Le
Une faille a été découverte dans la nouvelle fonctionnalité de relais privé iCloud, qui expose l’adresse IP des utilisateurs dans certaines situations. Ironiquement, le service Apple a vu le jour précisément pour accroître la confidentialité et masquer les enregistrements DNS et les adresses IP lors de la navigation sur Internet.
iCloud+ promet plus de confidentialité (image : Disclosure/Apple)
Le problème a été identifié par le chercheur et développeur Sergey Mostsevenko, qui l’a démontré et expliqué dans un article de blog cette semaine. La défaillance de la fonction de relais privé iCloud est liée à la technologie de communication Web en temps réel (WebRTC), ce qui entraîne la fuite de l’adresse IP des utilisateurs.
Contents
Le relais privé permet de visualiser les adresses IP
iCloud Private Relay a été annoncé en juin lors de la conférence mondiale des développeurs. La fonctionnalité a été créée sur la promesse d’empêcher le suivi des adresses IP, de la localisation géographique de l’utilisateur et d’autres informations liées à l’utilisation d’Internet. Ainsi, Apple effectue littéralement un relais de données, en utilisant deux points distincts et exploité par des entités différentes.
En pratique, les connexions Internet configurées pour passer le relais privé d’Apple utilisent des adresses IP anonymes compatibles avec la région de l’utilisateur, mais ne révèlent pas leur emplacement ni leur identité exacte. Ainsi, théoriquement, les sites Web, les fournisseurs et même Apple devraient être incapables de voir la véritable adresse IP d’une personne utilisant le service. Ce n’est pas tout à fait comme ça.
Il s’avère que l’adresse réelle d’un utilisateur est conservée dans certains scénarios de communication utilisant la technologie WebRTC. Ainsi, ces adresses IP peuvent être découvertes en appliquant du code écrit à cet effet.
Échec corrigé sur macOS mais persiste sous iOS 15
Illustration de l’échec d’iCloud+ Private Relay qui permet de visualiser l’adresse IP de l’utilisateur (Image : Sergey
Mostsevenko,) Mostsevenko explique que l’API WebRTC est utilisée pour faciliter les communications directes sur Internet sans avoir besoin d’un serveur intermédiaire. Il s’agit d’une technologie implémentée dans la plupart des navigateurs et s’appuie sur le framework Interactive Connectivity Establishment (ICE) pour connecter deux utilisateurs.
La vulnérabilité en question réside dans le « Server Reflexive Candidate », utilisé pour la transmission aux serveurs NAT (STUN) ou la traduction d’adresses réseau. Il s’agit d’un protocole qui permet à plusieurs appareils d’accéder à Internet via une seule adresse IP. Sur ce type de serveur, l’adresse IP publique et le numéro de port sont partagés.
« Étant donné que Safari n’utilise pas de proxy pour les requêtes STUN via iCloud Private Relay, ces serveurs connaissent votre adresse IP réelle. Ce n’est pas un contenant de vraies adresses IP pour l’environnement JavaScript ».
Cela dit, Mostsevenko déclare et démontre dans ses recherches qu’en supprimant l’anonymat de l’utilisateur au cours de ce processus, il suffit d’analyser la véritable adresse IP conservée par les candidats ICE, ce qui, selon lui, est facilement réalisé avec une simple application Web. La faille a été signalée à Apple et la société a déjà publié un correctif dans la dernière version bêta de macOS Monterey publiée cette semaine. Toutefois, cette vulnérabilité n’a pas été corrigée sur iOS 15.