Et si votre ordinateur, votre smartphone ou même votre TV connectée vous suivaient à la trace sans que vous le sachiez. Non, ce n’est pas un film d’espionnage, mais une réalité inquiétante mise au jour par des chercheurs américains.
Is ont trouvé un moyen de transformer n’importe quel appareil Bluetooth en un AirTag secret, en piratant le réseau « Find My » d’Apple.
Pour aller plus loin
Apple AirTag, Galaxy SmartTag, Tile… quel porte-clés connecté choisir ?
Tout commence avec les AirTags
Pour bien comprendre, faisons un petit retour en arrière. En 2021, Apple lance ses AirTags : des petits appareils ronds qui se glissent dans un sac ou s’accrochent à un trousseau pour localiser vos affaires via votre iPhone.
Ils ont permis de retrouver des valises égarées à l’aéroport ou même des voitures volées à l’autre bout du monde. Mais ils ont ausis été détournés par des stalkers pour espionner des gens à leur insu. Apple a bien essayé de renforcer la sécurité, mais visiblement, ça n’a pas suffi face à des pirates astucieux.
Pour aller plus loin
Apple AirTag vs Google Find My : où en est Android dans la chasse aux objets perdus ?
Le hack « nRootTag »
Entrons dans le vif du sujet avec ce qu’on appelle le « nRootTag », un exploit découvert par des chercheurs de l’université George Mason. Le principe ? Ils ont manipulé le système pour faire passer n’importe quel appareil Bluetooth – un PC, un smartphone, une console de jeu ou même un vélo électrique – pour un AirTag officiel sur le réseau Find My.
Normalement, les AirTags changent régulièrement leur adresse Bluetooth grâce à une clé de chiffrement, un peu comme un mot de passe qui se renouvelle tout seul. Mais les chercheurs ont craqué ce code en un temps record, en utilisant la puissance des cartes graphiques.
Ils ont suivi un vélo électrique dans une ville, localisé un ordinateur à 3 mètres près, et même retracé le trajet d’une console embarquée dans un avion. Tout ça avec un taux de réussite de 90 % et en quelques minutes seulement. Le pire ? Pas besoin d’être un génie du piratage ou d’avoir un accès physique à l’appareil. Tout se fait à distance, presque trop facilement.
Pourquoi c’est un gros problème (et pas qu’un peu)
Vous vous demandez peut-être pourquoi ça fait autant de bruit. Pensez au nombre d’appareils Bluetooth autour de vous : en 2021, on comptait 4,7 milliards de puces expédiées dans le monde.
Ça veut dire des milliards d’appareils potentiellement piratables – votre TV, votre casque audio, votre montre connectée… Avec ce hack, n’importe lequel peut devenir un mouchard sans que vous en ayez la moindre idée. Comme le dit Junming Chen, un des chercheurs, c’est comme « transformer votre ordinateur portable ou votre téléphone en AirTag invisible ».
Apple a été prévenu en juillet 2024 et a reconnu le souci dans les notes de la mise à jour iOS 18.2. Mais pour l’instant, pas de solution miracle. Le réseau Find My, censé être un allié, se retourne un peu contre nous, et ça relance les critiques sur les failles de sécurité des AirTags. Déjà à leur sortie, des experts avaient tiré la sonnette d’alarme sur leur utilisation abusive. Visiblement, le problème est loin d’être réglé.
Que faire en attendant un sauveur ?
Pas de panique, il y a des petites choses à faire pour limiter les risques. D’abord, méfiez-vous des applis qui demandent l’accès au Bluetooth sans raison claire.
Ensuite, gardez vos appareils à jour : les mises à jour corrigent souvent des failles. Et si vous êtes vraiment parano, vous pourriez envisager de switcher vers un autre système, même si rien ne garantit une sécurité totale ailleurs. En attendant qu’Apple sorte un vrai patch, restez vigilants, c’est le mot d’ordre.
L’équipe de chercheurs présentera ces résultats en août prochain à Seattle lors du USENIX Security Symposium, l’une des principales conférences mondiales sur la sécurité informatique.
Pour aller plus loin
Comment sécuriser votre smartphone, votre tablette ou votre PC ? Le guide ultime !
Si vous voulez recevoir les meilleures actus Frandroid sur WhatsApp, rejoignez cette discussion.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix