Apple aime se vanter de son engagement envers la confidentialité et la sécurité des utilisateurs, mais il y a un éléphant rose dans la pièce : AirDrop. Des chercheurs de la Technische Universitat Darmstadt ont découvert une faille dans la fonction de partage de fichiers qui révèle votre numéro de téléphone et votre adresse e-mail à des inconnus.
Comment fonctionne cette vulnérabilité AirDrop ?
Les pirates n'ont besoin que de deux choses pour accéder à vos données personnelles via AirDrop : la connectivité Wi-Fi et la proximité de l'appareil.
A lire en complément : Sécurité des appareils mobiles : 3 conseils pour mieux protéger vos données
Selon les chercheurs, le nœud du problème est l'utilisation par Apple du hachage pour masquer les numéros de téléphone et les e-mails. Non seulement un destinataire malveillant peut collecter des identifiants de contact chiffrés et les déchiffrer "en quelques millisecondes", mais peut également connaître tous les identifiants de contact chiffrés, y compris le numéro de téléphone du destinataire, à son insu.
Dans un scénario d'attaque hypothétique, le responsable pourrait ouvrir le menu de partage ou partager la feuille Apple, qui peut être utilisée pour obtenir le numéro de téléphone ou l'adresse e-mail d'autres employés dont les coordonnées du responsable sont stockées dans leur carnet d'adresses.
Lisez aussi : Confidentialité des données : Même les meilleures applications peuvent vendre vos données personnelles!
Les chercheurs ont déclaré avoir informé Apple du problème en privé dès mai 2019, puis à nouveau en octobre 2020, après avoir développé une solution appelée "PrivateDrop" pour corriger la conception défectueuse d'AirDrop.
Mais comme Apple n'a pas encore annoncé son intention de remédier à la violation de données personnelles, les utilisateurs de plus de 1,5 milliard d'appareils Apple sont vulnérables à de telles attaques. Les résultats sont les derniers d'une série d'études menées par des chercheurs de l'Université de Toronto qui ont fouillé l'écosystème sans fil d'Apple pendant des années pour identifier les problèmes de sécurité et de confidentialité.
En mai 2019, des chercheurs ont révélé des vulnérabilités dans le protocole maillé propriétaire Wireless Direct Link (AWDL) d'Apple, qui permettait aux attaquants de suivre les utilisateurs, de verrouiller les appareils et même d'intercepter les fichiers envoyés entre les appareils. Puis, en mai 2021, deux défauts de conception et de mise en œuvre distincts ont été découverts dans "Find My". Ces failles peuvent conduire à une attaque par corrélation de localisation et à un accès non autorisé à l'historique de localisation au cours des sept derniers jours, entraînant la désidentification des utilisateurs.
Comment resoudre le probleme?
Pour l'instant, Apple n'offre pas de solution définitive à cette vulnérabilité de sécurité Airdrop. Cependant, il existe une solution rapide et peu coûteuse pour se protéger. En effet, étant donné que le problème survient principalement lors de l'utilisation de réseaux Wi-Fi, il est logique de protéger votre propre adresse IP avec un VPN. En effet, un VPN en masquant votre adresse IP personnelle et en vous en attribuant une temporaire contribuera à vous protéger de ce type d'attaque en agissant comme une sorte d'écran. Sans votre adresse IP et sans accès à votre réseau WI-FI, les pirates ne pourront jamais accéder à vos données personnelles. Un VPN est également une solution pratique et peu coûteuse car il ne vous faudra que quelques minutes pour l'installer sur votre téléphone ou autre appareil et sera immédiatement efficace pour protéger vos données des manipulations malveillantes.