Une faille dans la solution Find My Network d’Apple permettrait à l’iPhone de transmettre des données.
Ces nouveaux traqueurs d’objets compatibles Bluetooth seraient passés sous le radar dans la plupart des publicités, mais depuis qu’Apple les a fabriqués, les nouveaux AirTags ont atterri au centre de l’attention à plus d’un titre.
En effet, le dernier accessoire anodin d’Apple a provoqué la colère de ses rivaux, comme Tile, qui se plaignent une fois de plus du comportement anticoncurrentiel de la société, mais il a également suscité des inquiétudes chez les défenseurs de la vie privée et les chercheurs en sécurité.
Ainsi, une nouvelle étude montre à quel point il est facile d’abuser de la commodité offerte par le réseau Find My d’Apple pour faire des choses non autorisées avec des objets heureusement encore inoffensifs.
Ce qui rend les nouveaux AirTags d’Apple spéciaux, c’est en partie la façon dont ils fonctionnent de manière transparente sur son réseau.
Le système utilise pratiquement tous les iPhone à portée pour localiser et signaler leur emplacement, puisque les trackers eux-mêmes ne se connectent pas à Internet. Il s’agit essentiellement d’une recherche de fonctionnalités de type crowdsourcing, et c’est un peu là que le problème commence.
Il semble que les AirTags d’Apple diffusaient leur localisation via un message crypté, et un chercheur en sécurité a révélé combien il était facile d’envoyer autre chose dans ces données cryptées. Les iPhones ne font apparemment aucune sorte de contrôle de cohérence et qu’il pourrait être fait pour transmettre ces données à l’Internet en utilisant la connexion de données du téléphone
Pour le moment, cependant, l’exploit de preuve de concept semble être exactement cela. Les données cryptées qu’un AirTag peut envoyer sont si petites qu’il n’y a aucun risque d’épuiser le quota de données d’un iPhone. Il ne semble pas non plus avoir d’autres comportements exploitables, du moins pour l’instant.
Toutefois, cela dépeint AirTag sous un jour plutôt négatif. Il donne également aux défenseurs de la vie privée plus de munitions contre les affirmations d’Apple sur sa politique de confidentialité, au moins avec ces accessoires de suivi.
Ce problème peut toutefois être facilement corrigé par des mises à jour du firmware, en espérant qu’il n’y aura pas d’autres failles découvertes.
