Relais privé iCloud d’Apple : une faille révèle l’adresse IP de l’utilisateur

Tech > Apple > Données personnelles > ICloud
Par Morgan Fromentin publié le 26 septembre 2021 à 16h00.

Une faille dans le Relais privé d'iCloud rend le système bien moins sécurisé. Il est en effet possible de récupérer l'adresse IP réelle d'un utilisateur

Année après année, Apple s’engage dans le respect de la vie privée de ses utilisateurs. Cela passe par un certain nombre d’initiatives, tant au niveau hardware que software. Tout récemment, la firme de Cupertino a introduit son Relais privé iCloud, un système pour dissimuler un certain nombre d’informations personnelles aux plates-formes et services tiers. Une faille permet cependant actuellement de révéler l’adresse IP des utilisateurs.

Une faille dans le Relais privé d’iCloud rend le système bien moins sécurisé

L’un des grands changements annoncés par Apple durant la WWDC 2021 il y a quelques mois concernant les services Apple est l’arrivée du Relais privé iCloud. Cette fonctionnalité vise à empêcher les tierces parties de suivre l’adresse IP, la localisation et d’autres informations privées des utilisateurs, pour mieux respecter leur vie privée, l’une des grandes batailles de la marque à la pomme.

Cela étant dit, il semblerait qu’une faille dans le système rende l’ensemble relativement inutile. Cette dernière a été découverte par le chercheur et développeur Sergey Mostsevenko. Une fois exploitée, il est possible d’obtenir l’adresse IP de l’utilisateur. Un exemple d’utilisation de cette faille peut être consulté sur le site FingerprintJS.

Il est possible de récupérer l’adresse IP réelle d’un utilisateur

Sergey Mostsevenko explique le fonctionnement avec ces quelques mots : « Dans la mesure où Safari ne fait pas passer les requêtes STUN via le Relais privé iCloud, les serveurs STUN connaissent votre adresse IP réelle. Ce n’est pas vraiment un problème en soi, puisque ceux-ci n’ont aucune autre information ; cependant, Safari passe des candidats ICE contenant les adresses IP réelles à l’environnement JavaScript. Pour vous dé-anonymiser, il suffit alors de parser votre adresse IP réelle depuis ces candidats ICE, ce qui peut être fait très facilement avec une application web. »

La bonne nouvelle, c’est que cette faille semble avoir été corrigée dans la dernière version bêta en date de macOS Monterey mais elle est toujours existante dans iOS 15. Espérons qu’Apple réagisse vite et propose un correctif sur son OS mobile.

En savoir plus