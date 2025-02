Un hack transforme n’importe quel appareil Bluetooth en tracker secret.

La balise Bluetooth Apple AirTag

Et si votre ordinateur, votre smartphone ou même votre TV connectée vous suivaient à la trace sans que vous le sachiez. Non, ce n’est pas un film d’espionnage, mais une réalité inquiétante mise au jour par des chercheurs américains.

Is ont trouvé un moyen de transformer n’importe quel appareil Bluetooth en un AirTag secret, en piratant le réseau « Find My » d’Apple.

Pour bien comprendre, faisons un petit retour en arrière. En 2021, Apple lance ses AirTags : des petits appareils ronds qui se glissent dans un sac ou s’accrochent à un trousseau pour localiser vos affaires via votre iPhone.

Ils ont permis de retrouver des valises égarées à l’aéroport ou même des voitures volées à l’autre bout du monde. Mais ils ont ausis été détournés par des stalkers pour espionner des gens à leur insu. Apple a bien essayé de renforcer la sécurité, mais visiblement, ça n’a pas suffi face à des pirates astucieux.

Le hack « nRootTag »

Entrons dans le vif du sujet avec ce qu’on appelle le « nRootTag », un exploit découvert par des chercheurs de l’université George Mason. Le principe ? Ils ont manipulé le système pour faire passer n’importe quel appareil Bluetooth – un PC, un smartphone, une console de jeu ou même un vélo électrique – pour un AirTag officiel sur le réseau Find My.

Normalement, les AirTags changent régulièrement leur adresse Bluetooth grâce à une clé de chiffrement, un peu comme un mot de passe qui se renouvelle tout seul. Mais les chercheurs ont craqué ce code en un temps record, en utilisant la puissance des cartes graphiques.

Ils ont suivi un vélo électrique dans une ville, localisé un ordinateur à 3 mètres près, et même retracé le trajet d’une console embarquée dans un avion. Tout ça avec un taux de réussite de 90 % et en quelques minutes seulement. Le pire ? Pas besoin d’être un génie du piratage ou d’avoir un accès physique à l’appareil. Tout se fait à distance, presque trop facilement.

Pourquoi c’est un gros problème (et pas qu’un peu)

Vous vous demandez peut-être pourquoi ça fait autant de bruit. Pensez au nombre d’appareils Bluetooth autour de vous : en 2021, on comptait 4,7 milliards de puces expédiées dans le monde.

Ça veut dire des milliards d’appareils potentiellement piratables – votre TV, votre casque audio, votre montre connectée… Avec ce hack, n’importe lequel peut devenir un mouchard sans que vous en ayez la moindre idée. Comme le dit Junming Chen, un des chercheurs, c’est comme « transformer votre ordinateur portable ou votre téléphone en AirTag invisible ».

Apple a été prévenu en juillet 2024 et a reconnu le souci dans les notes de la mise à jour iOS 18.2. Mais pour l’instant, pas de solution miracle. Le réseau Find My, censé être un allié, se retourne un peu contre nous, et ça relance les critiques sur les failles de sécurité des AirTags. Déjà à leur sortie, des experts avaient tiré la sonnette d’alarme sur leur utilisation abusive. Visiblement, le problème est loin d’être réglé.

Que faire en attendant un sauveur ?

Pas de panique, il y a des petites choses à faire pour limiter les risques. D’abord, méfiez-vous des applis qui demandent l’accès au Bluetooth sans raison claire.

Ensuite, gardez vos appareils à jour : les mises à jour corrigent souvent des failles. Et si vous êtes vraiment parano, vous pourriez envisager de switcher vers un autre système, même si rien ne garantit une sécurité totale ailleurs. En attendant qu’Apple sorte un vrai patch, restez vigilants, c’est le mot d’ordre.

L’équipe de chercheurs présentera ces résultats en août prochain à Seattle lors du USENIX Security Symposium, l’une des principales conférences mondiales sur la sécurité informatique.

