High-tech

Des millions d’appareils Android et iOS touchés par des failles Quick Share et AirDrop.

Les protocoles d’échange de données sans fil d’Apple et de Google sont tous les deux victimes d’importantes failles de sécurité qui permettent à un hacker malveillant de faire planter ces appareils. Des correctifs ont déjà commencé à être déployés, Apple a patché l’une des trois failles dans une récente mise à jour et Google a déployé une nouvelle version de son application Quick Share pour Windows.


Les protocoles de transfert de données sans fil d’Apple et de Google souffrent de graves failles de sécurité qui permettent à un hacker d’entraîner le dysfonctionnement de ces appareils.

Plusieurs nouvelles vulnérabilités détectées dans les systèmes Quick Share et AirDrop illustrent que la commodité en informatique peut nuire à la sécurité. Ces protocoles utilisés sur les téléphones Apple et Android exposent les appareils à des attaques pouvant faire planter certaines de leurs fonctionnalités.

Des détails sur ces failles ont été publiés dans un article de recherche rapporté par The Hacker News, mettant en lumière les problèmes associés à de tels systèmes.

### Des systèmes mécaniquement faillibles

Sur les iPhones, il est possible d’établir silencieusement une connexion avec un appareil utilisant AirDrop et de causer un plantage du système sans alerter le propriétaire du téléphone. Cela s’explique par l’utilisation d’une même architecture logicielle qui gère également AirPlay (le protocole de partage de contenus audio/vidéo d’Apple), Handoff (qui permet de partager des tâches entre plusieurs appareils), le presse-papier universel et l’Appareil photo Continuité. Un code malveillant peut donc perturber l’ensemble de ces fonctionnalités.

Pour Android, une vulnérabilité identifiée sur un Galaxy S23 permet de contourner les mesures d’identification et de se connecter à une session Quick Share sans suivre les protocoles de sécurité traditionnels. La faille la plus préoccupante se trouve dans l’application Quick Share sur Windows, qui désactive certaines protections, ouvrant la voie à l’exécution de code sur une machine compromise.

Ces vulnérabilités exploitent la structure même de ces protocoles de partage, qui nécessitent un accès approfondi aux couches système avant d’avoir vérifié l’identité des appareils connectés.

### Des risques mesurés

Il est important de tempérer les inquiétudes, car ces failles ne peuvent être exploitées que sur un réseau Wi-Fi partagé, et non via Internet, ce qui réduit considérablement les risques. De plus, ces bugs ne permettent pas le vol de données ni l’exécution de code à distance ; ils ne provoquent que des dysfonctionnements d’applications sur le téléphone, souvent en boucle. Enfin, des correctifs ont déjà été mis en place. Apple a corrigé l’une des trois failles lors d’une mise à jour récente, et Google a publié une nouvelle version de son application Quick Share pour Windows.

En attendant que tous les systèmes soient correctement mis à jour et sécurisés, la meilleure méthode de protection consiste à paramétrer les options de partage AirDrop et Quick Share en mode « Contacts uniquement » plutôt qu’en « Tout le monde ». Cela implique de faire l’impasse sur l’interopérabilité entre AirDrop et Quick Share pour le moment.