Une grosse faille de sécurité dans AirDrop

Mickaël Bazoge |

AirDrop pose un problème de sécurité — et on ne parle pas des soucis d'exhibitionnisme inhérents à la fonction… Les chercheurs de l'université de technologie de Darmstadt, en Allemagne, ont identifié une vulnérabilité qui permet à des malandrins de siphonner des données personnelles de leurs victimes (numéros de téléphone, adresses e-mail) même si les malveillants sont complètement inconnus des utilisateurs visés.

Pour déterminer si la personne qui cherche à envoyer un fichier par AirDrop est dans les contacts de l'utilisateur — ce qui est généralement l'option choisie parmi les trois proposées (désactivé, contacts uniquement ou tout le monde) —, AirDrop utilise un mécanisme d'authentification mutuel. Celui-ci compare le numéro de téléphone et l'adresse e-mail du récepteur avec les informations présentes dans le carnet d'adresses de l'envoyeur.

Le nœud de ce problème de sécurité, c'est la manière dont Apple utilise la fonction de hachage qui permet de masquer ces deux informations durant le processus d'authentification conjointe. Les chercheurs ont découvert que ce processus de hachage ne parvenait pas à fournir le niveau de confidentialité nécessaire. Avec l'aide de techniques de force brute, le hachage peut en effet être contourné, écrivent-ils.

Tout ce dont les forbans ont besoin, c'est d'être physiquement proches de leurs victimes. L'équipe de chercheurs a mis au point une solution maison qui peut se substituer au mécanisme d'authentification d'AirDrop, qui fonctionne parfaitement sur iOS comme sur macOS sans dégrader l'expérience transparente du transfert de fichier. Apple a été prévenue de la faille en mai 2019, mais le constructeur n'a ni reconnu le problème, ni mis au point de solution à l'heure actuelle.


avatar Pierredu21 | 

Enfin, grosse faille, faut quand même être à proximité du téléphone dont on veut siphonner les infos, et, avoir l'équipement et les connaissances pour pouvoir le faire... Titre un peu exagéré non ?

avatar geooooooooffrey | 

C'est pas parce que tu ne peux pas exploiter la faille toi-même qu'elle ne peut pas être grosse.

avatar Pierredu21 | 

@geooooooooffrey

Qui te dit que je ne peux pas l’exploiter moi-même ? 😁

avatar YetOneOtherGit | 

@Pierredu21

"Titre un peu exagéré non ?"

Non si les faits sont confirmer:
- En situation de vie normal et hors confinement les situation où nous sommes en proximité d’autres individus sont courantes.
- Le materiel permettant d’exploiter une faille de ce type n’a rien d’exceptionnel: un smartphone Android devrait faire l’affaire

Attendons de voir les details lors de la publication👀

avatar Nesus | 

@YetOneOtherGit

Oui enfin ça reste de la force brut. Donc il faut du temps. Beaucoup de temps. Pas assez de détail pour savoir combien. Après, comme toujours maintenant que c’est public, Apple va faire une mise à jour rapidement.
Mais je suis d’accord pour contester le grosse.

avatar YetOneOtherGit | 

@Nesus

"Beaucoup de temps. Pas assez de détail pour savoir combien."

Là est la question, il est loin d’être certain que ce soit le cas sur des fonctions de hachage bancale il y a bien des cas où cela peut être très rapide.

Si on fait confiance à Apple on peut se dire que le peut d’empressement est le fruit d’une certaine confiance dans le coût de l’opération.

Wait & See 😉

avatar TiTwo102 | 

Brute force ou non, là ou je rejoins @Pierredu21 c’est qu’au pire, après tout ça, tout ce que la faille permet d’obtenir c’est « seulement » le numéro de téléphone et l’email.

Encore une bonne raison de désactiver ce dont on a pas besoin. AirDrop, Bluetooth, etc...
Le nombre de gens qui laissent tout ça actif sans jamais l’utiliser doit être énorme !
Surtout depuis qu’Apple a mis ce fonctionnement totalement pourri, ce fameux raccourci bluetooth qui n’éteint pas vraiment le bluetooth... 🙄

avatar YetOneOtherGit | 

@TiTwo102

"permet d’obtenir c’est « seulement » le numéro de téléphone et l’email."

My bad j’avais attaquer directement la lecture de l’article après la photo, effectivement s’il ne s’agit que de cela c’est une autre histoire 😉

avatar Pierredu21 | 

@YetOneOtherGit

Mouais... Il faut :

- être à côté de la personne
- que son iPhone soit déverrouillé et AirDrop actif
- avoir assez de temps pour lancer l’attaque
- et si vraiment tu y arrives, tu as... le numéro de téléphone et l’email de la personne ? Sérieusement ? C’est plus simple de lui demander directement 😂

avatar YetOneOtherGit | 

@Pierredu21

"Mouais... Il faut :"

Surtout je n’avais pas vu ce qui était avant la photo et donc la portée potentielle de ce qu’il y avait à récupérer 😉

avatar Pierredu21 | 

@YetOneOtherGit

Hé hé ! On est d’accord alors 🙃

avatar YetOneOtherGit | 

@Pierredu21

😉🖖

avatar YetOneOtherGit | 

Les belles mathématiques derrière les fonctions de hachage recèlent des abîmes de potentielles failles 😋

avatar raoolito | 

@YetOneOtherGit

«  Les belles mathématiques »
une mathématique ? C’est quoi donc ?

avatar YetOneOtherGit | 

@raoolito

"une mathématique ? C’est quoi donc ?"

La grande question épistémologique?

La mathématique ou les mathématiques c’est ça?

avatar raoolito | 

@YetOneOtherGit

une équation mathématique ?

avatar YetOneOtherGit | 

@raoolito

Une initiation pas mal sur cette question de singulier ou pluriel:

https://sinstruireautrement.fr/mathematiques-avec-ou-sans-s/

avatar fosterj | 

A moins que il y ai un deal entre les agences de renseignement et Apple ..

avatar Spinaker | 

Mai 2019, grosse faille, Apple n’a rien fait ...
Ça ressemble à une info toute pourrie ça.

avatar TiTwo102 | 

Mai 2019, soit quasi 2 ans, et toujours pas de correctif. Beau boulot d’Apple 👌.

avatar raoolito | 

@TiTwo102

meme.. En general le delai d’attente est de 6 mois je crois pour ce genre de chose. Pourquoi cette faille n’est pas sortie fin 2019 mais Avril 2021 ???

avatar weagt | 

Personnellement j'ai désactivé AirDrop, à chaque fois que j'ai voulu l'utiliser ça n'a pas marché et j'ai dû me rabattre sur une autre solution de transfert...

avatar BleuRooster | 

Déjà si je reçois cette photo en AirDrop j’accepte pas! donc je suis protégé 😁

avatar Yves SG | 

Si je comprends bien cette « grosse faille » de sécurité permet à quelqu’un, équipé d’un iPhone et du programme adéquate, et à proximité de moi, de connaître mon nom prénom numéro de téléphone et e-mail ?

J’avoue, si J’étais une star internationale et si la terre entière ne connaissait pas déjà ces informations sur moi, ça pourrait être embêtant (ou pas)...

avatar Mac Hiavel | 

Il me semble qu'AirDrop nécessite d'activer le Wi-Fi, ce que je fais jamais en extérieur. Car en général inutile alors que la 4G suffit amplement pour les applis courantes.

avatar Nexon99 | 

Depuis 2019 et ils n’ont toujours pas bougé leur cul ? 😳

avatar mrsade | 

Les soucis d’exhibitionnisme... il suffit de donner les autorisations à ses contacts uniquement pour pas etre emlerdé par n’importe qui... pourquoi vouloir dramatiser ... apres si t’as des exib dans tes contacts c’est un autre problème...

CONNEXION UTILISATEUR