La tranquillité d’esprit que nous offre l’écosystème Apple, notamment grâce à son réseau Find My, est mise à mal par une récente découverte alarmante. Les chercheurs de l’Université George Mason ont mis en lumière une faille qui permettrait à des hackers de suivre discrètement n’importe quel appareil Bluetooth via ce réseau. Cet article vous éclaire sur les implications de cette vulnérabilité.
L’exploit de Find My permet de suivre des appareils
Les chercheurs expliquent qu’ils ont réussi à transformer des appareils courants, comme un smartphone ou un ordinateur portable, en véritables AirTag sans que le propriétaire ne s’en aperçoive. Une fois cette transformation réalisée, les pirates peuvent suivre la localisation de l’appareil à distance.
Pour donner un peu de contexte, le réseau Find My fonctionne en échangeant des messages Bluetooth entre les AirTags et d’autres dispositifs Apple. Ces derniers partagent anonymement la position de l’AirTag avec le propriétaire via les serveurs d’Apple. Les chercheurs ont trouvé un moyen de modifier cette fonctionnalité pour qu’elle puisse suivre n’importe quel appareil Bluetooth.
Initialement, les AirTags changent leur adresse Bluetooth grâce à une clé cryptographique pour des raisons de sécurité. Cependant, les hackers ont développé une méthode permettant d’identifier ces clés en utilisant des milliers de GPU. Cette faille, désignée sous le nom de nRootTag, a un taux de réussite alarmant de 90% et low renie des compétences avancées de piratage.
Lors de leurs essais, ils ont réussi à suivre un ordinateur avec une précision de moins de 3 mètres, permettant de retracer même un trajet à vélo dans une ville. Une autre expérience consistait à suivre un chemin de vol à l’aide d’une console de jeux, soulignant ainsi la gravité de cette vulnérabilité.
Un des chercheurs a rappelé que si le piratage d’une serrure intelligente est déjà préoccupant, le fait que l’attaquant puisse également connaître son emplacement l’est encore plus. Cette méthode d’attaque pourrait ainsi compromettre la sécurité d’innombrables utilisateurs.
Alerté par cette faille, Apple a été informé en juillet 2024 par les chercheurs, qui l’ont exhorté à renforcer la vérification des dispositifs Bluetooth sur son réseau Find My. Bien qu’Apple ait reconnu publiquement l’apport de l’équipe de George Mason dans la découverte de cette vulnérabilité, aucune mesure corrective immédiate n’a été annoncée.
Les chercheurs préviennent que la mise en œuvre d’une véritable solution pourrait prendre des années. Même avec la sortie d’une mise à jour iOS, une part des utilisateurs ne mettra pas son appareil à jour rapidement. En attendant, ils recommandent aux utilisateurs de limiter l’accès au Bluetooth lorsque des applications le demandent et de toujours garder leur logiciel à jour.