Une équipe de trois chercheurs du Georgia Institute of Technology a découvert une série de vulnérabilités dans le fonctionnement des balises Bluetooth vendues par Tile. Selon le trio d’experts, les traqueurs, qui se présentent comme une alternative aux AirTags d’Apple, souffrent de plusieurs failles de conception qui mettent en danger la vie privée de leurs utilisateurs.
En exploitant ces failles de sécurité, il est possible que Tile, ou un tiers, soit en mesure de pister les déplacements des balises. Concrètement, chaque balise est liée à une adresse MAC et un identifiant qui sont émis en Bluetooth. En s’appuyant sur ces informations, un attaquant muni d’un appareil Bluetooth à portée peut suivre les mouvements du traqueur, et de facto, de son propriétaire.
À lire aussi : Un pirate a siphonné les données des utilisateurs des traqueurs Tile
Surveillance de masse
Les chercheurs se sont rendu compte que Tile n’a pas chiffré les identifiants émis en Bluetooth par ses appareils. Un tiers peut donc intercepter les données pour lancer une opération d’espionnage. Par ailleurs, les données sont envoyées, toujours non chiffrées, sur les serveurs de Tile. L’entreprise se trouve théoriquement en mesure de pister les détenteurs d’une balise. Pourtant, Tile a toujours affirmé qu’il n’était pas techniquement apte à le faire. Pour les chercheurs, il y a un risque de « surveillance de masse ».
Par ailleurs, les chercheurs ont remarqué que Tile a inclus un système de rotation de l’identifiant. En clair, l’identifiant de la balise change régulièrement par mesure de sécurité. Malheureusement, ce système de rotation est considéré comme prédictible. Un attaquant pourrait parvenir à comprendre le système et à prédire le futur identifiant de la balise. Les identifiants futurs peuvent être prédits à partir des codes utilisés par le passé. En d’autres termes, il est possible de pister le traqueur dans le temps, en dépit des précautions prises par Tile.
Pour intercepter les données, un potentiel harceleur doit se munir d’un scanner de radiofréquence, un appareil qui permet de surveiller les communications sans fil. Ce type d’appareils peut être acheté pour la modique somme de 50 euros en France, pour les modèles les plus basiques.
Tous « ces problèmes transforment l’infrastructure de Tile en un réseau de suivi mondial », estiment les experts. Contacté par les chercheurs, Tile a échangé pendant des mois au sujet des vulnérabilités. La société explique à Wired avoir « fait un certain nombre d’améliorations » à sa sécurité, mais ne précise pas quels sont les changements qui ont été apportés. Les chercheurs exhortent Tile à suivre l’exemple de ses concurrents et de chiffrer toutes les données émises en Bluetooth par ses appareils.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wired
