Un expert en sécurité est parvenu à injecter du code malveillant dans un AirTag. Il pourrait permettre à un pirate de l’utiliser pour réaliser une opération de phishing ciblée. Cela fait plus de trois mois qu’Apple est au courant et qu’aucun correctif n’a été déployé.


au sommaire


    Les AirTag, ce sont des petites capsules commercialisées par AppleApple que l'on fixe, par exemple à un porteporte-clé, un portefeuille, ou tout autre objet pour pouvoir les retrouver en cas de perte. Plutôt que d'embarquer un GPS, pour localiser l'objet, ces mini balises exploitent à la fois un émetteur Bluetooth et un module basé sur un vieux, mais efficace, standard de radiocommunication à ultra large bande (ultra wideband). Ces AirTag seraient parfaits s'ils ne souffraient pas d'une grosse faille de sécurité assez embarrassante pour Apple. C'est Bobby Rauch, un hunter, c'est-à-dire un chasseur de prime en cybersécurité de Boston (États-Unis), qui a découvert dès le mois de juin, qu'il est possible de transformer n'importe quel AirTag en vecteur de contaminationcontamination pour véroler un smartphone. Comment ? Pour cela, il faut comprendre comment l'AirTag fonctionne concrètement.

    Lorsque l'on déclare l'objet perdu via l'applicationapplication du smartphone et que l'AirTag est détecté par un bon Samaritain, celui-ci peut le scanner avec son téléphone pour obtenir le numéro de téléphone du propriétaire. En même temps, un lien généré par l'AirTag s'affiche pour pouvoir le prévenir via iCloud. Or, du côté du propriétaire, avant de régler l'AirTag en mode « perdu », une faille cross-site scripting (XSSXSS), permet d'injecter du code malicieux dans le champ servant à saisir le numéro de téléphone. Une fois l'AirTag trouvé et scanné par la future victime, le code va alors afficher une page Web concoctée par le pirate et se faisant passer pour iCloud. L'objectif est que la personne s'y connecte et y saisisse ses identifiants.

    Sur cette vidéo, on peut voir les manipulations qui permettent d’exploiter la faille des AirTags. Elle n’est toujours pas colmatée par Apple. © Bobby Rauch, YouTube

    Quand Apple fait la sourde oreille

    Là encore, il s'agit d'une méthode de phishing, mais tout autre code malveillant peut être injecté de la même façon. Utilisé de façon très ciblé, ce type d'attaque est idéal pour dénicher les identifiants de personnes haut placées dans une grosse société ou organisation étatique. Il suffit de déposer des clés avec un AirTag à un endroit où il sera forcément trouvé par la victime pour pouvoir l'entraîner à son insu dans le piège. Une première étape qui peut alors ouvrir bien d'autres portes à l'intérieur du réseau informatique de l'organisation.

    Le souci est que Bobby Rauch a découvert cette vulnérabilité en juin. Il a pris soin d'en informer aussi Apple en laissant à la firme 90 jours pour réagir et publier un correctif avant de divulguer publiquement la faille. Or, Apple n'a pas daigné colmater la brèche ni annoncer la date d'une éventuelle mise à jour et encore moins préciser si elle donnerait un bug bounty, c'est-à-dire une prime à l'auteur de la découverte, comme c'est généralement le cas. Pour le coup, Bobby Rauch a dévoilé publiquement cette faille et, face à son inaction, Apple s'est attiré dans la foulée le courroux de la communauté des White Hat, une communauté qui considère que la marque est coutumière de ce genre d'attitude qui consiste à ignorer ce type de découvertes de leur part ; de son côté, Apple a expliqué qu'un correctif est en cours de préparation, sans pour autant annoncer de date de disponibilité.