BackyardProduction via Getty Images
Les AirTags d’Apple sont destinés à vous aider à retrouver facilement vos clés ou à suivre vos bagages. Mais les mêmes caractéristiques qui les rendent faciles à déployer et discrets dans votre vie quotidienne ont également permis d’en faire un outil de suivi sinistre que les agresseurs domestiques et les criminels peuvent utiliser pour traquer leurs cibles.
Au cours de la dernière année, Apple a pris des mesures de protection pour avertir les utilisateurs d’iPhone et d’Android si un AirTag se trouve à proximité pendant une période de temps significative sans la présence de l’iPhone de son propriétaire, ce qui pourrait indiquer qu’un AirTag a été implanté pour suivre secrètement leur emplacement. Apple n’a pas précisé la durée exacte de cet intervalle de temps, mais pour créer le système d’alerte indispensable, Apple a apporté des modifications cruciales à la conception de confidentialité de localisation que la société avait initialement développée il y a quelques années pour sa fonction de suivi d’appareil « Trouver mon » . Des chercheurs de l’Université Johns Hopkins et de l’Université de Californie à San Diego affirment cependant avoir développé un système cryptographique pour combler le fossé, en donnant la priorité à la détection des AirTags potentiellement malveillants tout en préservant une confidentialité maximale pour les utilisateurs d’AirTag.
Le système Find My utilise des clés cryptographiques publiques et privées pour identifier les AirTags individuels et gérer leur suivi de localisation. Mais Apple a développé un mécanisme particulièrement réfléchi pour alterner régulièrement l’identifiant public de l’appareil, toutes les 15 minutes, selon les chercheurs. De cette façon, il serait beaucoup plus difficile pour quelqu’un de suivre votre position au fil du temps à l’aide d’un scanner Bluetooth pour suivre l’identifiant. Cela a bien fonctionné pour suivre en privé l’emplacement, par exemple, de votre MacBook s’il était perdu ou volé, mais l’inconvénient de changer constamment cet identifiant pour les AirTags était qu’il fournissait une couverture pour les petits appareils déployés de manière abusive.
En réaction à cette énigme, Apple a révisé le système afin que l’identifiant public d’un AirTag ne change désormais qu’une fois toutes les 24 heures si l’AirTag est éloigné d’un iPhone ou d’un autre appareil Apple qui le « possède ». L’idée est que de cette façon, d’autres appareils peuvent détecter un harcèlement potentiel, mais ne lanceront pas d’alertes tout le temps si vous passez un week-end avec un ami qui a son iPhone et l’AirTag sur ses clés dans ses poches.
En pratique, cependant, les chercheurs affirment que ces changements ont créé une situation dans laquelle les AirTags diffusent leur position à toute personne vérifiant dans un rayon de 30 à 50 pieds au cours d’une journée entière, soit suffisamment de temps pour suivre une personne lorsqu’elle se trouve. vaquer à leurs occupations et avoir une idée de leurs mouvements.
« Nous avons demandé à des étudiants de se promener dans les villes, à travers Times Square et Washington, DC, et de nombreuses personnes diffusent leurs emplacements », explique Matt Green, cryptographe de Johns Hopkins, qui a travaillé sur la recherche avec un groupe de collègues, dont Nadia Heninger. et Abhishek Jain. « Des centaines d’AirTags n’étaient pas à proximité de l’appareil sur lequel ils étaient enregistrés, et nous supposons que la plupart d’entre eux n’étaient pas des AirTags harceleurs. »
Apple a travaillé avec des sociétés comme Google, Samsung et Tile dans le cadre d’un effort intersectoriel visant à lutter contre la menace de suivi provenant de produits similaires aux AirTags. Et pour l’instant, du moins, les chercheurs affirment que le consortium semble avoir adopté l’approche d’Apple consistant à alterner les identifiants publics des appareils toutes les 24 heures. Mais le compromis en matière de confidentialité inhérent à cette solution a rendu les chercheurs curieux de savoir s’il serait possible de concevoir un système qui équilibrerait mieux la confidentialité et la sécurité.