La bourse est fermée
  • CAC 40

    6 733,69
    +47,52 (+0,71 %)
     
  • Euro Stoxx 50

    4 188,81
    +33,08 (+0,80 %)
     
  • Dow Jones

    35 684,77
    +81,69 (+0,23 %)
     
  • EUR/USD

    1,1628
    -0,0003 (-0,02 %)
     
  • Gold future

    1 797,90
    +16,00 (+0,90 %)
     
  • BTC-EUR

    52 441,34
    -2 316,85 (-4,23 %)
     
  • CMC Crypto 200

    1 451,34
    -51,70 (-3,44 %)
     
  • Pétrole WTI

    83,52
    +1,02 (+1,24 %)
     
  • DAX

    15 542,98
    +70,42 (+0,46 %)
     
  • FTSE 100

    7 204,55
    +14,25 (+0,20 %)
     
  • Nasdaq

    15 085,36
    -130,34 (-0,86 %)
     
  • S&P 500

    4 542,72
    -7,06 (-0,16 %)
     
  • Nikkei 225

    28 804,85
    +96,27 (+0,34 %)
     
  • HANG SENG

    26 126,93
    +109,40 (+0,42 %)
     
  • GBP/USD

    1,3746
    -0,0050 (-0,36 %)
     

Apple : cette faille inquiétante des AirTag n'est toujours pas corrigée

·2 min de lecture

Les AirTag, ce sont des petites capsules commercialisées par Apple que l’on fixe, par exemple à un porte clé, un portefeuille, ou tout autre objet pour pouvoir les retrouver en cas de perte. Plutôt que d’embarquer un GPS, pour localiser l’objet, ces mini balises exploitent à la fois un émetteur Bluetooth et un module basé sur un vieux, mais efficace, standard de radiocommunication à ultra large bande (ultra wideband). Ces AirTag seraient parfaits s’ils ne souffraient pas d’une grosse faille de sécurité assez embarrassante pour Apple. C’est Bobby Rauch, un hunter, c’est-à-dire un chasseur de prime en cybersécurité de Boston (États-Unis) qui a découvert dès le mois de juin, qu’il est possible de transformer n’importe quel AirTag en vecteur de contamination pour véroler un smartphone. Comment ? Pour cela, il faut comprendre comment l’AirTag fonctionne concrètement.

Lorsque l’on déclare l’objet perdu via l’application du smartphone et que l’AirTag est détecté par un bon Samaritain, celui-ci peut le scanner avec son téléphone pour obtenir le numéro de téléphone du propriétaire. En même temps, un lien généré par l’AirTag s’affiche pour pouvoir le prévenir via iCloud. Or, du côté du propriétaire, avant de régler l’AirTag en mode « perdu », une faille cross-site scripting (XSS), permet d’injecter du code malicieux dans le champ servant à saisir le numéro de téléphone. Une fois l’AirTag trouvé et scanné par la future victime, le code va alors afficher une page Web concoctée par le pirate et se faisant passer pour iCloud. L'objectif est que la personne s’y connecte et y saisisse ses identifiants.

Sur cette vidéo, on peut voir les manipulations qui permettent d’exploiter la faille des AirTags. Elle n’est toujours pas colmatée par Apple. © Bobby Rauch / YouTube

Quand Apple fait la sourde oreille

Là encore, il s’agit d’une méthode de phishing, mais tout autre code malveillant peut être injecté de la même façon. Utilisée de façon très ciblée, ce type d'attaque est idéale pour...

> Lire la suite sur Futura

À lire aussi sur Futura

Notre objectif est de créer un endroit sûr et engageant pour que les utilisateurs communiquent entre eux en fonction de leurs centres d’intérêt et de leurs passions. Afin d'améliorer l’expérience dans notre communauté, nous suspendons temporairement les commentaires d'articles