Des chercheurs ont mis en évidence d’importantes failles de sécurité chez les dispositifs Tile, permettant à la fois à l’entreprise et à des stalkers avertis de suivre votre localisation. Ces vulnérabilités proviennent de deux différences majeures entre la sécurité des AirTags et celle des tags Tile.
Des différences cruciales entre AirTags et tags Tile
Les AirTags et les tags Tile fonctionnent de manière similaire, utilisant le Bluetooth pour diffuser leur identité aux smartphones à proximité. Tous deux changent leur code d’identification toutes les 15 minutes pour éviter d’être liés de manière permanente à un tag spécifique.
Concernant les AirTags, seul le code d’identification changeant est diffusé par le tag, et toutes les transmissions sont chiffrées.
En revanche, les chercheurs ont constaté que les tags Tile transmettent non seulement le code d’identification changeant mais également leur adresse MAC statique, et aucune de ces informations n’est chiffrée. Cela représente une vulnérabilité de sécurité considérable.
Les failles de sécurité de Tile
Selon un article de Wired, Akshaya Kumar, Anna Raymaker et Michael Specter de l’Institut de technologie de Géorgie ont découvert que l’adresse MAC était diffusée en même temps que l’identifiant. Contrairement à l’identifiant, les adresses MAC des Tile ne changent jamais.
La localisation d’un tag, son adresse MAC et son identifiant unique sont également envoyés en clair aux serveurs de Tile, où les chercheurs croient que ces informations sont stockées sans chiffrement, permettant à Tile de suivre la localisation des tags et de leurs propriétaires, même si l’entreprise affirme ne pas disposer de cette capacité.
Par ailleurs, toute personne équipée d’un scanner de fréquence radio peut intercepter ces informations lors de la transmission.
Pire encore, le problème ne serait pas résolu même si Tile cessait de diffuser l’adresse MAC. En effet, la méthode de génération de l’identifiant changeant par l’entreprise n’est pas sécurisée et les codes futurs peuvent être prévisibles à partir des précédents – même à partir d’un seul identifiant.
« Un attaquant n’a besoin d’enregistrer qu’un seul message du dispositif pour l’identifier pour le reste de sa durée de vie », déclare Kumar, soulignant le risque de surveillance systémique pour quiconque voit son tag intercepté lors d’un scan.
Tile dispose d’une protection similaire aux AirTags pour vous permettre de vérifier si vous êtes suivis par un tag caché dans vos affaires ou votre véhicule. Cependant, il existe une vulnérabilité majeure dans la mise en œuvre de Tile.
Lorsque le propriétaire d’un tag active la fonctionnalité anti-vol pour rendre son tag invisible aux voleurs, ces tags ne seront également pas visibles lors d’un scan pour déterminer si une personne est suivie par un tag malveillant. Cela signifie qu’un stalker pourrait dissimuler son tag de suivi en l’activant en mode anti-vol.
Enfin, un individu malveillant pourrait même vous faire passer pour un stalker.
En utilisant une antenne de fréquence radio pour collecter les transferts non chiffrés d’un autre tag, un attaquant peut extraire l’adresse MAC et l’identifiant unique de ces transmissions et les retransmettre dans un autre lieu. Si un utilisateur effectue un scan anti-stalking dans cet endroit, il verra cette adresse MAC et cet identifiant unique apparaître dans son scan, et ces informations et la localisation où cela a été scanné seraient envoyées aux serveurs de Tile, faisant apparaître ce tag comme étant près de la personne ayant effectué le scan. Les chercheurs indiquent qu’il est impossible de déterminer si cette adresse MAC et cet identifiant unique proviennent d’un appareil Tile légitime ou d’une personne malveillante les réutilisant.
Les chercheurs ont suivi les meilleures pratiques en rapportant leurs découvertes à Life360, la société mère de Tile, en novembre de l’année dernière. Cependant, la société a cessé toute communication en février de cette année. Tile a déclaré à Wired avoir apporté plusieurs améliorations à sa sécurité, sans préciser si celles-ci corrigeaient les problèmes identifiés.
