Vous le cassez, nous le réparons

Les AirTags d’Apple ont fait sensation, mais pour toutes les mauvaises raisons. Premièrement, ils transforment tous les iPhones en répéteurs de balises Bluetooth LE, sans l’autorisation du propriétaire. Les téléphones écoutent les AirTags, chiffrent leur emplacement et envoient les données sur iCloud, où le propriétaire de l’étiquette peut déchiffrer l’emplacement et le retrouver. Les mauvaises personnes ont compris que cela leur permettait de suivre leurs cibles à leur insu, transformant tous les utilisateurs d’iPhone en complices potentiels de harcèlement, ou pire.

Naturellement, Apple a tenté de répondre en mettant en œuvre certaines fonctionnalités de protection de la vie privée. Mais ils sont imparfaits au point d’être presque inutiles. Par exemple, les AirTags émettent désormais un bip une fois qu’ils sont hors de portée du téléphone de leur propriétaire pendant un certain temps, ce qui alertera sûrement la cible qu’ils sont suivis, n’est-ce pas ? Eh bien, à moins que le malfaiteur n’ait retiré le haut-parleur ou en ait acheté un avec le haut-parleur déjà retiré – et il existe un marché surprenant pour ceux-ci en ligne.

Si vous voulez savoir que vous êtes suivi, Apple « a innové avec le tout premier système proactif pour vous alerter en cas de suivi indésirable », ce qui a presque aidé à résoudre le problème qu’ils ont créé, mais il ne fonctionne que sur les téléphones Apple. On ne sait pas ce qu’ils entendaient par « tout premier », car les pirates et les chercheurs du groupe SeeMoo de l’Université technique de Darmstadt les ont devancés d’au moins quatre mois avec le projet open source AirGuard qui s’exécute sur l’autre 75% de téléphones là-bas.

En cours de route, le groupe SeeMoo a également procédé à l’ingénierie inverse du système AirTag, permettant à tout ce qui peut envoyer des balises BLE de jouer le jeu. Cela a ouvert la porte à [Fabian Bräunlein]L’attaque ID-hopping « Find You » qui casse tous les détecteurs de suivi en utilisant un ESP32 au lieu d’un AirTag. Son argument de base est que la plupart des garanties de confidentialité qu’Apple essaie de faire sur le système « Find My » reposent sur des criminels utilisant des AirTags non modifiés, et ce n’est pas très probable.

Pour être juste, Apple ne peut pas gagner ici. Ils veulent construire un réseau de suivi où seules les bonnes personnes effectuent le suivi. Mais l’appareil ne peut pas dire si vous cherchez vos clés égarées ou si vous traquez un modèle de maillot de bain. Il ne peut pas dire si vous le faites taire parce que vous ne voulez pas qu’il bipe autour du cou de votre chien pendant que vous êtes au travail, ou parce que vous l’avez planté sur une voiture de luxe que vous aimeriez soulever quand ses propriétaires sont absents. Il n’y a pas de solution technologique à ce problème fondamental.

Mais les pirates corrigent les trous qu’ils peuvent et rendent les autres trous visibles, afin que nous puissions au moins avoir une discussion raisonnable sur les compromis de la technologie. Apple semble satisfait d’avoir naïvement ouvert la boîte de Pandore de la violation de la vie privée. D’une manière ou d’une autre, c’est à nous de trouver un moyen de le fermer.