Mise Ă jour du 4 mars : Les chercheurs ont donnĂ© des informations sur la faille et les propos initiaux Ă©taient exagĂ©rĂ©s. La faille a Ă©tĂ© corrigĂ©e par Apple avec iOS 18.2 (et une mise Ă jour pour d'anciens OS est disponible), elle n'est pas applicable Ă n'importe quel appareil Bluetooth â il doit ĂȘtre possible d'installer une application malveillante â et les calculs nĂ©cessaires demandent un grand nombre de GPU (plusieurs centaines).
La faille qui permet de suivre n'importe quel objet Bluetooth est corrigée et ne permet pas de suivre n'importe quel objet Bluetooth
Version originale du 27 février :
Des chercheurs de l'Université George Mason viennent de publier un post de blog sur une faille qui permettrait de suivre n'importe quel périphérique Bluetooth en employant le réseau Localiser d'Apple, pensé pour les AirTags et de nombreux accessoires.
Il y a peu de dĂ©tails pour le moment, car les chercheurs devraient prĂ©senter la technique en aoĂ»t au 34e USENIX Security Symposium. Les quelques explications, probablement volontairement floues, montrent que les chercheurs indiquent au rĂ©seau d'Apple qu'un pĂ©riphĂ©rique est perdu, ce qui permet d'obtenir sa position Ă travers les innombrables appareils sous iOS, iPadOS ou macOS dans le monde. De façon trĂšs schĂ©matique, ils expliquent qu'un pĂ©riphĂ©rique perdu va Ă©mettre son adresse Bluetooth qui dĂ©pend d'une clĂ© de chiffrement publique et d'une clĂ© de chiffrement privĂ©e. Sans les dĂ©tails, les explications sont forcĂ©ment parcellaires et potentiellement fausses, mais ils ont visiblement trouvĂ© une solution pour gĂ©nĂ©rer des clĂ©s compatibles avec l'adresse MAC (un identifiant) du pĂ©riphĂ©rique Ă suivre â qu'il est facile d'obtenir â avant de les injecter dans le rĂ©seau comme s'il s'agissait d'un traqueur lĂ©gitime.
Ils expliquent que cette mĂ©thode a permis de trouver la position exacte d'un ordinateur, de suivre un vĂ©lo Ă©lectrique dans une ville et mĂȘme de reconstruire le trajet d'une console placĂ©e dans un avion.
Selon l'article, les calculs en question peuvent ĂȘtre effectuĂ©s rapidement (sans plus de prĂ©cisions) sur les fermes de calculs actuelles qui contiennent de nombreux GPU. Les chercheurs ont prĂ©venu Apple en juillet 2024, mais la mise Ă jour du rĂ©seau Localiser est compliquĂ©e, Ă©tant donnĂ© qu'il est employĂ© par virtuellement tous les appareils Apple depuis 2021. Apple ne peut pas forcer tous ses utilisateurs â dont certains emploient encore des appareils qui ne sont plus mis Ă jour â Ă mettre Ă jour, et donc la faille devrait continuer Ă fonctionner pendant de nombreuses annĂ©es, mais en perdant peu Ă peu de son efficacitĂ©.
Source :
