison radio n’est safe. Pas même câblé d’ailleurs. Tout est piratable, arretons d’utiliser ces liaisons. ?♂️
@C1rc3@0rc
Mais dans quel monde vis-tu ?
Evidemment qu'AirDrop n'est pas infaillible si tu as une armée de pirate à tes trousses. Rien n'est infaillible.
La question est si AirDrop est suffisamment sécurisé pour l'utilisation domestique et professionnelle que nous en avons.
La réponse est oui, sans aucun doute.
Par ailleurs, ce n'est pas la sécurité d'AirDrop que tu mets en cause, c'est celle du wifi et du bt.
Tu es la seule personne que je connais qui, pour donner son mot de passe Netflix à des enfants leur donne rendez vous dans une forêt sans videosurveillance à minuit pout leur donner un bout de papier à avaler ensuite.
Même sur le plan technique, tu racontes des bêtises.
Aucun besoin d'un quelconque routeur pour faire fonctionner AirDrop entre deux appareils.
Pas certain que cela reste en l’état dans la version finale... c’est une beta je vous rappelle.
@DarKOrange
C’est exactement ce que j’allais dire !
Interessant.
Peut on partager des ebooks non protégés via l’app iBooks? Ou mieux peut on voir les PDF et eBooks depuis l’app Fichiers, sous l’emplacement « Sur mon iPhone »?
@tylerdurden13
Ça serait le top.. j’adore cette application très simple.
Si le transfert est chiffré, je ne vois pas trop où est le problème. Faut bien copier le mot de passe à un moment ou un autre et dans ce cas, t’as besoin de le voir.
@radar
Faux
Je ne vois pas comment utiliser un mot de passe sans a un moment ou à un autre y avoir accès. Si c'est un token, ça marche sinon non.
@Julien Lavergne
? Un argument, peut-être ?
@thebarty
Copier des ••• et les coller par pression .
Essaie 1Password tu comprendras pourquoi il a dit non.
@radar
Vrai
Si le transfert est chiffré, je ne vois pas trop où est le problème
?♂️
Le rebelle sous iOS 11
Le titre porte a confusion. Si la donnée envoyée est un mot de passe en clair (qui sera stocké dans le keychain du destinataire), le transfert est lui chiffré.
Vous devriez changer le titre.
Au passage, aucun intérêt de transmettre un token ou quelque chose d'autre comme suggéré plus haut, car cette donnée est requise par les sites/applications qui en ont besoin. Et puisqu'au final il s'agit d'alimenter le keychain, quoi qu'on fasse il restera possible de voir son contenu.