Alerte rouge : un appareil bon marché capable de pirater le mot de passe d'un iPhone

Il y a quelques jours, les iPhones des visiteurs d'une conférence de hackers à Las Vegas (USA) recevaient en permanence des demandes de connexion à une Apple TV virtuelle.

Il s’avère que l’« Apple TV » qui essayait de se synchroniser avec ces iPhones était un appareil Bluetooth fait maison qui ne coûtait qu’environ 70 $.

L'auteur de cette farce, le pirate informatique Jae Bochs, a expliqué son idée, qui était d'attirer l'attention sur une vulnérabilité grave qu'il espère qu'Apple corrigera rapidement :

« Si l'utilisateur (iPhone) interagit avec la demande et si l'autre extrémité est configurée pour répondre de manière convaincante, je pense que l'appareil pourrait amener la cible à révéler divers mots de passe. »

M. Bochs a également déclaré que l'appareil avait été construit avec des composants d'une valeur totale de 70 $, dont un ordinateur Raspberry Pi Zero 2W, deux antennes, une batterie et une puce Bluetooth compatible Linux.

Au cœur du piratage se trouvait la sécurité laxiste de la fonctionnalité BLE (Bluetooth Low Energy) qui permet aux appareils Apple de se connecter entre eux via Bluetooth.

Selon M. Bochs, jusqu'à ce que la vulnérabilité ci-dessus soit complètement corrigée, les utilisateurs d'iPhone et de tous les produits Apple ne devraient pas faire trop confiance à l'application Control Center.

Plus précisément, pour désactiver complètement le Bluetooth sur iPhone, iPad ou MacBook, les utilisateurs d'Apple ne peuvent pas compter sur le bouton bascule apparemment pratique du Centre de contrôle, mais doivent plutôt accéder aux Paramètres.

Cela empêche en fait leurs appareils d'interagir avec d'autres appareils Bluetooth à proximité, tels que les faux appareils Apple des pirates.