Les balises de localisation, comme les Tile, sont devenues des outils incontournable pour garder une trace de nos objets. Malheureusement, des vulnérabilités majeures dans leur sécurité ont récemment été mises en lumière. Ce constat soulève des préoccupations quant à la vie privée des utilisateurs et à leur sécurité personnelle.
Les problèmes de sécurité des Tile
Des chercheurs, dont Akshaya Kumar et Anna Raymaker du Georgia Institute of Technology, ont découvert que les balises Tile émettent non seulement un identifiant changeant, mais aussi leur adresse MAC statique, et cela sans cryptage. Cela met en danger la sécurité des utilisateurs.
Les informations concernant la localisation, l’adresse MAC et l’identifiant unique sont envoyées en clair aux serveurs de Tile. Ainsi, la société peut techniquement suivre la localisation des balises et de leurs propriétaires, contrairement à ce qu’elle prétend.
Le problème est aggravé par le fait qu’une personne disposant d’un scanner radio peut intercepter toutes ces données. En plus, même si Tile cessait d’émettre l’adresse MAC, le système actuel de génération d’identifiant reste vulnérable, permettant une prévision des prochains identifiants à partir de ceux déjà transmis.
Recordez un seul message, et un attaquant pourra identifier une balise pour le reste de sa vie, créant un risque de surveillance systématique pour quiconque.
Bien que Tile ait mis en place des fonctionnalités similaires aux AirTags pour détecter la présence d’autres balises dans vos affaires, la mise en œuvre est défaillante. Lorsque l’utilisateur active le mode anti-vol, les balises deviennent invisibles, compromettant ainsi la détection de balises malveillantes.
Un harceleur peut masquer sa balise de traçage en la mettant en mode anti-vol.
Risques potentiels
Le danger ne s’arrête pas là. Un individu malintentionné pourrait même impliquer une personne innocente dans un acte de harcèlement. Grâce à un simple équipement, un attaquant peut collecter les informations non sécurisées d’une balise d’un autre utilisateur et les reproduire ailleurs. Lorsqu’un utilisateur effectue un scan anti-harcèlement, la balise piégée pourrait apparaître comme étant à proximité…
…Tout cela serait rapporté aux serveurs de Tile, faisant croire que l’innocent est un harceleur.
Les chercheurs ont fait preuve de diligence en alertant Life360, propriétaire de Tile, en novembre dernier. Malheureusement, les réponses se sont taries en février, laissant la communauté dans l’incertitude quant aux améliorations de sécurité promises.
Bien que des dispositifs comme les Tile apportent un certain confort, il est crucial de rester vigilant sur les problèmes de sécurité. Ces révélations soulignent l’importance de choisir des appareils dotés de protections robustes pour garantir notre tranquillité d’esprit.