Attention aux demandes de mot de passe : il est facile d'usurper l'identité d'un appareil Apple
À la convention DEF CON — un rassemblement de hackers qui se tient chaque année à Las Vegas —, un message a fait réagir quelques visiteurs : une notification apparaissait sur les iPhone, et elle proposait de partager un mot de passe avec un boîtier Apple TV à proximité. La méfiance était bien évidemment de mise compte tenu du public présent, mais cette petite expérience sociale permet surtout de montrer qu'il est facile d'usurper l'identité d'un appareil Apple pour certaines tâches.
Jae Baochs, qui est à l'origine de ces notifications, s'explique sur Mastodon mais aussi à TechCrunch. Chez nos confrères, il indique que le message n'était évidemment pas émis par un boîtier Apple TV en goguette chez les pirates, mais bien par un Raspberry Pi 2 W couplé à une batterie, deux antennes (pour augmenter la portée) et un adaptateur Bluetooth1. La carte produisait en réalité les messages normalement émis par un boîtier Apple TV lors d'une demande de mot de passe, ce qui permet habituellement à un utilisateur de taper ou d'envoyer le sésame en employant l'iPhone plutôt que la télécommande. Jae affirme qu'aucune donnée n'a été récupérée, et nous pouvons par ailleurs supposer que les visiteurs étaient probablement bien plus suspicieux que le pékin moyen.
Son but était double : montrer que le Bluetooth de l'iPhone n'est pas réellement coupé si vous le désactivez à travers le centre de contrôle — ce qui a par ailleurs de l'intérêt — mais aussi de montrer les défauts des solutions qui se basent sur l'émission de messages en Bluetooth LE. Il indique d'ailleurs qu'il est possible de récupérer quelques données personnelles de cette façon, comme l'adresse e-mail liée au compte Apple, le réseau Wi-Fi auquel le smartphone est éventuellement connecté ou même le numéro de téléphone.
Si l'ensemble peut faire peur, il faut tout de même prendre en compte le fait que l'utilisateur doit explicitement envoyer les données et que la portée du Bluetooth demeure assez faible, de l'ordre d'une quinzaine de mètres avec son montage. Mais ces points ne doivent pas vous empêcher de vous méfier : tout le monde peut se faire avoir dans un moment d'inattention.
-
La carte dispose de son propre contrôleur Bluetooth, mais un adaptateur externe est probablement requis pour accéder à certaines fonctions. ↩︎
Hâte de voir ce que donne l’échange de n°téléphone et autres infos avec le nouveau iOS. Ça évitera peut-être de laisser son téléphone entre les mains de la personne qui peut alors s’appeler avec son propre numéro pour recevoir le votre, en toute confiance 🫢
Si le Bluetooth n’est pas totalement désactivé quand il est coupé via le centre de contrôle, comment réellement le désactiver?
@Pierre Dandumont
Find My aussi
On parle quand même du sexe des anges !
Je n’ai jamais vu un tel message (avec cette typographie) issu de mon Apple TV.
Les cas d’usurpation d’identité que j’ai pu avoir a traiter était d’une toute autre nature.
Et beaucoup, mais alors beaucoup, plus basique !
@Malouin
Vous ne devez pas beaucoup utiliser votre Apple TV, ce message apparaît pour chaque champ texte ou champ de mot de passe de tvOS
@Mrleblanc101
Avec la télécommande en picto, comme documenté ? Désolé mais pas chez moi !
Et je possède 5 Apple TV utilisées très très très souvent…
@Malouin
Oui chaque fois qu' un champ mot de passe est focusé et que le mdp est sauvegardé dans iCloud Keychain
@Mrleblanc101
On ne doit pas se servir du même appareil…
Ou alors je n’ai JAMAIS eu de mots de passe « focusés » !
Je crois que vous chipotez un peu ! Si j'étais chez moi et que mon voisin m'envoyait ce genre de notifs entre 22h et minuit, à savoir quand j'ai des chances de me trouver devant la télé, il y a des chances pour que je me laisse avoir moi-même, surtout en période de mise à jour d'OS où les demandes de mots de passe se multiplient.
Je suis allé lire plus en détail ce qu'il explique.
Les messages s'affichant semblent nécessairement légitimes car ils sont affichés par iOS qui "croit" recevoir une demande venant, par exemple, d'une AppleTV. Donc que ce soit le texte affiché, la typographie, la langue du texte ou les icônes affichées, tout est forcément correct.
Et c'est parce qu'iOS se fait berner par la sollicitation reçue, qu'il renvoie en retour les informations qu'il aurait renvoyé à une véritable AppleTV.
Il n’y a pas vraiment quoi que ce soit à faire.
Parce que ça revient juste à dire qu’il est facile de taper sur l’écran sans lire ni réfléchir.
Il y a un appareil que tu ne connais pas et qui est dans un lieu public qui te demande ton mot de passe. Est-ce que tu lui offres ?
Je pense que l'exemple donné (avec une fausse notification d'appleTV) est mal choisi.
Je suggérerais plutôt au hacker de diffuser une notification d'une fausse balise AirTag signalant que vous êtes suivi avec la mention "cliquer pour voir les actions possibles".
A mon avis, aussi prudent que vous soyez, vous allez effectivement cliquer et vous faire avoir.
Oui, ou bien "Une imprimante tente de se connecter à votre téléphone. Bloquer la connexion ?". Bien sûr, ce sont des invitations louches pour les habitués d'iOS, mais si ça fonctionne sur 1% des utilisateurs dans un centre commercial, c'est déjà beaucoup.
@r e m y
Bon après lecture attentive de ses explications, ce n'est pas le hacker qui décide des messages s'affichant sur l'iPhone, mais iOS qui se fait berner par la sollicitation reçue, affiche le message en conséquence et renvoie les informations correspondant à la sollicitation (d'où le choix d'une fausse AppleTV pour récupérer identifiant et mot de passe de l'utilisateur)
@r e m y
Sûrement pas, vu qu’elle n’existe pas cette notification et que je sais parfaitement comment fonctionne la communication Bluetooth et wifi. Donc par défaut je ne valide jamais un accès inconnu. Ce que tout le monde devrait faire. Il n’y a que les utilisateurs Windows qui cliquent sur des notifications qui ne veulent rien dire.
Cette notification en cas d'AirTag détecté à proximité existe bien! (Voir l'article sur les recommandations de la CNIL un peu plus haut)
D'ailleurs compte-tenu de la technique utilisée, tous les messages susceptibles d'être affichés sont nécessairement des messages semblant légitimes car c'est iOS qui les affiche (en étant berné par la sollicitation reçue via Bluetooth LE).
@r e m y
Sérieusement ? Vous savez comment fonctionne la notification du AirTag quand vous êtes suivi ?
Bref, arrêtez de raconter n’importe quoi ça ira bien mieux.
@Nesus
Ben oui... du moins je crois ce qu'explique Apple en détail.
https://support.apple.com/fr-fr/HT212227
Il y a bien une notification qui s'affiche pour vous le signaler en proposant de cliquer pour voir les actions possibles:
"Détection d'un AirTag suivan... maintenant
Le propriétaire de cet objet peut voir sa position. Touchez pour ouvrir Localiser et consulter les actions possibles."
Si une telle notification s'affiche, je suis convaincu que même les plus prudents toucheront la notification pour ouvrir localiser et trouver cet AirTag indésirable.
@r e m y
Ah c’est tellement beau les génies qui savent tout. Vous ne vous êtes pas demandé pourquoi ça n’a pas été fait avec une balise AirTag ?
Mais bon, comme vous savez comment ça fonctionne parce que vous avez lu site le site d’apple comment la notification s’affiche, que peut-on vous apprendre de plus ?
C’est beau la science infuse qu’il y a quotidiennement dans les commentaires de macg. Franchement, ça fait rêver !
@Nesus
Pourquoi ça n'a pas été fait avec une balise AirTag je l'ai expliqué plus haut après échange avec l'auteur de cette démonstration.
Et ça ne change rien au fait que votre message initial est un tissu de conneries (affirmant notamment que cette notification d'un AirTag suiveur n'existe pas). Je vous laisse toutefois le bénéfice du doute quant au fait que vous, être supérieur, ne vous laisseriez pas abuser par une telle notification car vous savez reconnaître un message affiché par iOS qui s'est laissé berné par une fausse balise, du même message iOS affiché en raison d'une véritable balise indésirable.
@r e m y
Effectivement, vous avez bien trouvé la réponse, pour chaque appareils différents une communication différente et donc dans le cas du AirTag, aucun transfert de donnée.
Du coup, pourquoi vous continuez à répondre au lieu de dire simplement : désolé je me suis trompé.
Vous avez le droit et ça n’a rien de grave, temps que vous n’essayez pas de faire croire que c’est une vérité. Bref, excellente journée.
''montrer que le Bluetooth de l'iPhone n'est pas réellement coupé si vous le désactivez à travers le centre de contrôle''
J'adore ce genre de choses...
@DemS
En même temps, ça se voit que le Bluetooth n’est pas totalement coupé dans le centre de contrôle : le bouton devient blanc, et non noir comme pour les autres fonctions, et le message « Déconnexion des appareils Bluetooth jusqu’à demain » apparaît en haut de l’écran.
Il faut juste faire un peu attention à ce qu’on fait. Ce comportement existe depuis toujours (je crois ?) sur iOS.
Cette fonction permet de te déconnecter de tes appareils (qui sinon sont TOUJOURS connectés à ton iPhone, c’est comme ça que fonctionne le système de connexion auto des AirPods par exemple), ET d’empêcher les nouvelles connexions Bluetooth d’autres appareils (cf. le message affiché dans le menu Bluetooth des réglages quand tu tapes coupes les connexions depuis le centre de contrôle), tout en gardant le Bluetooth activé pour les fonctions qui en ont besoin.
Certes! Mais j'avais quand même du me bricoler un raccourci pour pourvoir éteindre bluetooth et wifi, c'est moins pratique. Mais oui je chipote.
@DemS
C’est aussi à cela que servent les raccourcis. 😉