Passer au contenu

Apple AirDrop peut faire fuiter votre numéro de téléphone et votre adresse e-mail

Dans certains cas, la fonction de partage de données permet de récupérer les identifiants d’un utilisateur que l’on ne connaît pas. Mais le risque est somme toute assez faible.

Très appréciée par les utilisateurs de terminaux Apple, la fonctionnalité AirDrop permet de facilement partager des fichiers. Pour des raisons de sécurité, elle est limitée par défaut aux contacts qui figurent dans le carnet d’adresses. Toutefois, des chercheurs en sécurité ont trouvé une faille dans ce protocole de communication permettant à une personne malintentionnée de collecter, dans certaines conditions, le numéros de téléphone de n’importe quel utilisateur, voire son adresse e-mail.

Des empreintes faciles à casser

En effet, AirDrop utilise une procédure d’authentification préalable où l’émetteur et le récepteur s’échangent les empreintes cryptographiques (SHA-256) de leurs numéros de téléphone et/ou de leurs adresses e-mail, afin de vérifier que les deux sont bien des contacts l’un de l’autre. Or, d’après les chercheurs, il n’est pas très compliqué de retrouver les valeurs d’origine à partir de ces empreintes. L’espace des numéros de téléphone étant relativement petit, il est possible de précalculer en partie les empreintes de numéros de téléphone. En final, quelques fractions de seconde suffiraient pour retrouver le numéro initial. Révéler l’e-mail est plus compliqué, mais pas impossible si l’on s’appuie sur les bases de données de fuites passées, estiment les chercheurs.

A découvrir aussi en vidéo :

 

Alerté par les chercheurs, Apple n’a pour l’instant pas bougé le petit doigt. Il faut dire que les scénarios d’attaque ne sont possibles que dans certaines conditions. Tout d’abord, il faut se trouver à proximité de la victime. Ensuite, pour récupérer les empreintes d’un émetteur, le pirate doit attendre que celui-ci réalise une découverte des terminaux environnants en se rendant dans le menu de partage d’AirDrop. Il faut donc être là au bon moment. Cette contrainte temporelle n’existe pas si le pirate joue le rôle d’émetteur, car c’est lui qui décide à quel moment initier l’authentification. Mais pour recevoir les empreintes d’un receveur, il doit figurer dans son carnet d’adresses, ce qui est peu probable.

Quoiqu’il en soit, les chercheurs ont proposé en open source une version améliorée du protocole d’AirDrop. Baptisée PrivateDrop, elle assure que ces fuites de données sont impossibles en toute condition.

Source: Etude

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
01net Morning
01net morning : arnaques à la carte SIM, tout savoir sur l’iPhone SE 4, vers une interdiction des drones DJI aux États-Unis
L'iPad Pro 12,9 pouces de 2022, avec son Magic Keyboard et un Apple Pencil de 2e génération.
L’iPad Pro pourrait bien être le premier « appareil IA » d’Apple
test google pixel 7a
Les meilleurs smartphones à moins de 500 euros en 2024
Photo d'un semi-conducteur.
Le plan américain de subventions de semi-conducteurs est déjà un pari gagnant
Dji Mini 4 Pro
Les drones de DJI pourraient bientôt être cloués au sol aux États-Unis
Sim Swap Arnaque Carte
Arnaque à la carte SIM : comment éviter que votre numéro de téléphone soit piraté ?
Windows 11
Windows 11 : comment désactiver les publicités Microsoft sur votre PC
Google Keep
Les rappels de Google Keep vont intégrer Google Tasks
Top téléchargements