Apple AirDrop peut faire fuiter votre numéro de téléphone et votre adresse e-mail


Très appréciée par les utilisateurs de terminaux Apple, la fonctionnalité AirDrop permet de facilement partager des fichiers. Pour des raisons de sécurité, elle est limitée par défaut aux contacts qui figurent dans le carnet d’adresses. Toutefois, des chercheurs en sécurité ont trouvé une faille dans ce protocole de communication permettant à une personne malintentionnée de collecter, dans certaines conditions, le numéros de téléphone de n’importe quel utilisateur, voire son adresse e-mail.

Des empreintes faciles à casser

En effet, AirDrop utilise une procédure d’authentification préalable où l’émetteur et le récepteur s’échangent les empreintes cryptographiques (SHA-256) de leurs numéros de téléphone et/ou de leurs adresses e-mail, afin de vérifier que les deux sont bien des contacts l’un de l’autre. Or, d’après les chercheurs, il n’est pas très compliqué de retrouver les valeurs d’origine à partir de ces empreintes. L’espace des numéros de téléphone étant relativement petit, il est possible de précalculer en partie les empreintes de numéros de téléphone. En final, quelques fractions de seconde suffiraient pour retrouver le numéro initial. Révéler l’e-mail est plus compliqué, mais pas impossible si l’on s’appuie sur les bases de données de fuites passées, estiment les chercheurs.

A découvrir aussi en vidéo :

Alerté par les chercheurs, Apple n’a pour l’instant pas bougé le petit doigt. Il faut dire que les scénarios d’attaque ne sont possibles que dans certaines conditions. Tout d’abord, il faut se trouver à proximité de la victime. Ensuite, pour récupérer les empreintes d’un émetteur, le pirate doit attendre que celui-ci réalise une découverte des terminaux environnants en se rendant dans le menu de partage d’AirDrop. Il faut donc être là au bon moment. Cette contrainte temporelle n’existe pas si le pirate joue le rôle d’émetteur, car c’est lui qui décide à quel moment initier l’authentification. Mais pour recevoir les empreintes d’un receveur, il doit figurer dans son carnet d’adresses, ce qui est peu probable.

Quoiqu’il en soit, les chercheurs ont proposé en open source une version améliorée du protocole d’AirDrop. Baptisée PrivateDrop, elle assure que ces fuites de données sont impossibles en toute condition.

Source: Etude



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *