AirDrop et le partage de mot de passe laissent fuiter votre numéro de téléphone, Réactions à la publication du 02/08/2019

[Lionel]

Des chercheurs en sécurité ont découvert que les fonctions AirDrop et partage de mot de passe Wi-Fi sous iOS peuvent permettre à des pirates équipés d'un ordinateur de récupérer le numéro d'appel mobile des utilisateurs.

Lien vers le billet original

[lookibus]

Laissant fuite?

[iAPX]

Le numéro de téléphone fuite au travers de 3 octets de son hash sha-2, créé pour faciliter le repérage automatique des appareils "connus" et ceux de ses contacts.

D'un coté il y a la capacité à suivre une personne parmi une foule, au sein d'une structure, etc.
Pour un suivi individuel ciblé il faut réduire à bien moins de 4096 personnes pour limiter les risques de collisions, pas pratique mais largement faisable, par exemple au sein de bâtiments si la cible ne croise pas le chemin d'iPhones ayant le même Hash. Compliqué mais faisable, pour un intérêt douteux.

Pour suivre statistiquement un grand nombre de personnes et déterminer des patterns de déplacement, c'est parfait, mais très lourd à mettre en place.

Le dernier usage se trouve être avec des numéros courts, ou ayant un indicatif de zone prévisible ne laissant que 10 millions de combinaisons en Amérique du Nord (ou un multiple), où là on peut retrouver le ou les numéros probables quasi-instantanément d'après le Hash.
Par exemple Montréal a deux indicatifs, le 514 et le 438, ne laissant que 20 millions de hash SHA-2 à calculer pour trouver le numéro d'une personne (avec généralement deux possibilité par hash donc), ce qui couplé à une recherche sur les numéros trouvés peut permettre de lever le doute voir de récolter des informations sur la personne.

Cette dernière possibilité est la plus dangereuse, enlevant alors tout anonymat.
Je recommande de désactiver AirDrop et le partage de mot-de-passe WiFi (qui envoie aussi l'adresse email de l'utilisateur en bonus et son Apple ID).

PS: En France il y a 6 numéros 06 en moyenne par hash exposé, ce qui est un poil plus grand mais là aussi est exploitable (via recherche sur les annuaires inversés) pour lever l'anonymat et exposer les personnes.

Ce message a été modifié par iAPX - 2 Aug 2019, 13:39.

[PierreH]

Quand tu vois à quel point les gens donnent leur data sans sourciller... Si en plus tu fouines et que tu trouves facilement, c'est un monde bien flippant qu'on est en train de découvrir, et dans lequel on vit et va vivre.

[Xuros]

On joue à se faire peur sur Macbid.
A mon époque y’avait l’annuaire téléphonique (aka Bottin). Il y avait les noms, adresses et numéros de téléphone de tout le department et ça ne nous empêchait pas de dormir.

Ce message a été modifié par Xuros - 3 Aug 2019, 03:21.

[Gassonline]

Bonjour,
Cette info m'interpelle suite à un petit souci lors de l'utilisation de Airdrop à une terrasse de café.
Je m'explique. J'ai cherché à transférer une photo par Airdrop à une amie alors que nous étions assis à une terrasse de café.
Lors de cette manoeuvre j'ai vu apparaitre un second destinataire totalement inconnu. Cela à duré peut-être une quinzaine de secondes avant qu'il ne disparaisse.
Je précise que dans les parametrages de Airdrop il est bien sélectionné "Contacts uniquement".
Bien sûr pour l'envoi de la photo j'ai bien sélectionné mon amie.
Bizarre n'est-ce pas!
Du coup quelle est la distance de repérage pour l'utilisation de Airdrop ?
Cdt

[Xuros]

Bonjour,
Cette info m'interpelle suite à un petit souci lors de l'utilisation de Airdrop à une terrasse de café.
Je m'explique. J'ai cherché à transférer une photo par Airdrop à une amie alors que nous étions assis à une terrasse de café.
Lors de cette manoeuvre j'ai vu apparaitre un second destinataire totalement inconnu. Cela à duré peut-être une quinzaine de secondes avant qu'il ne disparaisse.
Je précise que dans les parametrages de Airdrop il est bien sélectionné "Contacts uniquement".
Bien sûr pour l'envoi de la photo j'ai bien sélectionné mon amie.
Bizarre n'est-ce pas!
Du coup quelle est la distance de repérage pour l'utilisation de Airdrop ?
Cdt

C’est l’inverse - ‘contacts uniquement’ veut dire que seuls tes contacts te voient en AirDrop. Par contre toi tu vois tous ceux qui ont activé AirDrop sans restriction.

Ce message a été modifié par Xuros - 3 Aug 2019, 07:47.

[Gassonline]

Merci de votre réponse.
Dans un sens c'est plutôt rassurant !
Cela dit ça peut être source d'erreur si on est pas vigilant ou voir trop rapide.
Et la disparition serait donc dûe au fait que ce contact se serait aperçu de la demande.
OK cela me parait plus clair maintenant.
Reste la distance de repérage pour son utilisation.
Cdt

[iAPX]

On joue à se faire peur sur Macbid.
A mon époque y’avait l’annuaire téléphonique (aka Bottin). Il y avait les noms, adresses et numéros de téléphone de tout le department et ça ne nous empêchait pas de dormir.

Le premier point est l'évidente "liste rouge", donc la possibilité de demander à ne pas apparaître dans le bottin (ni sur l'Annuaire Électronique), le second l'usage forcément limité (le temps de recherche par le numéro étant très élevé même dans une petite région ), et tertio les gens n'avaient pas leur numéro inscrits sur leurs fronts.

Aujourd'hui on peut croiser un ado voir un enfant diffusant son numéro publiquement (voire son adresse courriel) sans le savoir, avec la possibilité de le retrouver relativement aisément car faisant parti d'une génération qui laisse des traces très lourdes, et ça n'est absolument pas normal, c'est dangereux.
En sus de la protection de la vie privée et de l'anonymat relatif dans l'espace publique, cela créé des risques supplémentaires.

Ce message a été modifié par iAPX - 3 Aug 2019, 13:06.

[Xuros]

On joue à se faire peur sur Macbid.
A mon époque y’avait l’annuaire téléphonique (aka Bottin). Il y avait les noms, adresses et numéros de téléphone de tout le department et ça ne nous empêchait pas de dormir.

Le premier point est l'évidente "liste rouge", donc la possibilité de demander à ne pas apparaître dans le bottin (ni sur l'Annuaire Électronique)

Ah Ah - La fameuse Liste Rouge. Un truc de riche - ça coutait un bras! Dans mon quartier je peux te garantir que tout le monde était dans l'annuaire.

[iAPX]

On joue à se faire peur sur Macbid.
A mon époque y’avait l’annuaire téléphonique (aka Bottin). Il y avait les noms, adresses et numéros de téléphone de tout le department et ça ne nous empêchait pas de dormir.

Le premier point est l'évidente "liste rouge", donc la possibilité de demander à ne pas apparaître dans le bottin (ni sur l'Annuaire Électronique)

Ah Ah - La fameuse Liste Rouge. Un truc de riche - ça coutait un bras! Dans mon quartier je peux te garantir que tout le monde était dans l'annuaire.

Ben non mon grand (remember ), jusqu'à ce que j'ai 10ans on était totalement protégé: on avait pas de téléphone.