Clé à emporter
- AirDrop est idéal pour envoyer des photos à vos amis, mais une faille récemment découverte signifie que des étrangers pourraient également obtenir vos coordonnées.
- Les étrangers pourraient voir votre numéro de téléphone et votre adresse e-mail simplement en ouvrant un volet de partage iOS ou macOS dans la portée Wi-Fi d'autres personnes.
- Il a été démontré que les utilisateurs anonymes peuvent transférer des photos ou des fichiers vers des appareils cibles à l'aide d'AirDrop.
La fonctionnalité AirDrop d'Apple est un moyen pratique de partager des éléments, mais elle peut également présenter un risque pour la confidentialité.
Une faille AirDrop récemment découverte permet à des inconnus de voir votre numéro de téléphone et votre adresse e-mail simplement en ouvrant un volet de partage iOS ou macOS dans la portée Wi-Fi d'autres personnes. Il s'agit de l'une des nombreuses failles de confidentialité que les utilisateurs Mac et iOS doivent connaître.
"Nos appareils iOS sont connectés à d'innombrables applications de médias sociaux, plateformes de messagerie tierces et sites de réseautage qui permettent aux gens de partager toutes sortes de contenus entre eux", Hank Schless, expert en sécurité au sein de la société de cybersécurité Lookout, a déclaré dans une interview par e-mail. "Si vous recevez n'importe quel type de fichier d'un contact inconnu, vous devez toujours le traiter comme potentiellement dangereux jusqu'à preuve du contraire."
Apple reste silencieux sur un correctif
Les failles des protocoles de sécurité d'AirDrop auraient été découvertes en 2019 par des chercheurs, qui ont informé Apple du problème. Cependant, l'entreprise n'a pas encore fourni de solution. Un article récent a révélé que le problème est plus étendu qu'on ne le savait auparavant.
"Comme les données sensibles sont généralement partagées exclusivement avec des personnes que les utilisateurs connaissent déjà, AirDrop n'affiche par défaut que les appareils récepteurs des contacts du carnet d'adresses", indique le rapport. "Pour déterminer si l'autre partie est un contact, AirDrop utilise un mécanisme d'authentification mutuelle qui compare le numéro de téléphone et l'adresse e-mail d'un utilisateur avec les entrées du carnet d'adresses de l'autre utilisateur."
Recevoir une notification AirDrop d'un individu inconnu est un énorme drapeau rouge.
Le problème avec l'utilisation d'AirDrop pour le vol de données semble être limité aux numéros de téléphone et aux adresses e-mail, qui pourraient être utilisés dans de futures attaques de phishing ciblées, a déclaré l'expert en cybersécurité Patrick Kelley dans une interview par e-mail.
Jacob Ansari, expert en sécurité chez Schellman & Company, un évaluateur mondial indépendant de la conformité en matière de sécurité et de confidentialité, a convenu que le phishing pourrait être l'objectif de tout pirate informatique potentiel.
"Un attaquant à proximité d'un appareil cible peut obtenir très facilement un nom d'utilisateur (probablement une adresse e-mail) et un numéro de téléphone", a-t-il déclaré dans une interview par e-mail. "Il est peut-être plus utile d'obtenir le numéro de téléphone d'une victime particulière, comme une célébrité ou une cible particulière (par exemple, un PDG d'entreprise), mais il est également utile pour monter ensuite une attaque de phishing ou similaire plus directe contre des personnes moins célèbres."
Ce n'est pas seulement la faille récemment découverte qui pose problème avec AirDrop. Au fil des ans, il a été démontré que les utilisateurs anonymes peuvent transférer des photos ou des fichiers vers des appareils cibles à l'aide d'AirDrop.
"Cela a été utilisé pour perturber des événements multimédias publics en AirDropping [pour adultes] images", a déclaré Kelley. "Cela étant dit, il y avait une" campagne de positivité "où des utilisateurs anonymes diffusaient des images de motivation AirDropping sur des appareils cibles."
Ne paniquez pas, disent les experts
Mais ne vous inquiétez pas trop de la faille AirDrop, a déclaré Oliver Tavakoli, directeur de la technologie de la société de cybersécurité Vectra, dans une interview par e-mail. L'attaquant doit être à proximité physique relativement proche de vous, et il y a du travail à faire pour déchiffrer votre adresse e-mail et votre numéro de téléphone. Bien sûr, Apple peut et doit corriger ce défaut.
"Cependant, gardons cela en perspective", a ajouté Tavakoli, "si le piratage décrit réussit, un attaquant aura l'adresse e-mail et le numéro de téléphone d'un inconnu à proximité. Ce n'est pas exactement la fin du monde."
Bien qu'Apple n'ait pas encore résolu le problème d'AirDrop, vous pouvez faire certaines choses pour l'atténuer. Les utilisateurs doivent désactiver AirDrop s'il n'est pas utilisé, a déclaré Kelley. Vous pouvez également envisager d'utiliser un projet open source nommé PrivateDrop, qui prétend avoir résolu le processus de vérification de la liste de contacts. La solution peut être utilisée gratuitement en remplacement d'AirDrop.
Mais la meilleure chose que les utilisateurs puissent faire est de se méfier de qui essaie de leur envoyer des fichiers, a déclaré Schless.
"Recevoir une notification AirDrop d'un individu inconnu est un énorme drapeau rouge", a-t-il ajouté. "Exécutez vos appareils mobiles selon une politique d'accès et de privilèges les moins nécessaires. Essayez activement de réduire le nombre d'autorisations d'accès aux données et aux appareils que vous accordez à vos applications afin de minimiser l'exposition potentielle aux cybermenaces."
