Apple met plus de temps que prévu à corriger l’une des plus grosses failles iOS de ces derniers mois. Pourtant, le géant américain est habituellement connu pour sa réactivité, alors qu’est ce qui explique un tel délai ?
Malgré plusieurs mises à jour d’iOS 17 depuis le rapport initial en septembre, Apple n’a toujours pas corrigé une faille de sécurité critique exploitée par le dispositif Flipper Zero, qui entraîne le plantage des iPhone et des iPad. L’attaque, qui utilise une séquence d’appairage Bluetooth défectueuse, n’a toujours pas été résolue, ce qui soulève des inquiétudes quant à l’efficacité d’Apple à corriger ce type de problèmes.
Pour rappel, des pirates avaient détourné le Flipper Zero, un appareil portable pour les testeurs de fréquences réseau. Ce dernier avait été transformé en outil capable de mener des attaques par déni de service (DoS). En exploitant une faille dans la séquence d’appairage Bluetooth Low-Energy (BLE), le Flipper Zero inonde les iPhone et les iPad de faux pop-ups de connexion Bluetooth, provoquant le plantage des appareils et finalement leur redémarrage.
APPLE MET DU TEMPS À CORRIGER LE PROBLÈME SUR SES IPHONE
La vulnérabilité réside dans la technologie BLE utilisée par Apple dans diverses fonctions de l’écosystème telles que AirDrop, HandOff, iBeacon, HomeKit, et les fonctionnalités de l’Apple Watch. Plus précisément, l’attaque capitalise sur la capacité à usurper les paquets publicitaires (paquets ADV), qui sont utilisés pour identifier les appareils locaux. Cette faille permet aux pirates de submerger les appareils Apple de fausses notifications, en exploitant l’expérience d’appairage transparente que le BLE offre pour des opérations telles que la connexion des AirPods.
L’attaque Flipper Zero, avec une portée radio Bluetooth d’environ 50 mètres, nécessite que l’attaquant soit à proximité. Toutefois, c’est l’absence de mécanisme de défense qui pose problème. Actuellement, la seule précaution conseillée consiste à désactiver le Bluetooth dans les paramètres de l’appareil, une solution qui limite considérablement les fonctionnalités et s’avère temporaire, car Apple rétablit la fonctionnalité Bluetooth après les mises à jour du système.
Malgré divers rapports d’utilisateurs qui ont indiqué avoir été victimes de cette faille, Apple tarde à résoudre le problème. Bien que des défis techniques puissent y contribuer, certains pensent qu’Apple pourrait ne pas considérer la faille comme une menace suffisamment importante pour donner la priorité à une résolution rapide, car celle-ci ne compromet par exemple pas vos données des utilisateurs.
