Des chercheurs en sécurité ont identifié trois failles de sécurité dans AirDrop capables de faire tomber simultanément AirPlay, Handoff, le presse-papiers universel et la fonctionnalité appareil photo Continuité sur iPhone et Mac. L’attaque fonctionne à proximité, entre 10 et 30 mètres en Wi-Fi, sans interaction de l’utilisateur.

iOS 26 Beta 5 Nouvelle Icone AirDrop

Le scénario repose sur un mécanisme simple. Un attaquant muni d’un ordinateur portable envoie une requête vers un chemin non reconnu, ce qui déclenche un appel fatal dans le code Swift et fait planter le processus chargé de ces fonctions de continuité. En répétant l’opération toutes les quelques secondes, il maintient les services indisponibles aussi longtemps qu’il reste à portée.

L’exploitation ne demande pas d’appairage, d’échange de contact ou de réseau partagé. Les iPhone ou Mac réglés pour recevoir des fichiers de tout le monde répondent dès les premières étapes du protocole, avant même l’affichage d’une demande à l’écran. Une fois l’attaque en place, les connexions légitimes échouent, puis redeviennent possibles dès que l’envoi malveillant cesse. Les chercheurs précisent qu’aucune fuite de données n’a été observée.

Le chercheur en sécurité Arash Ebrahim relie ces failles à un problème plus large dans les protocoles de proximité :

Je ne pense pas que ce recoupement soit propre à Apple ou à Google. Il reflète plutôt des défis d’ingénierie communs aux protocoles de proximité. Ces services sont conçus pour offrir une expérience utilisateur fluide, ce qui signifie que des daemons privilégiés doivent traiter des entrées complexes contrôlées par un attaquant avant qu’une authentification ou une approbation utilisateur ait eu lieu. Cela crée inévitablement une large surface d’attaque avant authentification.

Le constat dépasse d’ailleurs AirDrop et Apple. Des vulnérabilités comparables ont aussi été trouvées dans Quick Share sur Android, malgré des bases de code différentes. Ce parallèle renforce l’idée que le problème vient de la manière dont ces services privilégient la simplicité d’usage et la rapidité de découverte entre appareils.

Apple n’a corrigé qu’une faille sur trois

À ce stade, Apple n’a corrigé qu’une seule des trois vulnérabilités signalées. Arash Ebrahim indique : « Apple nous a informés que l’une des vulnérabilités d’AirDrop signalées a été corrigée dans une mise à jour logicielle et qu’un identifiant CVE lui a été attribué ». Il ajoute toutefois que « l’avis de sécurité correspondant et le CVE n’ont pas encore été publiés publiquement, je ne peux donc pas partager davantage de détails à ce stade », tandis que « les autres signalements concernant Apple relèvent toujours d’une divulgation coordonnée et n’ont pas encore reçu d’identifiants CVE publics ».

Cette situation laisse encore deux failles en attente de correctif public. Tant qu’elles ne sont pas traitées, un attaquant proche peut bloquer des fonctions devenues centrales dans l’usage quotidien des iPhone et des Mac.