Pratiques, les AirTag souffrent d’une énorme faille qui permet de réaliser des attaques par phishing très ciblées. Cela fait quatre mois qu’Apple est au courant et n’a rien fait. © Apple
Tech

Apple : cette faille inquiétante des AirTag n'est toujours pas corrigée

ActualitéClassé sous :technologie , Apple , AirTag

-

Un expert en sécurité est parvenu à injecter du code malveillant dans un AirTag. Il pourrait permettre à un pirate de l'utiliser pour réaliser une opération de phishing ciblée. Cela fait plus de trois mois qu'Apple est au courant et qu'aucun correctif n'a été déployé.

---

Découvrez TechPod, le résumé bimensuel de l'actualité de la tech et de la mobilité !

---

Cela vous intéressera aussi

Les AirTag, ce sont des petites capsules commercialisées par Apple que l'on fixe, par exemple à un porte-clé, un portefeuille, ou tout autre objet pour pouvoir les retrouver en cas de perte. Plutôt que d'embarquer un GPS, pour localiser l'objet, ces mini balises exploitent à la fois un émetteur Bluetooth et un module basé sur un vieux, mais efficace, standard de radiocommunication à ultra large bande (ultra wideband). Ces AirTag seraient parfaits s'ils ne souffraient pas d'une grosse faille de sécurité assez embarrassante pour Apple. C'est Bobby Rauch, un hunter, c'est-à-dire un chasseur de prime en cybersécurité de Boston (États-Unis), qui a découvert dès le mois de juin, qu'il est possible de transformer n'importe quel AirTag en vecteur de contamination pour véroler un smartphone. Comment ? Pour cela, il faut comprendre comment l'AirTag fonctionne concrètement.

Lorsque l'on déclare l'objet perdu via l'application du smartphone et que l'AirTag est détecté par un bon Samaritain, celui-ci peut le scanner avec son téléphone pour obtenir le numéro de téléphone du propriétaire. En même temps, un lien généré par l'AirTag s'affiche pour pouvoir le prévenir via iCloud. Or, du côté du propriétaire, avant de régler l'AirTag en mode « perdu », une faille cross-site scripting (XSS), permet d'injecter du code malicieux dans le champ servant à saisir le numéro de téléphone. Une fois l'AirTag trouvé et scanné par la future victime, le code va alors afficher une page Web concoctée par le pirate et se faisant passer pour iCloud. L'objectif est que la personne s'y connecte et y saisisse ses identifiants.

Sur cette vidéo, on peut voir les manipulations qui permettent d’exploiter la faille des AirTags. Elle n’est toujours pas colmatée par Apple. © Bobby Rauch, YouTube

Quand Apple fait la sourde oreille

Là encore, il s'agit d'une méthode de phishing, mais tout autre code malveillant peut être injecté de la même façon. Utilisé de façon très ciblé, ce type d'attaque est idéal pour dénicher les identifiants de personnes haut placées dans une grosse société ou organisation étatique. Il suffit de déposer des clés avec un AirTag à un endroit où il sera forcément trouvé par la victime pour pouvoir l'entraîner à son insu dans le piège. Une première étape qui peut alors ouvrir bien d'autres portes à l'intérieur du réseau informatique de l'organisation.

Le souci est que Bobby Rauch a découvert cette vulnérabilité en juin. Il a pris soin d'en informer aussi Apple en laissant à la firme 90 jours pour réagir et publier un correctif avant de divulguer publiquement la faille. Or, Apple n'a pas daigné colmater la brèche ni annoncer la date d'une éventuelle mise à jour et encore moins préciser si elle donnerait un bug bounty, c'est-à-dire une prime à l'auteur de la découverte, comme c'est généralement le cas. Pour le coup, Bobby Rauch a dévoilé publiquement cette faille et, face à son inaction, Apple s'est attiré dans la foulée le courroux de la communauté des White Hat, une communauté qui considère que la marque est coutumière de ce genre d'attitude qui consiste à ignorer ce type de découvertes de leur part ; de son côté, Apple a expliqué qu'un correctif est en cours de préparation, sans pour autant annoncer de date de disponibilité.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !