AirTag : une faille permet de transformer le traqueur en cheval de Troie
Un expert en cybersécurité a mis au jour une vulnérabilité de l’AirTag. Voici comment le traqueur d’Apple pourrait être utilisé par des individus malveillants souhaitant dérober des données personnelles.
On attendait son lancement depuis belle lurette. Finalement, l’AirTag a été dévoilé par Apple en avril dernier. Ce traqueur Bluetooth permet de retrouver vos objets perdus grâce à l’application Localiser. Un passant qui tombe sur un AirTag perdu peut notamment le scanner. Une manipulation qui lui permettra de joindre le propriétaire malheureux afin de lui restituer sa balise. C’est justement dans ce contexte qu’une vulnérabilité a été décelée par le chercheur Bobby Rauch.
Quand vous indiquez que votre AirTag est perdu, une URL est créée. Vous pourrez y inscrire votre numéro de téléphone et un message afin que la personne qui a scanné le traqueur puisse vous contacter. Un hacker peut toutefois y intégrer un code insidieux. Au lieu d’accéder au site de contact, l’individu charitable sera ainsi redirigé automatiquement vers un site de phishing. L’objectif du pirate sera ainsi d’hameçonner ses données personnelles (comme son mot de passe iCloud).
Lire aussi >> La police traque un vélo volé et le retrouve grâce à l’AirTag
Faille de l’AirTag : Apple promet de déployer une mise à jour
Pour rappel, un individu qui scanne un traqueur égaré n’est pas censé fournir ses informations personnelles. Mais le commun des mortels n’est pas forcément au courant de cette subtilité. D’où l’importance de la mise en garde de Bobby Rauch, soucieux d’avertir les utilisateurs susceptibles de tomber dans le panneau. De son côté, le constructeur a d’ores et déjà assuré qu’il planchait sur une solution permettant de combler la faille. Ce faisant, une mise à jour devrait ainsi être déployée prochainement.
Précisions toutefois bien que cette attaque sophistiquée a peu de chances de devenir monnaie courante. En effet, les pirates devront forcément se procurer un AirTag (qui coûte 35 euros pièce) pour la mener à bien. On imagine ainsi mal que la technique soit utilisée sur une kyrielle d’utilisateurs, étant plutôt destinée à des profils sensibles (comme des personnalités politiques ou des grands patrons). Dans le doute, si vous scannez un AirTag égaré et qu’un site suspect vous demande d’inscrire vos données personnelles, arrêtez immédiatement la procédure.