Des chercheurs en cybersécurité ont découvert que les balises Bluetooth Tile, concurrents des AirTags, présentent des failles de sécurité majeures. Ces vulnérabilités exposent les utilisateurs aux individus malveillants qui peuvent suivre leur localisation.

S’il s’agit d’outils très utiles pour retrouver un objet perdu, les traqueurs Bluetooth se retrouvent parfois au cœur de polémiques qui mettent en lumière leurs failles. Les AirTags n’ont pas été épargnés : ils ont été accusés de faciliter le harcèlement et l’espionnage. Apple avait fini par déployer l’an dernier sa solution contre les traqueurs indiscrets. Ce sont désormais les balises Tile qui se retrouvent dans le viseur des experts en cybersécurité : ces derniers y ont décelé des failles de sécurité majeures.

AirTags et traqueurs Tile partagent le même fonctionnement : ils utilisent le Bluetooth pour diffuser leur identité aux appareils à proximité et leur code d’authentification est modifié tous les quarts d’heure. Avec les AirTags, seul ce code est diffusé, toutes les transmissions étant chiffrées. Ce n’est pas le cas des balises Tile : les chercheurs du Georgia Institute of Technology ont découvert qu’elles diffusent aussi leur adresse MAC statique, non chiffrée. Or cette dernière ne change jamais. En outre, la génération des identifiants temporaires n’est pas sécurisée : ils peuvent être prédits à partir des anciens.

Lire aussi : Google muscle son arsenal pour nous protéger contre les arnaques et les spams

Ces vulnérabilités des traceurs Tile facilitent l’espionnage, mais pas que

Cette faille permet à n’importe quelle personne située à proximité d’une balise et possédant l’application Tile ou une antenne radio d’intercepter ces données et de suivre la localisation du traqueur et de son propriétaire. Les chercheurs pensent également que ces données non chiffrées sont transmises en clair aux serveurs de Tile. L’entreprise serait donc capable de suivre la position des traqueurs – bien qu’elle affirme ne pas avoir cette capacité.

De plus, il existe une faille majeure dans le mode anti-vol : bien qu’il permette de détecter si quelqu’un tente de vous suivre avec un mouchard, il rend également votre traqueur invisible aux voleurs potentiels et au scanner. Un harceleur peut donc activer ce mode pour dissimuler sa balise de traque. Enfin, les chercheurs déclarent qu’il est possible d’exploiter la fonctionnalité Scan and Secure pour vous faire passer pour un harceleur, puisqu’il est impossible de savoir si une adresse MAC et un identifiant unique ont été émis par un Tile légitime ou par un individu malveillant les ayant reproduits.

Selon les chercheurs, Tile pourrait résoudre ces problèmes en chiffrant les transmissions. S’ils ont signalé leurs découvertes à la maison-mère Life360 en novembre, celle-ci a cessé de leur répondre en février. Un porte-parole a déclaré à nos confrères de Wired que l’entreprise avait « apporté plusieurs améliorations », sans préciser si elles corrigeaient ces vulnérabilités.