Apple a dévoilé durant son dernier Keynote les AirTags, des petits trackers connectés qui permettent de retrouver facilement un porte-feuille ou une paire de clés égarée. Pour éviter les mauvaises surprises, la firme a bien entendu mis en place des garde-fous. Les AirTags ne peuvent donc en théorie pas être utilisés pour espionner une personne. Il semblerait que ce soit sur le point de changer.
Stacksmashing, un chercheur en sécurité, a en effet déclaré samedi 8 mai sur Twitter avoir réussi à accéder au microcontrôleur de l’appareil.
Une véritable performance si l’on en croit ses confidences. Il explique en effet dans son message avoir passé plusieurs heures à bricoler ses AirTags pour venir à bout de leurs protections.
Les AirTags ont été hackés
Ce qui s’est d’ailleurs soldé par la mort définitive de deux d’entre eux.
Mais les sacrifices consentis ont fini par payer. Si les deux premiers AirTags du chercheur ont rendu l’âme lors de ses tentatives, le troisième a vu ses défenses s’écrouler. Stacksmahing a alors pu accéder à son microcontrôleur, ce qui lui offre potentiellement la possibilité de modifier son fonctionnement.
Et justement, pour valider l’exploit, le chercheur s’est amusé à modifier l’URL du AirTag hacké… pour la remplacer par celle d’un autre AirTag.
Deux AirTags brickés dans l’opération
En effet, si vous avez fait un peu le tour du propriétaire, alors vous savez que l’application Localiser permet de déclarer un AirTag comme perdu. Lorsque ce mode est activé, la personne retrouvant l’accessoire égaré reçoit une invitation sur son propre iPhone, une invitation lui proposant de se rendre vers le site d’Apple.
En suivant ce lien, elle peut alors entrer en contact avec le propriétaire de l’accessoire et organiser ainsi le retour du AirTag – et potentiellement de l’objet auquel il est attaché – à son véritable propriétaire.
Un risque potentiel
Et mine de rien, cet exploit peut être un problème. Rien n’empêcherait par exemple une personne mal intentionnée de modifier cette URL pour renvoyer l’utilisateur vers une page truffée de malwares, avec toutes les conséquences que cela pourrait avoir.
Reste que pour le moment, cet exploit n’a pas été rendu public et il ne serait pas étonnant qu’Apple prenne des mesures pour sécuriser un peu plus son nouveau produit. En attendant, si vous voulez en savoir plus sur les AirTags, notre prise en main vous attend ici.