Suivez-nous

Accessoires

Sécurité : l’AirTag peut servir à siphonner vos mots de passe

Sous certaines conditions.

Publié le

 

Par

Apple AirTag accessoires
© Apple

L’AirTag, ce traqueur d’objets signé Apple, dispose d’un mode spécial à enclencher lorsque l’utilisateur n’arrive plus à le retrouver. Ce “Lost Mode”, ou “Mode Perdu”, une fois activé, donne la possibilité à quiconque mettant la main sur le capteur, de retrouver les informations du propriétaire en approchant sa trouvaille d’un smartphone compatible NFC.

En amont, l’utilisateur aura défini quelles informations il veut communiquer à toute personne mettant la main sur son AirTag, numéro de téléphone par exemple.

Sauf qu’il a été prouvé qu’il était possible d’injecter un code malicieux dans le numéro de téléphone indiqué. Ainsi, si le numéro de téléphone apparaît normalement, il peut en fait contenir de quoi automatiquement envoyer l’utilisateur de bonne volonté vers un site web dit de phishing, qui va tenter de récupérer de nombreuses informations confidentielles, dont des mots de passe.

Cette faille a été communiquée à Apple le 20 juin dernier et a été rendue publique récemment. Le chercheur et auteur de la découverte, Booby Rauch, a voulu respecter le délai de 90 jours entre l’annonce privée et l’annone publique, délai classique dans ce genre de procédure de recherche de bugs et de failles de sécurité.

Il affirme n’avoir pas reçu plus de détail que cela de la part du géant californien à ce jour. La firme l’ayant simplement remercié pour la trouvaille et l’ayant incité à ne pas communiquer sur le sujet trop tôt.

La faille serait par ailleurs toujours d’actualité, on espère l’arrivée rapide d’un correctif. Même si, il faut bien se le dire, il y a déjà peu de chance de tomber dans la nature sur un AirTag, encore moins sur celui d’un pirate connaissant la manipulation et ayant les informations techniques pour en profiter.

Apple AirTag
Apple AirTag
Acheter sur Amazon à 29 €
[Source]

Rédacteur pour iPhon.fr, opérant parfois sous le pseudonyme de Snooz. Pierre est tel Indiana Jones, à la recherche de l'astuce iOS perdue. Également utilisateur Mac de longue date, les appareils Apple n'ont en somme pour lui aucun secret. Pour me contacter : pierre[a]iphon.fr

9 Commentaires

9 Commentaires

  1. Lecteur-1604530471 (posté avec l'app i-nfo.fr V2)

    1 octobre 2021 à 12 h 44 min

    Merki apple

    Répondre

  2. lolo

    1 octobre 2021 à 12 h 54 min

    tout ce que l’homme peut faire, l’homme peut le défaire!

    Répondre

  3. Pierrot

    1 octobre 2021 à 13 h 03 min

    Bonjour, si je comprends bien la manip, le dernier paragraphe n’est pas correct…
    Ce n’est pas celui qui trouve qui est un pirate, mais quelqu’un qui égare volontairement un airtag avec le code malicieux dans le n° enregistré

    Répondre

    • dup_001

      1 octobre 2021 à 13 h 50 min

      Voilà! Sinon, cet article est clair comme du jus de chique!

      Répondre

      • Pierrot

        1 octobre 2021 à 19 h 46 min

        Je vais aller du côté de Cupertino lâcher quelques airtag… Avec un peu de chance, Tim Cook le trouvera et je lui phishingerais son compte bancaire.
        Ça lui apprendra à sortir de plus en plus de produits avec des failles (sans être testées à fond en fait)…
        mouahahahahah
        (Je plaisante bien entendu pour les autorités compétentes)

        Répondre

  4. Arno_5110 (posté avec l'app i-nfo.fr V2)

    1 octobre 2021 à 17 h 25 min

    @Pierrot j’ai compris pareil !

    Répondre

  5. Pierre Otin

    1 octobre 2021 à 18 h 49 min

    Effectivement, j’ai modifié le dernier paragraphe en conséquence.

    Répondre

  6. Darth Philou

    1 octobre 2021 à 19 h 11 min

    Je reste curieux de savoir comment on peut saisir un numéro de téléphone correct qui ne s’affiche qu’à l’utilisateur et en même temps injecter un code « malicieux ». À moins qu’Apple ne se soit pas protégé contre du « code injection », mais c’est tellement basique que je ne crois pas à cette hypothèse.

    Répondre

  7. SebC

    7 octobre 2021 à 12 h 02 min

    Pfff… l’aitag sert simplement à envoyer celui qui le trouve surt un site de phishing. Après, si les gens fournissent leur propre mot de passe et leur numéro de CB ou que sais-je encore, sur un site bien louche, c’est pas vraiment la faite de l’airtag.
    En fait, c’est pas pire qu’aller cliquer sur un lien web qui vous amène sur un site malveillant…
    Encore une “faille” qui n’en est pas une, qui sert juste à taper sur Apple ou essayer de leur soutirer de l’argent pour la découverte… Et à faire couler de l’encre..
    => Les gens, Internet n’est pas sûr, arrêtez de donner tout et n’importe quoi sur des sites inconnus… Est-ce que ça vous viendrait à l’esprit de donner votre argent à un gars qui frappe à votre porte et prétend être employé par votre banque ? Non ? ben c’est pareil sur internet…

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Nos sites : 01net | Journal du Geek | Presse-citron
Copyright © 2024 iPhon.fr

Apple, le logo Apple, iPod, iTunes et Mac sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iPhone et MacBook Air sont des marques déposées d’Apple Inc. MobileMe est une marque de service d’Apple Inc iPhon.fr et son forum ne sont pas liés à Apple et les marques citées sont la propriété de leurs détenteurs respectifs.