Un chercheur en sécurité a découvert que les AirTags d’Apple pouvaient être détournés pour voler vos données, simplement en comptant sur vos bonnes intentions.
Les AirTags, les petites capsules traqueuses d’Apple fonctionnant avec Bluetooth, ont été conçues avec de bonnes intentions. En les attachant à des objets précieux, comme un trousseau de clé ou une valise, il devient aisé de tracer leur position et de retrouver l’endroit ou on les a perdus.
Se connecter à un AirTag perdu pour le rendre à son propriétaire peut renvoyer vers un site malveillant
L’un des défauts de conception du petit appareil Bluetooth, c’est son design peut-être trop épuré : il ne dispose pas de boucle d’attache, et certains proposent de remédier à ce problème avec une perceuse. Toutefois, les AirTags auraient semble-t-il un autre défaut beaucoup plus grave, vient-on d’apprendre récemment. Ils permettraient en effet à un individu mal intentionné de jouer sur votre bonne volonté pour aspirer vos données personnelles.
Bobby Rauch, un chercheur en sécurité, a révélé sur le blog de cybersécurité de Brian Krebs un exploit qu’il a récemment découvert sur les AirTags. En utilisant le « Lost mode » d’Apple, qui permet de tracer la position d’un AirTag, le pirate pourrait viser un bon samaritain sans méfiance, c’est-à-dire quelqu’un qui trouve un AirTag abandonné dans un lieu public et qui souhaite rendre l’objet à son propriétaire.
Faille des AirTags d’Apple : une attaque similaire à celle de la “clé USB perdue” sur le parking d’une entreprise
Lorsque l’on perd un AirTag, celui-ci peut bien sûr être suivi à distance via l’application « Find My » proposée par Apple. Toutefois, quelqu’un qui trouverait un AirTag perdu a également le droit d’utiliser l’application pour trouver son propriétaire. C’est là que les pirates peuvent opérer. Lorsque le “bon samaritain” scanne l’AirTag trouvé via le lecteur NFC de son iPhone ou d’un appareil Android, les données de contact enregistrées par le propriétaire deviennent disponibles en cliquant sur un lien. Il peut s’agir d’un numéro de téléphone, d’une adresse e-mail ou d’un court message du type « Hé, c’est à moi, veuillez retourner à XYZ ».
À lire aussi : voici où acheter les AirTag d’Apple au meilleur prix
Le problème, c’est que rien n’empêche actuellement un propriétaire d’AirTag d’injecter un code malicieux dans ces données de contact. Un code qui pourrait être utilisé pour renvoyer celui qui a trouvé l’AirTag « vers un site de phishing, ou une page malveillante destinée à voler des informations personnelles », alerte Bobby Rauch.
Un pirate pourrait ainsi acheter volontairement des AirTags d’Apple dans ce but précis, et les semer un peu partout dans les endroits fréquentés pour qu’une personne sans méfiance les ramasse. Un procédé similaire à celui qui consiste à laisser traîner une clé USB anodine sur le parking d’une entreprise ou un lieu public, qui libérera un logiciel malveillant en la branchant à un PC.
Apple garde le silence sur la faille de sécurité de ses AirTags depuis plusieurs mois
Bobby Rauch a déclaré que cette faille avait été notifiée en juin dernier à Apple, mais que la marque à la pomme n’avait pas encore réagi, si bien que l’expert en cybersécurité ignore s’il pourra bénéficier de leur programme de primes aux bugs. Un autre chercheur avait déjà démontré en mai dernier qu’il était possible de détourner le système de tracking des AirTags, cette fois au niveau logiciel.
Face à la lenteur d’Apple, il a décidé de rendre publique sa trouvaille. « Un attaquant peut créer des AirTags malicieux et les laisser traîner, piégeant ainsi des victimes innocentes qui voudraient simplement en aider une autre à retrouver un objet perdu », s’est-il insurgé sur son blog.
Source : Krebson Security