Depuis 2019, AirDrop, le système d’échange entre appareils Apple, souffre d’une faille qui permet de collecter le numéro de téléphone et l’e-mail des interlocuteurs. Quelque 1,5 milliard d'utilisateurs sont toujours concernés par cette faille qu’Apple semble ignorer.


au sommaire


    AppleApple facilite l'échange ou la transmission de fichiers entre mobilesmobiles et ordinateurs de la marque avec AirDropAirDrop. Un système d'une grande simplicité, mais qui souffre d'un gros souci de sécurité depuis maintenant deux ans. En 2019, des chercheurs en cybersécurité avaient remarqué que, lors d'un échange avec AirDrop, il était possible de récupérer le numéro de téléphone et l'adresse e-mail des utilisateurs. En tout, ce sont 1,5 milliard de possesseurs d'appareils de la marque qui sont concernés par cette faille. Et il apparait qu'Apple a laissé cette brèche en l'état depuis les deux dernières années. La semaine dernière, forts de ce constat, des chercheurs de l'Université technique de Darmstadt en Allemagne ont publié un nouveau billet sur leur blog à ce sujet.

    Une attaque peu probable

    La vulnérabilité repose en réalité sur le procédé d'authentification des contacts. Pour établir la connexion entre deux appareils, AirDrop va vérifier que le correspondant fait bien partie du carnet d'adresses. Pour cela, il compare les données du carnet, comme l'adresse e-mail et le numéro de téléphone. Il s'avère que, durant cet échange, un attaquant placé à proximité peut collecter ces informations à partir du moment où les modules Wi-Fi des appareils sont activés. Les données pour établir l'échange peuvent donc être collectées, mais si elles sont codées, elles apparaissent en clair après un petit passage par une attaque en force brute. De son côté, Apple est prévenu depuis deux ans. La marque n'a rien fait pour colmater cette faille et ne semble pas avoir l'intention de le faire. Il faut dire qu'avec une telle faille, il est peu probable que ce type de piratage puisse être réellement entrepris.