AirDrop : trois failles décelées, correctif Apple disponible

Des chercheurs en sécurité ont identifié trois vulnérabilités visant AirDrop, susceptibles d’affecter iPhone et Mac. Des problèmes similaires ont également été observés côté Android, sur la fonction Quick Share.

Selon HelpNetSecurity, l’attaque est simple à déclencher. Un appareil à proximité équipé du Wi‑Fi suffit, sans appairage, sans échange préalable de contacts et sans réseau partagé. Sur les appareils Apple configurés pour recevoir depuis « Tout le monde », certaines étapes initiales du protocole répondent avant l’affichage de toute invite à l’écran.

Impact : déni de service, pas d’exfiltration de données

Ces failles ne permettraient pas de récupérer des données. En revanche, elles peuvent être exploitées pour provoquer un crash et rendre indisponibles plusieurs services de continuité tant que l’attaque se poursuit. Sont cités : AirDrop, mais aussi AirPlay, Handoff, le Presse-papiers universel et Continuité de l’appareil photo.

Vecteur d’attaque : proximité (en pratique, une dizaine à quelques dizaines de mètres selon l’environnement).
Effet : crash répété des processus concernés, empêchant toute utilisation normale pendant l’attaque.
Portée : iPhone et Mac, avec des vulnérabilités apparentées dans d’autres implémentations de partage à proximité.

Pourquoi ces services restent difficiles à sécuriser

Arash Ebrahim souligne qu’il est compliqué d’éliminer totalement ce type de vulnérabilités. En cause : la nature même des protocoles de proximité, conçus pour être immédiats et fluides. Ils doivent traiter des entrées complexes, potentiellement contrôlées par un attaquant, avant toute authentification ou validation explicite, ce qui élargit mécaniquement la surface d’attaque « pré-authentification ».

Correctifs : un bug corrigé, deux encore en cours

Toujours selon Arash Ebrahim, Apple a corrigé l’une des trois vulnérabilités via une mise à jour logicielle et lui a attribué un identifiant CVE. L’avis de sécurité correspondant n’a pas encore été publié, et les deux autres signalements resteraient sous divulgation coordonnée, sans CVE public à ce stade.

AirDrop : trois failles découvertes, Apple déploie un correctif partiel

Impact : déni de service, pas d’exfiltration de données

Pourquoi ces services restent difficiles à sécuriser

Correctifs : un bug corrigé, deux encore en cours

Royaume-Uni : l’antitrust veut ouvrir l’App Store aux paiements externes et l’iPhone au NFC tiers

Apple saisit la Cour suprême britannique pour contester une facture de 502 millions de dollars face à Optis

Écrans OLED des futurs Mac et iPad : Apple viserait un gamut proche du BT.2020

iOS 26.5 ajoute un nouveau fond d’écran Pride Luminance sur iPhone, entièrement personnalisable

Apple Watch Ultra 4 : quatre pistes crédibles pour la cuvée de septembre

WhatsApp et WhatsApp Business sont à jour pour ajouter quelques nouveautés

AirDrop : trois failles découvertes, Apple déploie un correctif partiel

Impact : déni de service, pas d’exfiltration de données

Pourquoi ces services restent difficiles à sécuriser

Correctifs : un bug corrigé, deux encore en cours

Related Posts

Royaume-Uni : l’antitrust veut ouvrir l’App Store aux paiements externes et l’iPhone au NFC tiers

Apple saisit la Cour suprême britannique pour contester une facture de 502 millions de dollars face à Optis

Écrans OLED des futurs Mac et iPad : Apple viserait un gamut proche du BT.2020

iOS 26.5 ajoute un nouveau fond d’écran Pride Luminance sur iPhone, entièrement personnalisable

Apple Watch Ultra 4 : quatre pistes crédibles pour la cuvée de septembre

WhatsApp et WhatsApp Business sont à jour pour ajouter quelques nouveautés