« Un MAC à emporter, s’il vous plaît ! » est sûrement ce que beaucoup d’administrateurs de réseau ont dû dire en découvrant le nouveau dispositif de protection de vie privée d’Apple lancé en 2020. Ce dernier consiste à masquer les adresses MAC des appareils iOS pour offrir plus de confidentialité à son utilisateur. Une belle promesse qui, malheureusement, n’a pas tenu la route.
En effet, l’idée était plutôt ingénieuse : remplacer l’adresse MAC unique de l’appareil par une « adresse privée » différente pour chaque réseau. Une façon pour Apple d’empêcher le suivi potentiel d’un dispositif à travers les divers réseaux. Cependant, la firme de Cupertino a failli d’une manière pour le moins cocasse.
« Une promesse de confidentialité pas si confidentielle que ça. »
Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry ont découvert que cette fameuse fonction de confidentialité ne fonctionnait pas comme prévu. Et pour cause, lors de la conexión à un réseau, le véritable adresse MAC de l’appareil était incluse dans les requêtes de découverte AirPlay, rendant ainsi obsolète toute l’intention de confidentialité initiale.
Et dire que toutes ces informations étaient diffusées à chaque appareil connecté au même réseau ! Ne rigolez pas, les iPhone et iPad continuaient d’envoyer ces demandes, même lorsqu’une VPN était activée ou le mode « Lockdown » (un dispositif de protection contre les cyberattaques hautement ciblées) était utilisé.
L’entreprise à la pomme a finalement corrigé cette vulnérabilité, identifiée comme CVE-2023-42846, cette semaine avec la sortie d’iOS 17.1. Il était temps, diront certains ! Car, mine de rien, cette vulnérabilité était classée comme étant de « haute » importance.
Selon les experts, il n’y a pas de quoi devenir paranoïaque non plus, mais la confidentialité est une affaire sérieuse et l’erreur de la marque américaine pointe encore une fois le côté parfois bancale de la protection des données personnelles. En tout cas, chapeau bas à Mysk et Haj Bakry pour avoir mis le doigt sur ce bug, montrant qu’il est vraiment difficile de garder un secret dans le monde high-tech, même pour une firme comme Apple.
Et bien, la pomme est tombée de l’arbre mais on peut dire qu’elle ne s’est pas éloignée très loin… comme certaines adresses MAC !
Source : Techcrunch
