C’est ce qu’affirme une startup berlinoise de sécurité informatique, Positive Security. Selon elle, Apple n’a pas pris en compte les équipements fabriqués pour imiter le comportement des AirTag. La nouvelle couche de sécurité ne reconnaîtrait en effet que les AirTag authentiques, laissant la porte ouverte à de nombreux scénarios.
Selon Fabian Bräunlein de la petite entreprise allemande, les tests ont été menés avec le concours d’une personne vaquant à ses occupations pendant plusieurs jours. À l’issue de cette période, le clone d’AirTag avait permis son pistage, sans que l’iPhone de la victime consentante trouve à y redire.
Pour Positive Security, le problème vient des fonctions conçues par Apple, qui s’appuient sur l’appareil plutôt que sur le protocole et sur l’écosystème. Selon l’entreprise, on peut soit fabriquer son propre AirTag maison sans qu’un iPhone trouve à y redire, soit modifier le firmware d’un AirTag. La startup a publié le code de son clone pour prouver ce qu’elle avance.
Apple va devoir réagir rapidement. La société américaine se veut un chevalier blanc de la sécurité et de la vie privée. Ces problèmes entourant les AirTag font clairement tache et pourraient sérieusement écorner son image.
Commentaires (31)
#1
Je prends le parie qu’ils vont arrêté le produit dans un futur pas si loingtemps
#2
#3
Je ne comprends pas.
N’importe quel boitier GPS permet de faire du pistage sans qu’Apple puisse y faire quoi que ce soit. Pourquoi se focaliser sur les AirTag, il y a un truc qui m’échappe ?
#3.1
Je te met au défit de trouver un tracker GPS avec :
#3.2
Exactement. C’était déjà possible avant (et encore maintenant sur des produits concurrents), mais rarement avec un coté aussi “user friendly”. On peut dire qu’ils ont sérieusement démocratisé le pistage géolocalisé, avec un produit efficace, peu cher à l’achat et (surtout) gratuit à l’utilisation.
Là où les autres produits devaient avoir a minima une carte SIM…
Tiens ça me rappelle une discussion entendue en animalerie entre une cliente et la vendeuse concernant un collier de suivi pour chiens : la cliente demande s’il faut un abonnement, la vendeuse lui répond que, non non, tout “passe par le GPS”. Hum, comment dire que le GPS ne permet pas d’émettre, mais uniquement de recevoir (ce qui est effectivement gratuit) ?
#4
Ca alors, mais comment c’est incroyable !!
#4.1
Et oui mais même Apple ne comprend pas comment, repeint en noir, son cheval-tag blanc est encore blanc.
C’était prévisible. Plus Étonnant est de lire :
En quoi prouver ce qui est évident par définition est-il nécessaire ? (…)
#5
Je ne comprenais pas en quoi cela pourrait écorner l’image d’Apple.
Ils ne sont pas responsables des faux AirTag.
Mais en lisant l’article en lien, on voit que comme c’est un faux AirTag, ils ne le signalent pas au possesseur de l’iPhone mais transmettent quand même l’Id aux serveurs d’Apple qui ne filtrent rien et permettent à l’espion de localiser ce faux AirTag.
Bref, Apple devrait flirter complètement les Id non Apple et ne pas les transmettre à ses serveurs.
#6
Etant donné le business model d’Apple, c’est étrange qu’Apple n’ai pas protégé l’ajout d’Airtag avec des clés non générées par eux. Ca voudrait dire que n’importe quelle société pourrait ajouter son tag dans leur base sans payer sa dîme.
Ça me parait trop gros pour un simple “oubli” ou “erreur de design”. Peut-être une contrainte vis à vis de la vie privée, où Apple se refuse de lier la provenance d’un tag avec leur base de donnée.
Quoi qu’il en soit, ça pourrait être intéressant de fabriquer plein de Airtag aux différents coin du globe et d’y injecter la même clé :)
#7
et du coup se prendre un bashing “ecosystème Apple fermé”.
#8
Si j’ai bien compris, le faux Airtag utilise la connectivité de l’Iphone de la personne espionnée pour transmettre sa position ?
#8.1
Oui. C’est là le bug.
#8.2
Il suffit donc de ne pas avoir d’Iphone pour s’en prémunir. Problème réglé :oui2:
#8.3
Non, voir mon commentaire juste au-dessus du tien.
#8.4
Ah oui effectivement. Et c’est donc pire aux USA où la pdm des iphone est beaucoup plus élevée qu’en Europe.
#8.5
Le vrai aussi
#9
En gros, le faux Airtag est traité comme un vrai lors de l’enregistrement sur le service, mais pas à l’usage. Donc tu enregistres ton Faketag dans ton iPhone comme un Airtag classique, tu le mets là où tu veux surveiller, et l’iPhone de la personne que tu cibles l’alerte si un Airtag légitime le surveille, mais ne dit rien pour ton Faketag.
Il y a donc bien une faille, à voir si elle est sur le fait d’autoriser l’enregistrement, ou sur le fait que l’iPhone ne le surveille pas.
Vu les habitudes d’Apple, ça sera sûrement le premier cas qui sera considéré.
#10
Tout ce foin pour rien alors qu’à la base, c’est juste que pour les iUtilisateurs sachent où sont leurs iClés, entre le iTéléphone et la iMontre.
Il y a 20 ans, tu avais le même truc, tu le reliais à ce que tu ne voulais pas perdre et si tu le cherches, tu siffles.
Pas de problématique de tracking et co.
Et en plus, je suppose qu’avec un AirTag, rien ne n’interdit de pister une personne n’ayant pas d’iPhone, non ?
EDIT : pour ceux qui connaissent pas
https://www.darty.com/nav/achat/sports_loisirs/maroquinerie/porte-cles/shop_story_lot_de_2_porte_cle_siffleur_led_anti_perte_localisation_bip_1_noir_1_blanc__MK2031875671.html
#10.1
Par contre j’suis baisé avec ton truc. Je sais pas siffler.
Si c’est pour me balader avec un perroquet en plus, c’est chaud.
Mes chats vont pas kiffer
Mais bonne idée quand même
#11
S’il n’a jamais d’iPhone ou autre relai iTruc à proximité, il ne sera pas pisté, mais dans un environnement assez peuplé, il y a forcément un iTruc pas loin.
#12
lapsus ?
#12.1
Grrr, j’ai cru corriger la faute en plus !
C’était bien sûr filtrer.
#13
Ils n’ont vraiment pas besoin de ça pour qu’on les attaque sur leur écosystème fermé, tant que leur store reste comme il est.
C’est de très loin le plus emblématique de leur fermeture, le reste c’est du détail.
#14
Cool. Je ne connaissais pas.
La loi ?
La morale ?
#15
Le principe d’utiliser le réseau d’iTruc pour pister des objets et/ou des personnes me fait furieusement penser à l’utilisation des téléphones mobiles par Batman pour retrouver le Joker dans The Dark Knight : le chevalier noir de Nolan.
Alors ok, c’est moins intrusif que dans le film (utilisation des microphones des téléphones mobiles) mais le principe d’utiliser des appareils privés pour mailler le territoire, ça me dérange un peu.
#15.1
D’un côté c’est optionnel (bon, comme d’habitude un opt-out, mais bon…) et d’autre part, tout au moins dans le principe, c’est du win-win : je t’aide à retrouver tes clés, tu retrouves mes écouteurs…
Ils savent déjà où est mon téléphone, et ma voiture, ça leur suffit pour me pister.
#16
Je vais redire que ce j’ai dit sur l’autre news.
Il y a une différence fondamentale entre le traçage d’un Iphone et le traçage d’un Airtag.
Pour pister qqn en utilisant des iPhones, il faut glisser des iPhone allumés dans sa poche/voiture/etc… C’est cher, la batterie ne dure pas longtemps et il faut être dans une zone de couverture GSM.
Pour pister qqn en utilisant des AirTags, il faut glisser des AirTags dans sa poche/voiture/etc… C’est pas cher, la batterie dure longtemps et il faut être à porté de gens qui ont un IPhone (peu importe qui).
#17
Pratique pour les chiens qui fuguent. air tag sur le collier et hop
#18
Les gens semblent plutôt l’utiliser comme tracker d’objet volé. D’où la demande de versions silencieuses
#19
C’est là qu’on comprends que c’est la tune le
moteur principal, pas le « bien être des utilisateurs » et « la vie privée est notre plus haute priorité ! » 🙄. Qu’est-ce que sinon ces entreprises qui lâchent des traqueurs dans la nature par million sans se poser plus de questions ?
Les mecs pèsent des centaines de milliards et ne sont pas capables d’agir en se disant « hey. On va certainement se faire pirater et utiliser avec de mauvaises intentions. On devrait peut-être se réveiller ! »