Des chercheurs allemands du CISPA viennent de dévoiler six vulnérabilités qui touchent AirDrop côté Apple et Quick Share côté Android et Windows. Un attaquant à moins de trente mètres, avec un simple ordinateur, peut faire planter vos services de partage sans jamais toucher votre téléphone. Apple a déjà corrigé une des failles, les autres suivent.
Comment ça une faille ?
Les six trous découverts par le CISPA Helmholtz Center for Information Security ne servent pas tous à la même chose, et c'est là que ça devient intéressant. La majorité provoque ce qu'on appelle un déni de service, autrement dit un plantage forcé du programme qui gère le partage de fichiers. Un voisin mal intentionné peut envoyer des données malformées à votre iPhone ou à votre Mac et faire tomber le service tant qu'il continue son attaque. Une autre faille repérée dans Quick Share va plus loin, puisqu'elle permet de contourner la vérification d'identité avant même l'échange des clés de chiffrement, ce qui ouvre la porte à des choses nettement moins amusantes qu'un simple crash.
Ce qui est vraiment gênant, c'est la façon dont l'attaque se déclenche. Pas besoin de vous envoyer un lien piégé, pas besoin de partager votre réseau Wi-Fi, pas besoin d'avoir été ajouté à vos contacts. L'attaquant doit juste se trouver à portée, entre dix et trente mètres, avec un appareil équipé du Wi-Fi. AirDrop et Quick Share sont pensés pour un partage instantané et sans friction, donc les programmes qui tournent en fond traitent des données envoyées par n'importe qui avant de vérifier qui les envoie. C'est ce défaut de conception que les chercheurs ont exploité.
Quels appareils, et jusqu'où va la casse
La faille est en fait tentaculaire, avec plus de cinq milliards d'appareils actifs concernés dans le monde. Côté Apple, trois vulnérabilités visent macOS et iOS, avec des variantes qui débordent sur watchOS, tvOS et visionOS à cause d'un débordement de pile dans l'analyse d'un fichier XML. Une des attaques ne se contente d'ailleurs pas de couper AirDrop, elle fait aussi tomber AirPlay, Handoff, le presse-papiers universel et Continuity Camera, bref tout l'écosystème de continuité qui fait le charme d'un environnement Apple bien réglé. Côté Android, trois autres failles frappent AirDrop version Quick Share, dont ce fameux contournement d'authentification et un bug qui traite des données non chiffrées après la négociation des clés, avec un dernier problème logé sous Windows. Google a d'ailleurs versé une prime à l'équipe pour le bug Windows, preuve qu'il était pris au sérieux.
Des correctifs, mais au compte-gouttes
Bonne nouvelle, ce n'est pas resté lettre morte. Apple a déjà corrigé une des vulnérabilités AirDrop dans une mise à jour et lui a attribué un identifiant CVE, le petit matricule officiel qui répertorie les failles connues. Les autres signalements envoyés à Apple restent en divulgation coordonnée, ce qui veut dire que les détails complets sont gardés sous le coude tant que les rustines ne sont pas prêtes. Du côté de Google et de Samsung, deux bugs sont encore en investigation, tandis que le trou sous Windows a bien reçu son correctif. Le meilleur réflexe reste donc bête comme chou, installez vos mises à jour dès qu'elles arrivent et n'attendez pas.
On en dit quoi ?
C'est le genre d'alerte qui calme un peu tout le monde. On adore AirDrop (quand ça fonctionne) et Quick Share, parce que ce sont des outils simples, et c'est précisément ce confort qui crée la faille. Le fait qu'un inconnu puisse vous pourrir la vie depuis un banc à trente mètres, sans jamais interagir avec vous, c'est franchement pénible. On reste quand même loin de la catastrophe absolue, puisque la majorité des failles se limite à des plantages, pas à un vol de données massif, et qu'Apple comme Google ont réagi.