Plusieurs participants à la conférence de piratage Def Con ont rapporté avoir vu des pop-ups mystérieux et persistants les invitant à utiliser leur identifiant Apple pour se connecter à une Apple TV ou à partager un mot de passe avec une Apple TV à proximité, selon les tweets des participants au cours du week-end et les personnes qui a parlé à TechCrunch.
Ces incidents ont dérouté et abasourdi certains des participants, qui n’étaient pas sûrs de la manière dont ces alertes – faute d’un meilleur mot – avaient été menées, ni de leur objectif. Les manigances des pirates pendant la Def Con sont une tradition vieille de plusieurs décennies et sont plus souvent des farces que de véritables attaques malveillantes.
Dans ce cas, il s’agissait peut-être simplement d’un projet de recherche.
Samedi, un chercheur en sécurité qui se fait appeler Jae Bochs a déclaré sur Mastodon que c’était eux qui étaient derrière ces activités.
« Je vais dire la vérité : c’est moi », a écrit Bochs.
Bochs a déclaré que les alertes qu’ils ont envoyées avaient deux objectifs : rappeler aux gens de « vraiment éteindre Bluetooth », et pas seulement depuis le centre de contrôle, et « de rire ».
Bochs a déclaré que cette expérience n’était pas conçue pour collecter des données, mais plutôt pour envoyer des « paquets publicitaires Bluetooth qui ne nécessitent pas d’appairage (et en tant que tels ne sont pas arrêtés par la bascule du centre de contrôle) ».
Il n’est pas clair, cependant, s’ils – ou quelqu’un d’autre recherchant cette fonctionnalité – auraient pu réellement collecter des données et faire quelque chose de plus malveillant.
Le chercheur a déclaré que pour arrêter ces fenêtres contextuelles, quelqu’un doit désactiver Bluetooth via l’application Paramètres, et non depuis le centre de contrôle, que les utilisateurs peuvent invoquer en glissant vers le bas depuis le coin supérieur droit de l’iPhone.
TechCrunch s’est entretenu avec huit participants qui ont déclaré avoir vu l’une ou les deux invites lors de la conférence. Certains d’entre eux ont vu les fenêtres pop-up plusieurs fois au cours du week-end et à différents endroits autour de la salle de conférence.
Les opinions sur les mérites de ce projet de recherche, qui n’a pas été rendu public à l’avance, variaient.
« Je pense que c’est hilarant. C’était ennuyeux, mais cela m’a aussi rappelé que le centre de contrôle est mauvais 😂 », a déclaré NinjaLikesCheez, un chercheur en sécurité des applications iOS qui a vu les fenêtres contextuelles.
Dan Guido, PDG de la société de recherche sur la sécurité Trail of Bits, n’était pas amusé.
« Je pense qu’il a abusé d’un groupe d’utilisateurs alors qu’il devrait porter plainte auprès d’Apple », a déclaré Guido à TechCrunch.
En réponse à quelqu’un qui a salué l’expérience comme « des manigances OG #DEFCON », Bochs a écrit que c’était « l’ambiance » qu’ils espéraient.
« Je suis content d’avoir pu ajouter un peu de WTF inoffensif à la journée de tout le monde », ont-ils écrit sur Mastodon.
Le dénominateur commun, du moins pour les personnes qui ont parlé à TechCrunch, est qu’aucun d’entre eux n’avait activé le mode verrouillage, une fonctionnalité spéciale de l’iPhone qui limite certaines fonctionnalités dans le but de réduire le risque de se faire pirater. Ce journaliste utilisait le mode de verrouillage et n’a jamais vu aucune de ces invites.
Bochs a déclaré qu’ils espéraient soumettre une conférence basée sur cette expérience et « la faire fonctionner » avec la prochaine fonctionnalité iOS 17 appelée « NameDrop ». Cette nouvelle fonctionnalité permettra aux propriétaires d’iPhone de partager leur contact avec quelqu’un d’autre avec un iPhone ou une Apple Watch en rapprochant simplement les téléphones les uns des autres.
Apple n’a pas répondu à une demande de commentaire.
Lorsqu’on lui a demandé si les organisateurs de la conférence avaient eux-mêmes vu ces fenêtres contextuelles ou si elles leur avaient été signalées par les participants, la porte-parole de Def Con, Melanie Ensign, a simplement envoyé un lien vers le message Mastodon de Bochs.
Avez-vous des informations sur ces alertes et sur le fonctionnement de cette fonctionnalité iPhone et si elle peut être utilisée à mauvais escient pour une attaque malveillante ? Nous aimerions recevoir de vos nouvelles. Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram and Wire @lorenzofb, ou par e-mail [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.