En bref: On estime à 1,5 milliard le nombre d’appareils Apple utilisés en 2021, qui offrent tous un moyen pratique de transférer des fichiers et des images entre eux lorsqu’ils sont à portée Wi-Fi. Il a été révélé que tous ces utilisateurs risquent de partager involontairement des informations personnelles avec un acteur malveillant chaque fois qu’ils ouvrent un volet de partage.
Si vous possédez plus d’un appareil Apple – par exemple, un iPhone et un Mac – il y a de fortes chances que vous soyez déjà familier avec AirDrop. Il y a quelque chose à dire sur la commodité du transfert de documents, d’images et plus encore à partir d’appareils à proximité. Inutile d’utiliser des clés USB ou d’envoyer des e-mails à vous-même ou à votre famille et vos amis, surtout si ces appareils sont connectés au même réseau Wi-Fi ou s’ils sont à moins de 9 mètres l’un de l’autre.
Il n’y a qu’un seul petit problème: AirDrop a une faille qui permet à toute personne à portée Wi-Fi de voir votre adresse e-mail et votre numéro de téléphone dès que vous ouvrez le volet de partage sur votre appareil iOS ou macOS. C’était découvert par des chercheurs de la Technische Universitat Darmstadt, qui ont informé Apple de la vulnérabilité en mai 2019.
Depuis lors, Apple n’a rien fait pour résoudre le problème, malgré le fait qu’il affecte 1,5 milliard d’appareils actuellement utilisés dans le monde. Le paramètre par défaut d’AirDrop sur tous ces éléments est «Contacts uniquement», avec la possibilité de le changer en «Tout le monde» ou «Réception désactivée».
Par défaut, le système d’authentification mutuelle d’AirDrop vérifie si les appareils d’envoi et de réception appartiennent tous deux à la même personne ou s’ils appartiennent à des personnes figurant dans la liste de contacts de l’autre. Au cours de ce processus, les données sensibles échangées entre les appareils sont cryptées, mais les chercheurs notent que les hachages d’identité résultants sont suffisamment faibles pour être brisés à l’aide d’attaques par force brute.
À ce stade, on ne sait pas pourquoi Apple n’a pas résolu le problème, d’autant plus que les chercheurs en sécurité ont également proposé une solution qu’ils ont baptisée PrivateDrop, ce qui rend le processus de découverte de contacts plus sécurisé tout en ayant un impact minimal sur le délai d’authentification. Sinon, le seul moyen d’atténuer la vulnérabilité est de désactiver complètement la découverte AirDrop, mais cela rendrait la fonctionnalité beaucoup moins pratique.