Des chercheurs en cybersécurité viennent de révéler de sérieuses vulnérabilités dans les traceurs Tile. Contrairement aux AirTags, les dispositifs de Tile transmettent des informations non chiffrées, permettant aussi bien à l’entreprise qu’à des tiers — parfois malveillants — d'accéder aux informations de suivi. Et, pire encore, ces failles pourraient servir à piéger des innocents, accusés à tort de stalking.
Une grosse différence de sécurité
Sur le papier, les AirTags et les Tile tags semblent fonctionner de la même manière : ils diffusent un identifiant via Bluetooth, qui est capté par les smartphones à proximité, et qui est renouvelé toutes les 15 minutes pour éviter un suivi permanent.
Mais en vrai il y a une différence de taille : toutes les transmissions via les AirTags sont chiffrées. Chez Tile, les chercheurs de Georgia Tech ont découvert que les balises émettent non seulement cet identifiant, mais aussi leur adresse MAC fixe, et ce sans aucun chiffrement. Pour eux, le système de génération des identifiants tournant chez Tile est jugé prévisible. Un seul code intercepté suffirait pour reconstituer tous les futurs codes, rendant le suivi quasi permanent.
Ces failles signifient que Tile peut collecter et stocker les déplacements d’un utilisateur à vie. Selon Wired, les chercheurs estiment même que ces données sont conservées en clair sur les serveurs de l’entreprise mère, et ce, malgré les affirmations officielles de ne pas suivre les utilisateurs.
Quand l’anti-vol devient un outil de harceleur
Autre problème : Tile propose un mode anti-vol pour rendre ses tags invisibles aux scans de sécurité. Mais cette fonction profite aussi aux harceleurs. Un tag activé en mode anti-vol devient indétectable pour une victime qui vérifierait la présence d’un traceur caché dans ses affaires ou sa voiture.
Enfin, les chercheurs décrivent un scénario assez effroyable : un attaquant pourrait cloner un tag en réémettant son adresse MAC et son identifiant dans un autre lieu. Tile enregistrerait ce tag comme proche d’une victime, faisant croire que son propriétaire la suit. — un moyen de fabriquer de fausses preuves de harcèlement.
Les vulnérabilités ont été transmises à Life360 — maison mère de Tike— dès novembre 2024. Après quelques échanges, la société a cessé toute communication en février. Interrogée par Wired, elle affirme avoir amélioré sa sécurité, sans préciser si les problèmes révélés ont été corrigés. Bref affaire à suivre...
