Quand AirPlay et CarPlay deviennent des portes d’entrée pour les hackers
AirPlay, la technologie sans fil d’Apple, permet de diffuser de la musique, des photos ou des vidéos depuis un iPhone ou un Mac vers des enceintes, téléviseurs et autres appareils compatibles. CarPlay, quant à lui, autorise l’utilisation sécurisée des apps iOS sur l’écran du tableau de bord d’une voiture. Malheureusement, une série de failles baptisées « AirBorne » permettrait à des cybercriminels de transformer ces protocoles en vecteurs d’attaque, menant à l’infection et au contrôle complet d’appareils tiers ou de véhicules équipés.
Découverte d’AirBorne : des bugs dans l’SDK AirPlay
Le 29 avril, la société de cybersécurité Oligo a révélé qu’elle avait identifié plusieurs vulnérabilités critiques dans le kit de développement (SDK) AirPlay destiné aux fabricants tiers. Ces bugs permettent notamment :
- De diffuser du code malveillant via la connexion wifi locale, simplement en se faisant passer pour un émetteur AirPlay.
- De prendre entièrement le contrôle d’appareils compatibles (enceintes, box TV, récepteurs, téléviseurs).
- De propager un malware d’un gadget à un autre sur le même réseau, sans action utilisateur supplémentaire.
Apple a confirmé qu’une partie de ces failles touchait aussi ses propres produits — Mac, iPhone et Apple TV — mais elles ont rapidement été colmatées par des mises à jour récentes. En revanche, sur les appareils tiers, la maintenance est souvent plus lente, voire inexistante, laissant des millions d’enceintes et de téléviseurs exploitables par les attaquants.
Comment un pirate peut s’y prendre
Le scénario d’attaque typique est simple :
- Le pirate rejoint le même réseau wifi que la victime (réseau domestique, d’entreprise, ou hotspot public).
- Il exploite les vulnérabilités d’AirPlay pour se faire passer pour un émetteur légitime.
- Une fois la connexion établie, il déploie un script malveillant qui s’installe sur l’appareil tiers.
- Le malware peut alors :
- Écouter les conversations (si l’appareil intègre un micro).
- Lancer des attaques contre d’autres machines du réseau (ransomware, espionnage, botnet).
- Maintenir un accès permanent au dispositif, même après redémarrage.
Ce type de piratage est d’autant plus inquiétant que de nombreux utilisateurs ne pensent pas à mettre à jour régulièrement leurs gadgets de la maison connectée.
CarPlay touché également par AirBorne
Les chercheurs d’Oligo précisent que CarPlay, le protocole d’Apple pour intégrer l’iPhone dans l’écran de la voiture, n’est pas épargné. En exploitant AirBorne, un attaquant pourrait :
- Pairer son smartphone malveillant avec le système multimédia du véhicule via Bluetooth ou USB.
- Injecter du code dans l’unité centrale, perturbant la navigation, la gestion audio, et d’autres fonctions.
- Éventuellement désactiver des systèmes du véhicule, afficher de fausses informations ou dérober des données de l’utilisateur.
Heureusement, ce scénario nécessite un accès physique (ou tout du moins un couplage) au véhicule, ce qui limite le risque. Mais dans un parking public, un pirate suffisamment motivé pourrait tout de même tenter l’expérience.
Des millions d’appareils à risque
Selon Oligo, le nombre d’appareils compatibles AirPlay développés par des tiers dépasse les dizaines de millions. Chaque fabricant utilisant l’SDK d’Apple pour offrir la fonctionnalité sans prendre en charge les mises à jour fréquentes laisse la porte ouverte aux pirates. Parmi les gadgets vulnérables, on trouve :
- Des enceintes sans fil connectées
- Des box TV et récepteurs multimédias
- Des téléviseurs intelligents
- Des stations d’accueil audio
Dans beaucoup de foyers, ces gadgets reçoivent rarement des patchs de sécurité, contrairement aux iPhone ou aux Mac. Ainsi, même si Apple publie régulièrement des correctifs, une faille présente dans le SDK tiers peut subsister pendant des années sans être détectée.
Où en est le déploiement des correctifs ?
Apple et Oligo ont collaboré durant plusieurs mois pour concevoir et tester les mises à jour nécessaires. Apple a intégré des correctifs dans ses versions récentes d’iOS et de macOS, protégeant ainsi les appareils Apple. Parallèlement, Cupertino a fourni des patchs aux fabricants tiers. Mais ces derniers doivent maintenant distribuer ces mises à jour à leurs clients :
- Certaines marques ont déjà lancé des firmwares pour leurs enceintes et TV.
- D’autres promettent d’intégrer les correctifs dans la prochaine version logicielle majeure.
- Beaucoup risquent de ne jamais proposer de mises à jour, exposant définitivement leurs produits.
Pour être protégé, chaque utilisateur doit vérifier les paramètres de mise à jour de ses gadgets connectés et installer immédiatement tout firmware disponible.
Mesures de prévention pour les utilisateurs
En attendant que tous les appareils soient patchés, voici quelques précautions à prendre :
- Désactiver AirPlay sur les gadgets non essentiels, notamment ceux qui n’ont pas reçu de mise à jour récente.
- Sécuriser votre réseau wifi avec un mot de passe fort et un chiffrement WPA3 si possible.
- Surveiller les logs de votre routeur pour détecter des connexions suspectes.
- Limiter l’accès aux invités via un réseau secondaire (guest network) pour séparer les visiteurs de vos appareils critiques.
- Vérifier la disponibilité des firmwares régulièrement sur les sites des fabricants.
Ces mesures limiteront la surface d’attaque des cybercriminels cherchant à exploiter les failles AirBorne.
La leçon pour l’écosystème connecté
AirBorne rappelle que la sécurisation d’un écosystème domotique passe par la responsabilité conjointe du constructeur de la plateforme (ici Apple) et des fabricants tiers. Lorsqu’un géant du secteur ouvre son protocole via un SDK, il doit garantir que chaque partenaire suive un processus rigoureux de patch management. Sans cela, même les technologies les plus conviviales peuvent se retourner contre les utilisateurs.
À l’heure où la maison intelligente devient la norme, la question de la mise à jour et de la maintenance de chaque composant ne peut plus être négligée. AirPlay et CarPlay gagnent en richesse fonctionnelle, mais ils doivent aussi rester sécurisés pour conserver la confiance de leurs utilisateurs.