Une faille de sécurité a été découverte dans l'application de partage de fichiers AirDrop. Apple est au courant depuis deux ans mais n'a pas encore corrigé la vulnérabilité.
Des chercheurs en sécurité informatique de l'Université Technique de Darmstadt, en Allemagne, ont révélé une faille dans AirDrop qui peut potentiellement rendre vulnérable 1,5 milliard d'appareils Apple.
1,5 milliard d'iPhone et Mac utilisant AirDrop
Cette faille a été découverte il y a deux ans. En mai 2019, les chercheurs ont contacté Apple pour alerter l'entreprise de la présence de cette vulnérabilité, mais la marque à la pomme n'a pas réagi pour corriger la faille, qui est donc désormais publiquement connue.
D'après les experts en sécurité à l'origine de la mise au jour de la vulnérabilité d'AirDrop, un pirate est capable de découvrir le numéro de téléphone et l'email de n'importe quel utilisateur d'AirDrop qui se trouve à portée de Wi-Fi de lui.
Pour cela, le hacker doit donc se trouver physiquement à proximité de sa victime. Mais il peut ensuite subtiliser les informations susmentionnées sans que l'utilisateur ne lance une opération de transfert de fichier par AirDrop.
Une fonction pratique mais peu sécurisée d'AirDrop en cause
Cette faille de sécurité est la conséquence d'une combinaison de deux éléments. D'abord, l'option « Contacts uniquement » d'AirDrop fonctionne en interrogeant les appareils alentours en arrière-plan et en récoltant des données sur ceux-ci. Concrètement, pour déterminer si le possesseur d'un appareil tiers fait partie de nos contacts, AirDrop récupère son numéro de téléphone et son adresse mail pour les comparer à ceux enregistrés dans son carnet d'adresse.
Ensuite, les chercheurs expliquent que l'échange de données entre les appareils n'est pas suffisamment sécurisé. Les informations sont certes chiffrées, mais le mécanisme de hachage utilisé est jugé comme étant trop faible. « De simples techniques comme les attaques de force brute » suffisent à briser la protection.
Source : 9To5Mac
