Fausse sécurité : les adresses MAC des iPhone ne restent pas secrètes (alors qu'Apple l'avait promis)
Il y a trois ans, Apple a lancé une mise à jour logicielle destinée à masquer l'adresse MAC sur les réseaux. Ainsi, les iPhones ne devaient plus pouvoir être suivis aussi facilement. Il s'avère aujourd'hui que cette fonctionnalité n'a jamais fonctionné.
Des chercheurs en sécurité ont découvert que pendant des années, Apple a fait la promotion d'une fonction de sécurité qui n'a jamais vraiment fonctionné. En 2020, le géant de la technologie a lancé iOS 14, avec notamment une fonctionnalité censée améliorer la confidentialité sur les réseaux. A savoir que l'adresse MAC de l'appareil n'est pas révélée au réseau.
A la place, l'iPhone génère une adresse Wi-Fi "privée", qui est différente pour chaque SSID, c'est-à-dire pour chaque réseau Wi-Fi. C'est ce que l'on appelle le "spoofing". Cela devrait empêcher que l'adresse MAC soit également envoyée à d'autres clients sur le réseau et puisse être utilisée à mauvais escient.
Qu'est-ce qu'une adresse MAC et pourquoi Apple veut la garder secrète ?
Une adresse MAC signifie "Media Access Control Address" (adresse de contrôle d'accès au support) et sert à identifier votre appareil sur un réseau - ou plutôt l'adaptateur réseau de votre appareil. Une adresse MAC est statique, elle ne change jamais. De plus, elle peut être attribuée de manière unique à un appareil spécifique.
Ainsi, il serait théoriquement possible pour d'autres utilisateurs d'attribuer du trafic sur le réseau à votre appareil. Ou de découvrir certaines autres données, comme le fabricant de votre appareil.
Pourquoi cette fonctionnalité n'a-t-elle pas fonctionné ?
Les experts en sécurité Thommy Mysk et Talal Haj Bakry ont découvert une vulnérabilité il y a quelques jours. Celle-ci a été nommée "CVE-2023-42846". Elle permet un suivi passif de l'adresse MAC. Cela signifie que la fonctionnalité fournie par Apple en 2020 avec iOS 14 était présente, mais ne fonctionnait pas comme prévu. iOS continuait à envoyer l'adresse MAC sur le réseau alors qu'il n'était plus censé le faire depuis trois ans.
Mercredi, Apple a déployé la version 17.1 d'iOS. Dans le journal de cette mise à jour, il est notamment indiqué qu'elle contient "un correctif pour la vulnérabilité CVE-2023-42846". Jusqu'à présent, Apple n'a pas encore annoncé pourquoi cette faille est restée si longtemps non détectée - et n'a pas non plus été largement communiquée.
Conseil : Si vous avez un iPhone XR ou plus récent, vous devriez mettre à jour iOS dès que possible - bien que, bien sûr, les propriétaires d'iPhones plus anciens ont également intérêt à consulter régulièrement le menu de mise à jour.
Photo de couverture : Shutterstock
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.