Sécurité : le AirTag peut servir à siphonner vos mots de passe

L’AirTag, ce traqueur d’objets signé Apple, dispose d’un mode spécial à enclencher lorsque l’utilisateur n’arrive plus à le retrouver. Ce “Lost Mode”, ou “Mode Perdu”, une fois activé, donne la possibilité à quiconque mettant la main sur le capteur, de retrouver les informations du propriétaire en approchant sa trouvaille d’un smartphone compatible NFC.

En amont, l’utilisateur aura défini quelles informations il veut communiquer à toute personne mettant la main sur son AirTag, numéro de téléphone par exemple.

Sauf qu’il a été prouvé qu’il était possible d’injecter un code malicieux dans le numéro de téléphone indiqué. Ainsi, si le numéro de téléphone apparaît normalement, il peut en fait contenir de quoi automatiquement envoyer l’utilisateur de bonne volonté vers un site web dit de phishing, qui va tenter de récupérer de nombreuses informations confidentielles, dont des mots de passe.

Cette faille a été communiquée à Apple le 20 juin dernier et a été rendue publique récemment. Le chercheur et auteur de la découverte, Booby Rauch, a voulu respecter le délai de 90 jours entre l’annonce privée et l’annone publique, délai classique dans ce genre de procédure de recherche de bugs et de failles de sécurité.

Il affirme n’avoir pas reçu plus de détail que cela de la part du géant californien à ce jour. La firme l’ayant simplement remercié pour la trouvaille et l’ayant incité à ne pas communiquer sur le sujet trop tôt.

La faille serait par ailleurs toujours d’actualité, on espère l’arrivée rapide d’un correctif. Même si, il faut bien se le dire, il y a peu de chance pour que la personne qui trouve votre AirTag soit un pirate techniquement capable de mettre en oeuvre ce que le spécialiste en sécurité informatique décrit ici pour tenter de récupérer des informations d’autres utilisateurs.