Sécurité : l’AirTag peut servir à siphonner vos mots de passe

L’AirTag, ce traqueur d’objets signé Apple, dispose d’un mode spécial à enclencher lorsque l’utilisateur n’arrive plus à le retrouver. Ce “Lost Mode”, ou “Mode Perdu”, une fois activé, donne la possibilité à quiconque mettant la main sur le capteur, de retrouver les informations du propriétaire en approchant sa trouvaille d’un smartphone compatible NFC.

En amont, l’utilisateur aura défini quelles informations il veut communiquer à toute personne mettant la main sur son AirTag, numéro de téléphone par exemple.

Sauf qu’il a été prouvé qu’il était possible d’injecter un code malicieux dans le numéro de téléphone indiqué. Ainsi, si le numéro de téléphone apparaît normalement, il peut en fait contenir de quoi automatiquement envoyer l’utilisateur de bonne volonté vers un site web dit de phishing, qui va tenter de récupérer de nombreuses informations confidentielles, dont des mots de passe.

Cette faille a été communiquée à Apple le 20 juin dernier et a été rendue publique récemment. Le chercheur et auteur de la découverte, Booby Rauch, a voulu respecter le délai de 90 jours entre l’annonce privée et l’annone publique, délai classique dans ce genre de procédure de recherche de bugs et de failles de sécurité.

Il affirme n’avoir pas reçu plus de détail que cela de la part du géant californien à ce jour. La firme l’ayant simplement remercié pour la trouvaille et l’ayant incité à ne pas communiquer sur le sujet trop tôt.

La faille serait par ailleurs toujours d’actualité, on espère l’arrivée rapide d’un correctif. Même si, il faut bien se le dire, il y a déjà peu de chance de tomber dans la nature sur un AirTag, encore moins sur celui d’un pirate connaissant la manipulation et ayant les informations techniques pour en profiter.

Apple AirTag

Acheter sur Amazon à 29 €