Une faille de sécurité repérée dans AirDrop

Il y a une faille de sécurité au sein du système d'échange de fichier AirDrop d'Apple, affirment des chercheurs de l'université allemande de Darmstadt. Ils ont en effet découvert une vulnérabilité qui pourrait permettre à des personnes malveillantes de récupérer le numéro de téléphone et l'adresse e-mail d'un utilisateur, et cela sans avoir à initier un transfert.

La vulnérabilité se situerait au niveau de la vérification des contacts, lorsque l'utilisateur détermine que seule sa liste de contacts connus pourra partager des fichiers avec lui. Pour déterminer si deux utilisateurs d'AirDrop peuvent bien s'échanger des fichiers, le logiciel va tout simplement chercher une correspondance entre le contact de l'émetteur et le carnet d'adresses du receveur. Cet échange serait bien sûr chiffré, mais avec un niveau de sécurité relativement faible. La fonction de hachage utilisée pourrait être compromise par simple force brute. La seule contrainte serait d'avoir une proximité physique avec la victime.




Les chercheurs à l'origine de cette découverte affirment avoir tenu Apple au courant du problème dès mai 2019, en proposant d'ailleurs une alternative plus sécurisée, mais la faille n'aurait pas été corrigée depuis. Cette faille n'est pas d'une importance capitale (il n'est pas possible de récupérer le moindre fichier présent sur l'iPhone, seulement le numéro de téléphone et l'adresse e-mail du propriétaire) et on ne sait pas si elle a déjà été exploitée dans la vraie vie. Gageons que la médiatisation de l'affaire conduira les ingénieurs d'Apple à s'y intéresser de plus près.

Des liens n'apparaissent pas ? Des images sont manquantes ? Votre bloqueur de pub vous joue des tours. Pour visualiser tout notre contenu, merci de désactiver votre bloqueur de pub !