Certains membres de Capitol Hill sont en colère contre l’inaction d’Apple
Paume faciale : La Chine n’est pas exactement un porte-drapeau en matière de droits de l’homme et de vie privée individuelle, il est donc inquiétant de pouvoir récupérer les coordonnées des utilisateurs d’AirDrop. Apple a été averti que son service était vulnérable il y a des années, mais n’a rien fait.
En 2019, des chercheurs de l’Université technique allemande de Darmstadt ont découvert que la fonction de partage sans fil AirDrop d’Apple présentait des vulnérabilités qui permettaient à un attaquant de pirater les numéros de téléphone et les adresses e-mail des utilisateurs d’AirDrop à l’aide d’un appareil compatible Wi-Fi et en se trouvant à proximité d’un cible. Il suffit ensuite d’ouvrir le volet de partage sur un appareil iOS ou macOS et de récupérer ces informations. Les chercheurs avaient alors averti Apple de la vulnérabilité, mais l’entreprise n’a rien fait. Deux ans plus tard, le même groupe a proposé une solution au problème, mais encore une fois, Apple n’a pris aucune mesure pour corriger la faille.
Aujourd’hui, les conséquences de l’inaction d’Apple sont devenues claires, ou du moins rendues publiques pour la première fois : les autorités judiciaires de Pékin ont récemment annoncé que la police était en mesure de retrouver les personnes qui utilisaient le service pour envoyer des « informations inappropriées » aux passants dans le métro de Pékin. de la société technologique chinoise Wangshendongjian Technology.
Quelques informations sur le fonctionnement d’AirDrop sont utiles pour comprendre ce qui s’est passé ensuite. AirDrop est un protocole propriétaire Apple qui vous permet de partager des fichiers directement mais sans fil avec d’autres utilisateurs Apple à proximité. AirDrop fonctionne même lorsque les deux utilisateurs sont hors ligne, en utilisant une combinaison de Bluetooth et de Wi-Fi peer-to-peer pour un partage sans fil local rapide, simple.
Les utilisateurs s’ouvrent à la vulnérabilité via le mode « Contacts uniquement » d’AirDrop, dans lequel vous indiquez à AirDrop d’accepter uniquement les messages des utilisateurs déjà présents dans votre propre liste de contacts. Les chercheurs de Darmstadt ont découvert que les deux extrémités d’une connexion AirDrop qui détermine si ces deux personnes se considèrent comme un contact utilisent des paquets réseau qui ne protègent pas correctement la confidentialité des données de contact.
Et en effet, Wangshendongjian Technology a pu contourner les valeurs de hachage liées au nom de l’appareil, à l’adresse e-mail et au numéro de téléphone portable de l’expéditeur en créant un tableau arc-en-ciel de numéros de téléphone mobile et de comptes de messagerie, qui a converti le texte chiffré en texte original et verrouillé le mobile de l’expéditeur. numéro de téléphone et compte de messagerie.
C’est exactement ce que préviennent les chercheurs de la TU Darmstadt : à savoir que le hachage d’AirDrop ne parvient pas à fournir une découverte de contacts préservant la confidentialité, car les valeurs de hachage peuvent être rapidement inversées à l’aide de techniques simples telles que des attaques par force brute.
La nouvelle selon laquelle la Chine a trouvé comment pirater AirDrop s’est répercutée à Capitol Hill et parmi les militants des droits humanitaires. Le sénateur de Floride Marco Rubio, principal républicain de la commission sénatoriale du renseignement, a appelé Apple à « être tenu responsable de son incapacité à protéger ses utilisateurs contre des violations de sécurité aussi flagrantes. « Cette violation n’est qu’une autre façon pour Pékin de cibler tout utilisateur Apple qu’il perçoit. être un opposant. » Benjamin Ismail, directeur de campagne et de plaidoyer de Greatfire.org, qui surveille la censure d’Internet en Chine, a déclaré qu’il était « impératif qu’Apple soit transparent sur sa réponse à ces développements ».
Apple, quant à lui, n’a pas répondu aux nombreuses demandes des médias à ce sujet.
