Lorsqu'un AirTag est trouvé, il est possible de le scanner pour obtenir des informations de contact de son propriétaire. Or, d'après un expert en cybersécurité, un lien malveillant peut-être glissé dans le numéro de téléphone de contact, créant de fait une vulnérabilité importante.
Va-t-il falloir se méfier d’un AirTag perdu à l’avenir ? C’est ce que semble indiquer une publication du blog Krebs on Security, fondé par un ancien journaliste du Washington Post. Ce dernier a interviewé un expert en cybersécurité, Bobby Rauch, qui explique avoir fait remonter une vulnérabilité importante des AirTag à Apple.
L’idée est simple, et repose sur des ressorts très basiques du comportement humain, comme c’est souvent le cas en cybersécurité. Le site parle de cette vulnérabilité comme d’une attaque du « bon samaritain ».
Comment ça marche
Lorsqu’un AirTag passe en mode perdu, son utilisateur peut générer un lien URL vers Apple et ajouter un message personnel ainsi que son numéro. L’idée étant que si une personne scanne l’appareil perdu avec un smartphone Android ou Apple, elle puisse entrer en contact avec son propriétaire.
Le souci, c’est qu’à l’intérieur du champ dédié au numéro de téléphone, il serait possible d’injecter du code qui permette d’envoyer celui ou celle qui a trouvé l’AirTag vers une fausse page de connexion, prenant l’apparence d’une page iCloud d’Apple. On peut aussi imaginer un lien vers un site qui installe un logiciel malveillant.
Le but même des AirTag étant d’être retrouvé, cette vulnérabilité touche donc à une fonction essentielle de l’appareil.
Pour celles et ceux qui ont vu la saison 1 de Mr. Robot, cela n’est pas sans rappeler la technique employée par les personnages dans la série lorsqu’ils déposent des clés USB devant un bâtiment qu’il souhaite hacker. Dans la série, il suffit qu’une personne rentre la clé dans son ordinateur pour lancer un programme malveillant.
Là, avec ces AirTag potentiellement piégés, il suffirait qu’une personne ciblée scan un traqueur Bluetooth perdu pour être potentiellement en danger de donner ses identifiants Apple ou même de voir son appareil infecté.
Quelles précautions prendre ?
Bobby Rauch, l’expert en sécurité qui a découvert cette faille, affirme avoir contacté Apple le 20 juin dernier à ce propos. Il n’a reçu des nouvelles que jeudi dernier, sous la forme d’un mail. Apple a expliqué prévoir une solution à cette faiblesse dans une mise à jour prochaine, sans plus de précision. La firme à la pomme aurait également demandé à l’expert de ne pas parler publiquement de ce problème.
S’il a décidé de l’évoquer publiquement, c’est parce qu’il se considère floué. Il explique : « Je leur ai dit : “Je suis prêt à travailler avec vous si vous pouvez fournir des détails sur la date à laquelle vous prévoyez de remédier à ce problème, et s’il y aura une reconnaissance ou un paiement.” » Sans réponse de la firme de Cupertino sur ces différents sujets, l’expert a pris les devants.
En attendant qu’Apple règle ce défaut majeur dans leur traqueur Bluetooth, nous ne pouvons que vous conseiller de prendre bien garde à ce qu’affiche votre écran si vous être amené à scanner un AirTag perdu dans les jours à venir. Si une information personnelle vous est demandée, comme votre mot de passe vers iCloud, ne la livrer pas. Si un lien vers un site s’ouvre automatiquement en cliquant sur le numéro, vérifiez qu’aucun téléchargement ne s’est lancé.
Pour aller plus loin
Apple AirTag, Galaxy SmartTag, Tile… quel porte-clés connecté choisir ?
De ce que j'ai compris, le risque est pour celui qui trouve l'airtag, pas pour celui qui le perd. Les compétences en hacking sont donc plutôt du côté de la personne qui a perdu le bouzin.
Bon même si la trouvaille sera utile pour déclencher une mise à jour future, il faut arrêter le paranoïa 5mns. Les chances que celui qui trouve l'AirTag, ait des compétences en hacking et veuille nuire au proprio sans même savoir à qui il a affaire, sont très très minces. Alors oui peut-être que dans un futur proche ou la société sera divisé, que le pass sanitaire deviendra votre quotidien et que des méchants robots vous contrôlerons pour vous laisser rentrer dans des zones interdites pour la classe d'en bas, ce sera plus efficace et que les gens s'intéresserons à savoir comment faire, mais aujourd'hui la majorité qui trouve un AirTag va surtout chercher à l'utiliser pour soi, ou à le revendre.
C'est pas plus dangereux qu'un lien de phishing par mail. Faut vraiment arrêter ce genre d'article tendancieux qui sont là pour assouvir les pulsions des pro Android qui détestent Apple.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
Gérer mes choix