Les frictions entre facilité d’emploi et sécurité sont légion et ce que révèlent les chercheurs français Guillaume Celosia et Mathieu Cunche, du laboratoire Inria Privatics de l’Insa de Lyon en est un parfait exemple. C’est en effet en s’intéressant à Continuité, cette fonction si pratique qui permet de commencer une action sur un appareil (un iPhone par exemple) et Apple et de la continuer sur un autre (un MacBook par exemple), que les chercheurs ont découvert des fuites de données permanentes mettant à mal les mesures de protection de la vie privée mises en place au sein des système Apple. Ainsi est-il possible de suivre les déplacements de quelqu’un avec ses AirPods, de connaitre les habitudes des habitants d’une maison équipée d’accessoires HomeKit, ou encore de sniffer relativement aisément le numéro de téléphone ou le mail de quelqu’un via AirDrop.

La faiblesse

C’est en faisant un peu d’ingénierie inversée du framework Continuité que les chercheurs en sont venus à regarder de plus près le fonctionnement du Bluetooth LE (Low Ernergy), lequel émet en permanence depuis les appareils l’utilisant un signal à des fins d’identification. Jusque là, c’est normal, c’est ainsi que le Bluetooth fonctionne. Mais, au sein des messages continus envoyés, Apple glisse des informations utiles au fonctionnement de Continuité. Les données de Continuité sont ainsi intégrées dans les paquets publics BLE et sont diffusées pour être récupérées par les appareils à proximité. Et celles-ci sont fréquemment émises en clair, sans chiffrement, ouvrant la voie à un « reniflage » passif par un malveillant.

« Le standard Bluetooth LE réserve, dans les messages entre appareils, un espace libre dans lequel le fabricant peut inclure des données utiles au fonctionnement de ses applications. C’est en nous intéressant à la façon dont cet espace était utilisé par Apple que nous avons découvert les fuites », explique Mathieu Cunche à Sciences et Avenir qui relaie l’étude.

Les exploits potentiels

Concrètement, cette faiblesse ouvre voie à plusieurs atteintes potentielles à la vie privée :

On peut ainsi envisager de suivre finement un utilisateur d’AirPods dans ses déplacements en interprétant les messages émis par les écouteurs, qui incluent des informations (niveaux de batterie et compteur d’ouverture du couvercle du boitier de recharge) qui peuvent être exploitées pour ce pistage. Et la randomisation de l’adressage qu’utilise Apple ne résiste pas aux messages en clair, avec certains éléments invariants, utilisés par Apple. Nous avons identifié plusieurs éléments qui restent constants dans le temps ou qui peuvent saper le mécanisme de la fonction anti-tracking (c’est-à-dire la randomisation des adresses)

Dans une maison connectée, on peut aussi savoir quand une lampe est allumée, ou quand un détecteur de présence est activé. « Les appareils Homekit utilisant BLE émettent en continu des messages qui incluent un indicateur reflétant l’état de l’appareil. Par exemple, dans le cas d’une ampoule, cet indicateur ne change que lorsqu’il est allumé ou éteint. De même, dans un détecteur de mouvement infrarouge, l’indicateur ne change que lorsqu’une personne traverse le champ de détection. Des expériences en laboratoire ont montré qu’un attaquant passif peut exploiter les messages Homekit BLE pour suivre l’évolution des appareils dans un ménage et ainsi surveiller les activités des occupants », expliquent les chercheurs.

Avec AirDrop, ce sont l’adresse mail et/ou le numéro de téléphone qui peuvent être sniffés, même si ce n’est pas à la portée du premier venu, du fait du chiffrement ici opéré. Avec AirDrop, les appareils établissent leur identité en échangeant des identifiants sur BLE: adresses e-mail et / ou numéros de téléphone. Ces identifiants ne sont pas envoyés en clair mais sont plutôt hachés à l’aide d’une fonction de hachage cryptographique. « Ce masquage peut être contourné dans la plupart des cas et les identifiants récupérés », estiment les chercheurs.

Apple a été avertie le 29 mai dernier, en même temps qu’Osram et Eve, pour les ampoules et objets connectés.