IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> AirDrop dévoile bien plus d'informations que vous ne le pensez, Réactions à la publication du 23/04/2021
Options
Lionel
posté 23 Apr 2021, 13:11
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 54 613
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



La fonction AirDrop est très pratique pour transférer des documents à partir d'un iPhone.
Elle laisse cependant fuiter bien plus d'informations qu'on ne pourrait le penser.
Des chercheurs en sécurité ont découvert qu'il est possible pour un parfait inconnu doté d'un appareillage simple de récupérer assez facilement les numéros de téléphone mobile et adresse mail des appareils alentour.

Pour fonctionner, AirDrop scanne au besoin les appareils autour et s'assure qu'ils font bien partie de la liste des contacts de l'utilisateur. Pour cela il y a un échange de données, qui sont toutefois chiffrées. Or le chiffrement est très facile à craquer dans un délai très court avec une attaque de force brute.

Apple a été informée de ce problème en mai 2019 et les chercheurs en sécurité ont même proposé des solutions pour régler le problème. La société n'a pas donné suite ni réglé le problème depuis.

Maintenant qu'il est public et médiatisé, Apple va certainement s'en occuper après nous avoir expliqué que ce n'est pas une faille de sécurité.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Aegis1383
posté 23 Apr 2021, 15:01
Message #2


Adepte de Macbidouille
*

Groupe : Membres
Messages : 104
Inscrit : 24 Jun 2011
Membre no 168 334



Citation (Lionel @ 23 Apr 2021, 14:11) *
Des chercheurs en sécurité ont découvert qu'il est possible pour un parfait inconnu doté d'un appareillage simple de récupérer assez facilement les numéros de téléphone mobile et adresse mail des appareils alentour.

[...]

Maintenant qu'il est public et médiatisé, Apple va certainement s'en occuper après nous avoir expliqué que ce n'est pas une faille de sécurité.

Lien vers le billet original


C'est au contraire une fonctionnalité très prometteuse en cette période de pandémie : si vous souhaitez parler à quelqu'un à proximité de vous, vous pourrez le faire en toute sécurité en l'appelant au lieu de lui parler directement.

Je reconnais que la fonctionnalité est largement perfectible (obligé de passer par un appareil et la force brute). Mais Apple y travaille surement et en contrepartie vous pourriez vous faire un petit réseau social instantané très sympa.

Non c'est pas mal du tout, je vois pas où est le problème, on voit le mal partout... cool.gif
Go to the top of the page
 
+Quote Post
lizuel
posté 23 Apr 2021, 16:01
Message #3


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 359
Inscrit : 7 Dec 2004
Lieu : Toulouse
Membre no 28 419



Pas plus tard qu'au début de la semaine, Apple présentait les AirTag et nous expliquait religieusement à quel point la sécurité des données personnelles était au cœur de leurs priorités. Amen.
Go to the top of the page
 
+Quote Post
alex54
posté 23 Apr 2021, 17:24
Message #4


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 624
Inscrit : 13 Dec 2004
Membre no 28 772



C’est pas iapix qui disait que tout était chiffré ?

J’imagine bien les données biométrique des capteurs d’empreinte des nouveaux iMac transite et récupérable en Bluetooth. Claque en un rien comme cette faille de sécurité...

Bref le visage ou l’empreinte digital n’est et ne sera plus une donne fiable pour validé un paiement et déverrouiller une machine...
Go to the top of the page
 
+Quote Post
iAPX
posté 23 Apr 2021, 18:36
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 207
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (alex54 @ 23 Apr 2021, 11:24) *
C’est pas iapix qui disait que tout était chiffré ?

J’imagine bien les données biométrique des capteurs d’empreinte des nouveaux iMac transite et récupérable en Bluetooth. Claque en un rien comme cette faille de sécurité...

Bref le visage ou l’empreinte digital n’est et ne sera plus une donne fiable pour validé un paiement et déverrouiller une machine...

Non ça c'est mal chiffré, autant que je me souvienne le problème notablement dans certains pays avec des Area Code (USA en tête, mais Canada aussi, et plein d'autres), l'espace probable est très restreint, 10^7 dans les deux cas précités, permettant de déterminer quelques numéros potentiel depuis le hash.

D'un autre coté, si on connait le numéro de téléphone mobile de quelqu'un, alors on peut déterminer sa présence si il a un iPhone avec AirDrop actif, grâce à son hash prévisible et exposé.

Le problème principal est que le hash est utilisé à la fois pour masquer le numéro de téléphone, ce qu'il ne peut faire (espace de solution trop faible), et éviter d'ouvrir AirDrop à tout un chacun, ce qu'il ne peut pas plus faire de manière certaine (hash trop court permettant une attaque par force brute). Cryptographiquement ça a été monté avec les pieds.

Les données biométriques utilisés sur des iPhone ou iPad sont protégées très spécialement, échangées chiffrées uniquement entre unités authentifiées (capteur et Vault), et n'ont rien à voir avec le bluetooth et ne sont à-priori pas accessible par la CPU principale en aucun cas!

Ce message a été modifié par iAPX - 23 Apr 2021, 19:31.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
JayTouCon
posté 23 Apr 2021, 18:44
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 383
Inscrit : 2 Sep 2010
Membre no 158 552



Citation (Lionel @ 23 Apr 2021, 14:11) *
Apple a été informée de ce problème en mai 2019 et les chercheurs en sécurité ont même proposé des solutions pour régler le problème. La société n'a pas donné suite ni réglé le problème depuis.

Lien vers le billet original

le service juridique était en vacance ? par ce que sinon ils ont du s'arracher les cheveux quand on leur a dit que rien ne serait fait.
Go to the top of the page
 
+Quote Post
DOMY
posté 23 Apr 2021, 18:54
Message #7


canoéiste trrrès imp(r)udent
*****

Groupe : Membres
Messages : 5 749
Inscrit : 5 May 2003
Lieu : LA ROCHELLE (17)
Membre no 7 431



Déjà avant ce billet, je choisissais " m'autoriser à être détectable par personne " par défaut !
J'autorisais juste le temps d'un envoi de fichier de mon Iphone vers le Mac, et je refermais de suite.

Apparemment, je cours quand même des risques .... pas glop ! sad.gif

Ce message a été modifié par DOMY - 23 Apr 2021, 18:55.


--------------------
Mac Pro: 2,66 GHZ - 4 Go Ram / OS: S-LEO 10.6.6 / Ecran: FORMAC Gallery 1740
Modem: NETGEAR DG834G-V3 (Ethernet) / Provider: ORANGE - 8 Méga
Disque Externe: LACIE (Firewire 400) / Imprimante: EPSON Stylus Photo 1270
Scanner: EPSON Perfection Photo 1200 / Webcam: APPLE ISight
Go to the top of the page
 
+Quote Post
Fars
posté 23 Apr 2021, 21:23
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 181
Inscrit : 4 Nov 2002
Lieu : Carcassonne
Membre no 4 494



Pour un partage de données a la volée entre différents appareils sur mon réseau j’utilise l’excellent
https://snapdrop.net/
Fonctionne sur tous les systèmes d’exploitation pour peu que le navigateur supporte WebRTC

Ce message a été modifié par Fars - 23 Apr 2021, 21:25.


--------------------
Raspberry Pi4 B / 4 Go Ram / SSD Samsung T5 500 Go Usb3 / Ventila Pi4 / Raspbian 10 (Buster) / boot SD Card / rootfs SSD (fait accessoirement office de serveur pour Apple TV 4)
Raspberry Pi4 B / 2 Go Ram/ SD 16Go / RETROFLAG NESPI 4 Case / Recalbox 7.2 / Kodi 18 / 8BitDo SN30 Pro+ (Pour s'amuser :) Pac Man et 1942 les vrais, authentiques!!!)
MacBook 6,1 2009 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
MacBook Pro 8,1 2011 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
HP X360 (LORdi) 2015 / 4 Go Ram / SSD 250 Go M2 / (Single boot) Ubuntu 20.04 LTS (Focal Fossa)
Apple TV4 / 8BitDo SN30 Pro+
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2021, 12:33
Message #9


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 207
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Fars @ 23 Apr 2021, 15:23) *
Pour un partage de données a la volée entre différents appareils sur mon réseau j’utilise l’excellent
https://snapdrop.net/
Fonctionne sur tous les systèmes d’exploitation pour peu que le navigateur supporte WebRTC

Je vois le coté très pratique, en revanche l'aspect sécurité est totalement absent pour ne pas dire plus.

Je ne saurais qu'absolument déconseiller l'usage de cette bouse!

Très sérieusement, vos réseaux locaux ne sont généralement pas sûrs, d'abord car vous n'avez pas le contrôle des logiciels présents sur les appareils qui y sont connectés, ensuite même en cas de partitionnement avec des VLAN vous n'avez aucune façon de connaître leur réel niveau de sécurité et l'absence de failles, en fait on ne maîtrise que très peu de choses même sur son propre réseau local physique (Ethernet).

Et en 2021, je recommande d'utiliser un VPN (Wireguard par exemple) même sur son réseau local, avec des tables de routages très limitantes pour chaque appareil, et chaque partage réseau (filesystem, Samba/SMB, NFS, iSCSCI, etc.) ou périphérique (imprimante) doit absolument n'être accessible que par son ou ses clients.
Pour ma part avec quand-même pas mal d'expérience, je sécurise mes systèmes de sauvegarde et mes imprimantes via l'usage exclusif de connexions directes (USB), ce qui est moins souple (euphémisme) mais qui garantit un niveau de sécurité très élevé per-se.

Ce message a été modifié par iAPX - 24 Apr 2021, 13:11.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
Fars
posté 24 Apr 2021, 14:58
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 181
Inscrit : 4 Nov 2002
Lieu : Carcassonne
Membre no 4 494



@IAPX
Je suis d’accord,
Mais je veux pas verser dans la parano non plus... je surveille régulièrement les adresses connectées sur mon réseau, et j’habite en maison pas de voisin qui m’entourent comme si j’étais en appartement.
Mais c’est vrai que ne pas prendre toutes les précautions, c’est s’exposer potentiellement...


--------------------
Raspberry Pi4 B / 4 Go Ram / SSD Samsung T5 500 Go Usb3 / Ventila Pi4 / Raspbian 10 (Buster) / boot SD Card / rootfs SSD (fait accessoirement office de serveur pour Apple TV 4)
Raspberry Pi4 B / 2 Go Ram/ SD 16Go / RETROFLAG NESPI 4 Case / Recalbox 7.2 / Kodi 18 / 8BitDo SN30 Pro+ (Pour s'amuser :) Pac Man et 1942 les vrais, authentiques!!!)
MacBook 6,1 2009 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
MacBook Pro 8,1 2011 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
HP X360 (LORdi) 2015 / 4 Go Ram / SSD 250 Go M2 / (Single boot) Ubuntu 20.04 LTS (Focal Fossa)
Apple TV4 / 8BitDo SN30 Pro+
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2021, 18:52
Message #11


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 207
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (Fars @ 24 Apr 2021, 08:58) *
@IAPX
Je suis d’accord,
Mais je veux pas verser dans la parano non plus... je surveille régulièrement les adresses connectées sur mon réseau, et j’habite en maison pas de voisin qui m’entourent comme si j’étais en appartement.
Mais c’est vrai que ne pas prendre toutes les précautions, c’est s’exposer potentiellement...

Ton routeur, c'est ça la première faiblesse: routersecurity.org

Quasiment aucun suivi par son constructeur, et surtout pas sur la durée car quand on achète on a juste quelques mois de MàJ voir moins, le routeur qui ne se met pas à jours automatiquement ni se signale leur présence, et in-fine un champ de ruine coté sécurité pour la plupart des gens.
D'ailleurs c'est la raison pour laquelle je n'utilise plus le routeur fourni par mon opérateur depuis 16 ans, là aussi aucun n'est fiable et vérifiable!

Et en fait, je considère mon routeur non comme un atout, mais comme un vecteur d'attaque, d'où WireGuard comme ligne de défense en limitant le routeur à bloquer mon traffic (le détourner ne sert à rien quand il est chiffré et authentifié, sauf à m'informer de l'attaque!).

Ce message a été modifié par iAPX - 24 Apr 2021, 18:54.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
TERRY
posté 24 Apr 2021, 19:35
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 877
Inscrit : 8 Jan 2003
Lieu : Ici...
Membre no 5 523



Je viens de regarder Wireguard (merci IAPX)... si t'es pas du métier, laisse tomber ! sad.gif
Go to the top of the page
 
+Quote Post
iSpeed
posté 24 Apr 2021, 21:08
Message #13


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 006
Inscrit : 13 Mar 2005
Lieu : Nouméa
Membre no 35 060



Si vous pensez que les institutions à 3 lettres ont besoin d'AirDrop pour regarder le contenu de votre ordi, vous êtes bien naïfs laugh.gif


--------------------
Apple IIe
Apple II gs
iMac G3 700 512mo 120go
iMac G3 500 DV 512Mo 80 Go
iBook G4 512 Mo 40 Go
MacPro 1,1 3gz 2X 5365: 16Go le top avec Aperture Apple Cinema Display 20'
Nano iPod
MacBook Pro 2.8 GHz
iMac 27 i9 SSD 512 LR PR Affinity
iPad air 2
DS716II Synology.
Go to the top of the page
 
+Quote Post
iAPX
posté 24 Apr 2021, 21:16
Message #14


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 13 207
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Citation (TERRY @ 24 Apr 2021, 13:35) *
Je viens de regarder Wireguard (merci IAPX)... si t'es pas du métier, laisse tomber ! sad.gif

Tu peux l'installer sur un Raspberry Pi via pivpn (que je conseille d'associer avec pi hole pour le bénéfice des petits et des grands).

Et j'ai la petite entrée de routage qu'il faut si vous utilisez le même port réseau (eth0 ou wg0) en entrée et en sortie smile.gif

Ce message a été modifié par iAPX - 24 Apr 2021, 21:26.


--------------------
"Pouf pouf pouf..." - Pierre Desproges
Go to the top of the page
 
+Quote Post
Fars
posté 25 Apr 2021, 12:31
Message #15


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 181
Inscrit : 4 Nov 2002
Lieu : Carcassonne
Membre no 4 494



Il va falloir que je m'y penche, j'ai regardé la config sur Pi4 sous Buster ça devrait le faire, apres je ne suis pas expert en reseau....
Et j'ai vu , preuve de la pertinence et transparence de Wire Guard, qu'il allait etre ou etait deja integré au noyau de Linux 5.6


--------------------
Raspberry Pi4 B / 4 Go Ram / SSD Samsung T5 500 Go Usb3 / Ventila Pi4 / Raspbian 10 (Buster) / boot SD Card / rootfs SSD (fait accessoirement office de serveur pour Apple TV 4)
Raspberry Pi4 B / 2 Go Ram/ SD 16Go / RETROFLAG NESPI 4 Case / Recalbox 7.2 / Kodi 18 / 8BitDo SN30 Pro+ (Pour s'amuser :) Pac Man et 1942 les vrais, authentiques!!!)
MacBook 6,1 2009 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
MacBook Pro 8,1 2011 / 8 Go Ram Corsair /SSD Crucial 500MX 500 Go SATA / (Single boot) Ubuntu 18.04.4 LTS (Bionic Beaver)
HP X360 (LORdi) 2015 / 4 Go Ram / SSD 250 Go M2 / (Single boot) Ubuntu 20.04 LTS (Focal Fossa)
Apple TV4 / 8BitDo SN30 Pro+
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 8th May 2021 - 05:36