Pomme<\/p>\n
Les derniers probl\u00e8mes de s\u00e9curit\u00e9 d’Apple sont \u00e0 la fois d\u00e9vastateurs et risibles. La semaine derni\u00e8re, nous avons appris que la soci\u00e9t\u00e9 avait corrig\u00e9 un exploit macOS de la mani\u00e8re la plus paresseuse possible<\/a>, et maintenant, la soci\u00e9t\u00e9 fait face \u00e0 un contrecoup pour une vuln\u00e9rabilit\u00e9 AirTags amateur qu’elle conna\u00eet depuis des mois et qu’elle n’a jamais pris la peine de corriger.<\/p>\n Les AirTags sont de petits trackers qui se fixent aux sacs \u00e0 dos, sacs \u00e0 main, bagages et autres objets de valeur. Si quelqu’un perd son sac \u00e9quip\u00e9 d’AirTag, il peut suivre son emplacement \u00e0 l’aide du r\u00e9seau Find My, qui est aliment\u00e9 de mani\u00e8re anonyme par les iPhones et autres appareils Apple.<\/p>\n Mais le plus souvent, les objets perdus sont retrouv\u00e9s par des inconnus. C’est pourquoi les AirTags ont un "mode perdu", un param\u00e8tre qui permet aux bons samaritains de scanner le tracker pour voir le num\u00e9ro de t\u00e9l\u00e9phone de son propri\u00e9taire. La num\u00e9risation est simple: il vous suffit de toucher l’AirTag avec votre iPhone.<\/p>\n Malheureusement, un d\u00e9faut de conception dans les AirTags pourrait transformer les trackers en outils bon march\u00e9 pour les attaques par chute. Comme l’a d\u00e9couvert le chercheur en s\u00e9curit\u00e9 Bobby Rauch<\/a>, Apple ne nettoie pas le champ de saisie du num\u00e9ro de t\u00e9l\u00e9phone que les propri\u00e9taires d’AirTag remplissent lors de la configuration de leurs trackers. Vous pouvez coller n’importe quoi dans ce champ de saisie, y compris du code malveillant.<\/p>\n Et c’est un gros probl\u00e8me. Lorsque vous scannez un AirTag perdu, il donne le "num\u00e9ro de t\u00e9l\u00e9phone" de son propri\u00e9taire \u00e0 votre iPhone. Votre iPhone int\u00e8gre ensuite le \u00ab\u00a0num\u00e9ro de t\u00e9l\u00e9phone\u00a0\u00bb dans une page Web https:\/\/found.apple.com\/<\/a>. Ainsi, si le champ du num\u00e9ro de t\u00e9l\u00e9phone d’un AirTag perdu est plein de code XSS malveillant, le site Web d’Apple l’int\u00e9grera, sans poser de questions.<\/p>\n Cette vuln\u00e9rabilit\u00e9 rend les tentatives de phishing cibl\u00e9es extr\u00eamement faciles. Un pirate peut programmer une fausse bo\u00eete de connexion iCloud pour qu’elle s’affiche lorsque son AirTag "perdu" est scann\u00e9, par exemple. Ils pourraient ensuite placer cet AirTag pr\u00e8s de la voiture ou de la porte d’entr\u00e9e d’une victime pour s’assurer qu’il est d\u00e9couvert et scann\u00e9.<\/p>\n Les pirates pourraient \u00e9galement utiliser cette vuln\u00e9rabilit\u00e9 pour d\u00e9clencher des exploits zero-day bas\u00e9s sur un navigateur sur un iPhone. Ces exploits pourraient planter ou bloquer votre iPhone, mais pour \u00eatre honn\u00eate, un tel exploit ne profiterait pas vraiment \u00e0 un pirate (et il existe des moyens beaucoup plus simples<\/a> de fournir de tels exploits).<\/p>\n Bobby Rauch, le chercheur qui a d\u00e9couvert cette vuln\u00e9rabilit\u00e9, l’a signal\u00e9 \u00e0 Apple le 20 juin. La soci\u00e9t\u00e9 a pass\u00e9 trois mois \u00e0 dire \u00e0 Rauch qu’elle enqu\u00eatait sur le probl\u00e8me et a refus\u00e9 de lui dire s’il recevrait un cr\u00e9dit ou une prime pour sa d\u00e9couverte (ce sont des r\u00e9compenses standard pour avoir suivi le programme de primes de bogues d’Apple<\/a> ).<\/p>\n Apple a demand\u00e9 \u00e0 Rauch de ne pas "divulguer" le bogue, mais a refus\u00e9 de travailler avec lui ou de fournir un calendrier pour un correctif. Il a averti l’entreprise qu’il rendrait la vuln\u00e9rabilit\u00e9 publique apr\u00e8s 90 jours, et l’a finalement fait dans un article de blog Medium<\/a>. Pourtant, Apple n’a pas comment\u00e9 publiquement le probl\u00e8me, bien qu’il ait pr\u00e9c\u00e9demment d\u00e9clar\u00e9 \u00e0 Rauch qu’il avait l’intention de r\u00e9soudre le probl\u00e8me.<\/p>\n Techniquement parlant, cela devrait \u00eatre une solution tr\u00e8s simple. Apple n’a pas besoin de pousser une mise \u00e0 jour pour l’iPhone ou les AirPods ; il suffit de faire en sorte que la page Web https:\/\/found.apple.com\/<\/a> nettoie les \u00abnum\u00e9ros de t\u00e9l\u00e9phone\u00bb entrants. Mais j’esp\u00e8re qu’Apple prendra les mesures n\u00e9cessaires pour r\u00e9soudre compl\u00e8tement ce probl\u00e8me. La soci\u00e9t\u00e9 continue de faire des erreurs stupides et de proposer des correctifs \u00e0 moiti\u00e9 nuls<\/a> pour des choses qui auraient d\u00fb \u00eatre s\u00e9curis\u00e9es au lancement.<\/p>\n Sans oublier qu’Apple refuse de communiquer<\/a> avec les personnes qui tentent de signaler des probl\u00e8mes via son programme officiel de primes aux bogues. Si Apple est s\u00e9rieux en mati\u00e8re de s\u00e9curit\u00e9, il doit s’attaquer rapidement aux vuln\u00e9rabilit\u00e9s logicielles et commencer \u00e0 traiter les experts en s\u00e9curit\u00e9 avec respect. Apr\u00e8s tout, beaucoup de ces experts en s\u00e9curit\u00e9 font le travail d’Apple gratuitement.<\/p>\n Cette nouvelle ne devrait pas vous d\u00e9courager de scanner les AirTags, bien qu’elle devrait vous rendre plus vigilant. Si vous \u00eates invit\u00e9 \u00e0 vous connecter \u00e0 iCloud ou \u00e0 un autre compte apr\u00e8s avoir scann\u00e9 un AirTag, par exemple, alors quelque chose se passe – Apple ne demande aucune information de connexion lorsqu’un AirTag l\u00e9gitime est scann\u00e9.<\/p>\n Un AirTag laiss\u00e9 seul est aussi un drapeau rouge\u2026 en quelque sorte. Parce que ces trackers n’ont pas de boucles de porte-cl\u00e9s int\u00e9gr\u00e9es, ils peuvent tomber des sacs ou s’\u00e9chapper des \u00e9tuis bon march\u00e9. Dans la plupart des cas, un seul AirTag est le r\u00e9sultat d’une n\u00e9gligence.<\/p>\n Quoi qu’il en soit, personne ne vous oblige \u00e0 scanner les AirTags. Si vous trouvez un objet perdu avec un AirTag et que vous n’\u00eates pas \u00e0 l’aise de le scanner, vous pouvez l’apporter \u00e0 l’Apple Store (ou \u00e0 un poste de police, je suppose) et en faire leur probl\u00e8me. Sachez simplement qu’il n’y a probablement aucun mal \u00e0 le scanner, tant que vous ne saisissez aucune information de connexion dans la fen\u00eatre contextuelle du navigateur AirTags.<\/p>\n Source: Bobby Rauch<\/a> via Krebs sur la s\u00e9curit\u00e9<\/a>, Ars Technica<\/a><\/p>\nLes AirTags ne nettoient pas les "num\u00e9ros de t\u00e9l\u00e9phone"<\/h2>\n
Apple a pass\u00e9 des mois assis sur ses mains<\/h2>\n
Est-il s\u00fbr de scanner les AirTags\u00a0?<\/h2>\n