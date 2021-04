Apple a fait de la confidentialité des utilisateurs une priorité depuis des années, poussant encore plus loin avec sa dernière mise à jour iOS en forçant tous les développeurs d’applications à demander aux propriétaires d’iPhone s’ils souhaitent être suivis. Ce sont des étapes positives pour donner aux utilisateurs le contrôle de leurs données, mais selon un nouveau rapport de chercheurs en sécurité de l’Université technique allemande de Darmstadt, Apple n’a pas réussi à corriger une faille dont l’université a déclaré avoir informé l’entreprise en 2019.

La faille de sécurité découverte par les chercheurs réside dans AirDrop, une fonctionnalité qui permet aux utilisateurs d’iPhone, d’iPad et de Mac de partager rapidement et facilement des photos et des documents sans fil. Comme le notent les chercheurs, vous pouvez faire en sorte qu’AirDrop n’affiche que les appareils appartenant à des personnes qui font déjà partie de vos contacts. Afin de déterminer si quelqu’un fait partie de vos contacts, “AirDrop utilise un mécanisme d’authentification mutuelle qui compare le numéro de téléphone et l’adresse e-mail d’un utilisateur avec les entrées du carnet d’adresses de l’autre utilisateur.” C’est là que la faille de sécurité entre en jeu.

Voici ce que les chercheurs ont découvert en examinant ce mécanisme:

En tant qu’attaquant, il est possible de connaître les numéros de téléphone et les adresses e-mail des utilisateurs d’AirDrop, même en tant que parfait inconnu. Tout ce dont ils ont besoin est un appareil compatible Wi-Fi et une proximité physique avec une cible qui lance le processus de découverte en ouvrant le volet de partage sur un appareil iOS ou macOS. Les problèmes découverts sont enracinés dans l’utilisation par Apple des fonctions de hachage pour «masquer» les numéros de téléphone et adresses e-mail échangés pendant le processus de découverte. Cependant, des chercheurs de TU Darmstadt ont déjà montré que le hachage ne permettait pas de détecter les contacts préservant la confidentialité, car les valeurs dites de hachage peuvent être rapidement inversées à l’aide de techniques simples telles que les attaques par force brute.

L’équipe de recherche qui a découvert cette vulnérabilité a en fait développé une solution alternative appelée «PrivateDrop» qui, selon eux, pourrait remplacer le système qu’Apple utilise actuellement. Comme l’explique l’équipe, «PrivateDrop est basé sur des protocoles d’intersection d’ensembles privés cryptographiques optimisés qui peuvent effectuer en toute sécurité le processus de découverte de contacts entre deux utilisateurs sans échanger des valeurs de hachage vulnérables.» Avec le nouveau système, AirDrop serait plus sécurisé et Apple ne sacrifierait aucune des vitesses qui font d’AirDrop une fonctionnalité aussi utile.

Malheureusement, on ne sait pas quand ou si quelque chose sera fait à ce sujet. Les chercheurs allemands disent avoir informé Apple pour la première fois de la faille en mai 2019, mais la société n’a pas encore reconnu le problème ni annoncé qu’elle travaille sur un correctif. Par conséquent, 1,5 milliard d’appareils Apple continuent d’être vulnérables aux attaques qui exploitent cette faille, et le seul moyen de vous protéger pleinement est de désactiver complètement la découverte AirDrop.

Si vous souhaitez désactiver AirDrop, dirigez-vous simplement vers Paramètres > Général > AirDropet appuyez sur Recevoir.

