Des chercheurs ont découvert d’importantes failles de sécurité concernant les dispositifs Tile, qui pourraient permettre à la fois à l’entreprise et à des stalkers technophiles de suivre votre position. Ces vulnérabilités proviennent de deux différences essentielles entre la sécurité utilisée pour les AirTags et les tags Tile.
Il est même possible d’exploiter cette faille pour tromper quelqu’un, en simulant qu’un propriétaire de Tile traque une autre personne, en donnant l’impression qu’un de ses tags est constamment à proximité d’un autre tag.
Deux différences clés entre les AirTags et les tags Tile
Les AirTags et les tags Tile fonctionnent fondamentalement de la même manière, utilisant le Bluetooth pour diffuser leur identité aux smartphones environnants. Tous deux font également tourner le code d’identification toutes les 15 minutes pour ne pas être liés de manière permanente à un tag spécifique.
Dans le cas des AirTags, seul le code d’identification en rotation est diffusé par le tag, et toutes les transmissions sont cryptées. Cependant, les chercheurs en sécurité ont découvert que les tags Tile transmettent non seulement ce code d’identification tournant, mais également leur adresse MAC statique – et aucune de ces informations n’est cryptée. Cela constitue une énorme vulnérabilité.
Les failles de sécurité de Tile
Wired rapporte que les chercheurs Akshaya Kumar, Anna Raymaker et Michael Specter de l’Institut de technologie de Géorgie ont constaté que l’adresse MAC était diffusée aux côtés de l’ID, et contrairement à l’ID, les adresses MAC des tags Tile ne changent jamais.
La localisation d’un tag, son adresse MAC et son ID unique sont également envoyés de manière non cryptée aux serveurs de Tile, où les chercheurs pensent que cette information est stockée en texte clair, permettant à Tile de tracer les localisations des tags et de leurs propriétaires, même si la société prétend ne pas avoir cette capacité.
De plus, quiconque avec un scanner de fréquence radio peut intercepter toutes ces informations lors de leur transmission.
Pire encore, le problème ne serait pas résolu si Tile cessait de transmettre l’adresse MAC, car la méthode que l’entreprise utilise pour générer le code tournant n’est pas sécurisée, et les futurs codes peuvent être prévisibles à partir des précédents – même d’un seul ID. « Un attaquant n’a besoin d’enregistrer qu’un seul message de l’appareil… pour l’identifier pour le reste de sa durée de vie », explique Kumar, avertissant que cela crée un risque de surveillance systémique pour quiconque dont le tag est pris dans un scan.
Tile possède une protection similaire à celle des AirTags, permettant de savoir si vous êtes suivi par le tag d’un tiers caché dans vos affaires ou dans votre véhicule. Toutefois, il existe une vulnérabilité majeure dans l’implémentation de Tile.
Lorsque le propriétaire d’un tag active le mode anti-vol pour rendre son tag invisible aux voleurs potentiels, ces tags ne seront également pas visibles pour quelqu’un qui effectue un scan pour déterminer s’il est suivi par un tag malveillant. Cela signifie qu’un stalker peut cacher son tag de suivi en le mettant en mode anti-vol.
Enfin, un acteur malveillant pourrait même vous faire passer pour un stalker. En utilisant une antenne de radiofréquence pour collecter les diffusions non cryptées de tag de l’utilisateur d’un autre, un attaquant peut extraire l’adresse MAC et l’ID unique de ces diffusions et les transmettre à un autre endroit. Si un utilisateur effectue un scan anti-stalking à cet endroit, il verrait cette adresse MAC et cet ID unique dans le scan, et cette information ainsi que la localisation du scan seraient envoyées au serveur de Tile, donnant l’impression que ce tag était près de la personne qui a effectué le scan. Les chercheurs affirment qu’il n’y a aucun moyen de déterminer si une adresse MAC et un ID unique ont été émis par un dispositif Tile légitime ou par quelqu’un qui a malicieusement retransmis ces informations.
Les chercheurs en sécurité ont suivi les meilleures pratiques en signalant leurs découvertes à Life360, la société mère de Tile, en novembre de l’année dernière. Cependant, l’entreprise a cessé les communications en février de cette année. Life360 a déclaré à Wired qu’elle avait apporté un certain nombre d’améliorations à sa sécurité, mais n’a pas précisé si celles-ci répondaient aux problèmes identifiés.
