iPhone : une faille dans AirDrop permet de récupérer le numéro de téléphone
AirDrop est une fonction fort utile d’Apple qui permet de transférer rapidement un élément de son iPhone vers un autre produit (iPad, Mac) et inversement, le tout sans fil. AirDrop requiert l’activation du Wi-Fi et du Bluetooth pour fonctionner. Il y a comme un problème cependant : une faille permet d’obtenir le numéro de téléphone de l’iPhone.
La firme de sécurité Hexway a révélé cette semaine qu’il était relativement simple pour un hacker à proximité d’un échange réalisé avec AirDrop d’obtenir quelques informations. Une démonstration a été faite dans un bar avec un ordinateur portable et un dongle dédié pour analyser le trafic à proximité. En l’espace de deux minutes, la personne avec son ordinateur a réussi à obtenir des informations précises sur les iPhone et Apple Watch à proximité.
« C’est le compromis classique que des entreprises comme Apple essaient de faire lorsqu’il s’agit d’équilibrer la facilité d’utilisation et la confidentialité/sécurité », explique Ashkan Soltani, un chercheur en sécurité, à Ars Technica. Cela s’explique par le système des protocoles qui doivent partager quelques informations pour fonctionner entre appareils.
Apple a tenté de corriger le tir, mais les chercheurs en sécurité ont encore pu obtenir des détails. Ils expliquent qu’ils arrivent à déchiffrer le SHA256 utilisé par AirDrop, même si celui-ci est partial. Ils obtiennent le numéro de téléphone et l’e-mail du compte Apple de l’utilisateur.
Petit oublie d’un mot (sûrement « informations ») dans le deuxième paragraphe:
«En l’espace de deux minutes, la personne avec son ordinateur a réussi à obtenir des ????? précises sur les iPhone et Apple Watch à proximité.» 😉
Encore une faille mince alors ! ;)