Les chercheurs ont identifié des failles de sécurité majeures chez Tile, permettant à la fois à l’entreprise et à un traqueur malveillant de suivre votre localisation. Ces vulnérabilités proviennent de deux différences cruciales entre la sécurité des AirTags et des Tiles.
Tandis que les AirTags ne diffusent que des codes ID tournants, toujours cryptés, les Tiles émettent, eux, leur adresse MAC statique sans cryptage, en plus de ces codes. Cela constitue un risque de sécurité majeur car ces informations pourraient être interceptées par n’importe qui muni d’un scanner de fréquence radio.
Les vulnérabilités techniques
Selon Akshaya Kumar, Anna Raymaker et Michael Specter de l’Institut de technologie de Géorgie, les adresses MAC des Tiles, étant constantes, rendent leur suivi possible en tous temps. Les données non cryptées sont envoyées aux serveurs de Tile, où elles seraient stockées en clair, malgré les affirmations de l’entreprise contraires à cette capacité de tracking.
Pire encore, puisque le mode générant les codes ID tournants des Tiles n’est pas sécurisé, il est possible de prévoir ces codes futurs simplement en capturant un seul code. Cela signifie qu’une empreinte digitale peut être créée et maintenue pour la durée de vie d’un appareil.
Cacher le traqueur en activant le mode anti-vol
Une autre faille critique réside dans l’activation du mode anti-vol de Tile. Lorsque ce mode est actif, le tag devient invisible pour ceux qui vérifient la présence de dispositifs de traque, permettant ainsi à un harceleur de dissimuler l’utilisation malveillante d’un tag.
Enfin, un acteur malveillant pourrait même vous faire passer pour un harceleur. En recueillant les émissions non cryptées des tags d’un autre utilisateur, un attaquant peut reproduire ces informations ailleurs, rendant son espionnage encore plus discret.
Les chercheurs ont informé la maison mère de Tile, Life360, en novembre dernier. Cependant, les communications se seraient interrompues en février. La société a déclaré à Wired avoir fait des améliorations de sécurité, mais sans préciser si elles abordent les problèmes soulevés.
