Lecture Zen Résumer l'article Deux chercheurs du CISPA Helmholtz Center for Information Security ont identifié six vulnérabilités dans les fonctionnalités de partage sans fil d'Apple et de Google/Samsung, exploitables sans interaction de la victime. Ces failles permettent de provoquer des plantages, notamment en contournant des mécanismes de chiffrement, avec des conséquences particulièrement préoccupantes pour l'application Windows de Google. Apple, Google, et Samsung travaillent activement sur des correctifs, les chercheurs conseillant de restreindre les connexions AirDrop et Quick Share pour réduire les risques en environnement public.

Deux chercheurs du CISPA Helmholtz Center for Information Security ont identifié six vulnérabilités dans les fonctionnalités de partage sans fil d'Apple et de Google/Samsung, exploitables sans interaction de la victime. Ces failles permettent de provoquer des plantages, notamment en contournant des mécanismes de chiffrement, avec des conséquences particulièrement préoccupantes pour l'application Windows de Google. Apple, Google, et Samsung travaillent activement sur des correctifs, les chercheurs conseillant de restreindre les connexions AirDrop et Quick Share pour réduire les risques en environnement public.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Deux chercheurs allemands ont mis au jour six vulnérabilités dans les fonctionnalités de partage sans fil d’Apple et de Google/Samsung. De quoi faire planter des appareils à proximité, sans aucune interaction de la victime. La quête de failles a encore de beaux jours devant elle.

Et même si le risque d’exploitation dans la nature reste limité, l’effort mérite d’être salué. C’est le cas de l’étude publiée le 25 juin 2026 par le CISPA Helmholtz Center for Information Security, en Allemagne, qui propose une analyse comparative d’AirDrop et de Quick Share au niveau applicatif, un angle encore peu exploré, les recherches se concentrant généralement sur la couche radio. Au cœur des travaux menés par les chercheurs : AirFuzz, un outil développé pour tester automatiquement des milliers de variantes de messages envoyés à un appareil cible.

Sa particularité réside dans l’altération des données en amont de leur compression, ce qui permet de contourner les mécanismes de validation côté réception et d’augmenter les probabilités de déclencher des plantages. Résultat, trois vulnérabilités affectent AirDrop sur macOS et iOS, deux concernent l’implémentation Quick Share de Samsung, et une dernière, la plus critique, touche l’application Windows de Google. Point commun à l’ensemble : ces failles sont exploitables sans appairage préalable, dès lors que l’appareil est configuré pour accepter des connexions provenant de n’importe qui.

Les failles ne sont exploitables que lorsque l’appareil est ouvert à tous. // Source : Image Apple Des plantages liés à des contournements de chiffrement Côté Apple, les trois bugs font planter le démon système sharingd, le programme qui fait notamment fonctionner AirDrop en arrière-plan. La méthode la plus simple consiste à envoyer en boucle, toutes les deux secondes, une requête vers une adresse que le programme ne reconnaît pas, ce qui suffit à le faire crasher à chaque fois. Une autre attaque exploite l’absence de limite dans la façon dont Apple lit certains fichiers de configuration : un petit fichier piégé, contenant environ 200 niveaux de données imbriquées, fait planter n’importe quelle application capable d’ouvrir ce type de fichier.

Du côté de Quick Share, les chercheurs ont identifié deux failles dans la gestion des sessions chez Samsung. La première permet à un attaquant d’échanger avec l’appareil ciblé avant même que la procédure d’authentification ne soit terminée. La seconde fait que certains messages échappent au chiffrement censé protéger l’ensemble de la session, ce qui permet à quelqu’un sur le même réseau Wi-Fi de les intercepter ou de les falsifier.

La faille la plus préoccupante touche toutefois l’application Windows de Google : un bug de type use-after-free, où le programme continue d’utiliser une zone mémoire qu’il a pourtant déjà libérée. Ce type de défaut peut, dans certains cas, être détourné pour exécuter du code malveillant à distance. Les chercheurs n’ont confirmé qu’un plantage, sans aller jusqu’à démontrer une prise de contrôle complète, mais ils soulignent qu’une protection censée justement empêcher ce genre de détournement est désactivée dans l’application.

Des correctifs en cours, un risque qui reste local Apple a reconnu les trois failles et a déjà attribué un identifiant CVE à l’une d’elles, même si l’avis correspondant n’est pas encore public. Samsung a transféré ses deux cas à Google, qui les examine toujours. Google, de son côté, a confirmé et corrigé le bug Windows, récompensé par une prime, en attendant l’attribution d’un CVE.

Ces attaques restent limitées à une portée de 10 à 30 mètres environ, ou au même réseau local : pas de risque à l’échelle d’Internet, donc, mais un danger potentiel dans un aéroport ou une salle de conférence bondée. En pratique, les chercheurs recommandent de mettre à jour ses appareils (iOS et macOS 26.5.2), de limiter la réception AirDrop aux contacts plutôt qu’à « Tout le monde », et de ne garder Quick Share visible que lorsqu’un transfert est en cours. Votre VPN préféré n'est pas celui que vous croyez Meilleur VPN 2026 : le Comparatif complet de Numerama Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Installer Numerama Le futur n’attend pas : anticipez l’avenir des nouvelles technologies et de l’IA en lisant gratuitement ToujoursPlus, chaque jeudi dans votre boîte mail ! Toute l'actualité de Samsung Ces six failles dans AirDrop et Quick Share permettent de faire planter des appareils à proximité Pénurie de RAM : Samsung, SK Hynix et Micron ont-ils orchestré la crise pour augmenter leurs profits ? C’est la fin de Samsung Messages : comment continuer à recevoir vos SMS ?

Au revoir Ray-Ban : Meta lance des lunettes connectées sous sa propre marque Écran AMOLED 120 Hz et Galaxy AI : le Samsung S25 FE est à prix cassé chez Amazon Crédit photo de la une : montage Numerama Signaler une erreur dans le texte Apple cybersécurité faille Google Smartphone Tech Smartphones Android Ne plus voir cette pub Ne plus voir cette pub