L’AirTag, le traqueur Bluetooth d’Apple permettant de retrouver un objet perdu, pourrait se transformer en cheval de Troie pour une attaque par hameçonnage ou phishing. C’est ce que révèle le spécialiste en cybersécurité Brian Krebs, dans un article publié le 28 septembre 2021.
Une fonctionnalité fort utile
L’AirTag est un traqueur Apple qui permet à toute personne utilisant un smartphone de retrouver des objets perdus. Selon de nouvelles recherches, cette fonctionnalité très utile pourrait servir pour des escroqueries du type phishing (attaque par hameçonnage). Le pirate redirige sa victime vers une fausse page iCloud ou un site Web malveillant pour ensuite subtiliser des informations personnelles.
De fait, lorsque l’utilisateur d’un smartphone perd un objet, il peut alerter Apple grâce au mode « Localiser » de l’AirTag. Celui-ci génère alors une URL unique sur https://found.apple.com pour orienter le propriétaire vers une page où il rentre un message personnel et un numéro de téléphone de contact. Quand une personne tombe sur cet AirTag perdu, elle doit le scanner avec un téléphone Apple ou Android pour voir afficher automatiquement l’URL Apple unique et le message du propriétaire. Elle pourra ainsi joindre ce dernier afin de lui restituer sa balise.
Un code insidieux dans l’URL Apple
Les informations de l’utilisateur s’affichent sans qu’Apple demande au bon samaritain de se connecter ou de fournir des informations personnelles. Mais tout le monde ne le sait pas. C’est pourquoi, certaines personnes ont tendance à renseigner leurs données dans le champ libre. Et c’est dans cette brèche que s’engouffrent les hackers. Ceux-ci intègrent un code insidieux dans l’URL Apple. Ainsi, au lieu d’accéder au site de la marque à la pomme, l’individu charitable atterrit sur un site de phishing.
Les pirates peuvent ainsi hameçonner des données personnelles comme des mots de passe iCloud. Pour ne pas tomber dans ce panneau, il faut simplement éviter de rentrer des informations. Alertée sur cette vulnérabilité par le spécialiste en cybersécurité Brian Krebs, Apple n’a pas tout de suite réagi. Ce qui a poussé le chercheur a révélé la faille au public, au grand dam du constructeur qui le priait de ne pas le faire. La firme Cupertino a finalement indiqué qu’elle travaillait à trouver une solution. Une mise à jour est donc attendue. Mais la date n’a pas été précisée.
Une balise un peu trop chère
Notons que l’attaque par AirTag, aussi sophistiquée soit-elle, ne peut pas se généraliser. En effet, il est rare de trouver ce genre de gadget dans la rue. Ainsi, si les hackers veulent faire du phishing avec, ils devront forcément se procurer cette balise qui coûte 35 euros. Dès lors, les attaques se concentreront sur certains profils sensibles tels que les personnalités politiques et les grands patrons. Encore faudra-t-il que le téléphone de ces responsables contienne des informations sensibles qu’on peut monnayer.
Ce type d’attaque peut aussi viser des sites sensibles comme les complexes militaires. On se rappelle encore l’affaire Stuxnet, un virus propagé en 2010 sur des installations nucléaires iraniennes. Probablement via une clé USB laissée dans un parking et utilisée imprudemment par un employé. Deux ans auparavant, une autre clé infectée a servi dans une action cyber visant les services de défense américains.