Le réseau Localiser d’Apple, censé aider à retrouver des appareils perdus comme les AirTags, pourrait bien être utilisé à des fins beaucoup moins rassurantes. Des chercheurs de l’université George Mason ont découvert une faille permettant de transformer n’importe quel appareil Bluetooth en balise de localisation, sans que son propriétaire ne s’en rende compte. Autrement dit, un hacker pourrait utiliser cette technique pour suivre quelqu’un à la trace, et ce, assez simplement.
Un suivi précis et indétectable
Normalement, le système Localiser fonctionne en faisant émettre des signaux Bluetooth par des appareils Apple et accessoires compatibles (comme les AirTags). Ces signaux sont ensuite captés par les iPhone à proximité, qui transmettent discrètement la position au propriétaire légitime. Le problème, c’est que les chercheurs ont réussi à tromper ce réseau pour suivre des appareils qui ne sont pas censés être traçables, comme un PC, un smartphone ou même une console de jeu.
En exploitant une faiblesse dans le système de rotation des clés cryptographiques utilisées par Localiser (Find My en anglais), ils ont mis au point une méthode permettant d’associer une adresse Bluetooth à une clé de suivi en quelques minutes. Et avec un taux de réussite de 90 %, c’est plus qu’efficace. Résultat : un hacker pourrait suivre les déplacements d’un appareil avec une précision de 3 mètres, comme les chercheurs l’ont démontré en retraçant le trajet d’un vélo ou même d’un vol en avion.
Un risque majeur pour la vie privée
Évidemment, ce genre de faille pose de sérieux problèmes. On pense tout de suite au harcèlement ou au stalking, mais ça pourrait aussi être utilisé pour de l’espionnage industriel ou des pratiques commerciales douteuses. Imaginez une boîte de pub qui utilise ce procédé pour suivre les déplacements de certains consommateurs, sans jamais avoir besoin d’accéder à leur GPS.
Autre point inquiétant : cette méthode ne se limite pas aux appareils Apple. Des ordinateurs sous Windows, des smartphones Android, des téléviseurs connectés ou encore des casques VR pourraient aussi être suivis de la même manière. Bref, c’est potentiellement un problème à très grande échelle.
Une correction pas pour tout de suite
Les chercheurs ont signalé la faille à Apple en juillet 2024, mais aucun correctif concret n’a encore été déployé. Pire : un vrai correctif pourrait prendre des années, puisque tout repose sur le bon vouloir des utilisateurs à mettre à jour leurs appareils. En attendant, le seul vrai conseil, c’est de désactiver le Bluetooth quand ce n’est pas nécessaire et de faire attention aux applications qui demandent un accès sans raison.
