Les AirTags, ces petits dispositifs de localisation d’Apple, ont fait sensation lors de leur sortie. Pour 30 euros l’unité, la marque à la pomme vous permet de retrouver vos clés via ces minuscules gadgets.
Les AirTags disposent d’une fonction qui permet de connaitre le numéro de téléphone du titulaire, notamment en les scannant à l’aide d’un smartphone. Ainsi, le bon samaritain qui trouvera un AirTag configuré en mode perdu pourra le rendre à son propriétaire.
Cependant, pas plus tard que le 28 septembre dernier, Brian Krebs, expert en cybersécurité, a affirmé que cette fonction des AirTags favorise le vol de données personnelles, le phishing iCloud.
La bonne intention de rendre un AirTag peut mal tourner
Quand une personne perd un AirTag, elle peut utiliser le « mode perdu » pour signaler la perte à Apple. Ce signalement génère automatiquement un lien unique sur le site found.apple.com. Le propriétaire devra saisir un message personnel (notamment pour la personne qui retrouvera le gadget) ainsi que son contact mobile.
Toutefois, pour tenter un phishing, il se peut qu’une personne malintentionnée réussisse à injecter un code informatique dans le champ dédié au numéro de téléphone. Ce code malveillant pourra même installer un ransomware sur le smartphone.
Il est également possible qu’en scannant l’AirTag, celui qui l’a trouvé soit redirigé vers un faux site d’iCloud. Dans ce cas, ses informations personnelles et/ou ses mots de passe risquent de se faire voler.
Cela dit, après avoir scanné un AirTag, il n’y a pas nécessaire de se connecter ni de s’identifier pour accéder à l’Apple Found. Tout le monde ne le sait pas forcément.
Y a-t-il raison de s’inquiéter ?
En juin 2021, Apple a promis une mise à jour des fonctionnalités des AirTags dans le but de corriger ce bug. Malheureusement, la firme de Cupertino n’a pas donné de date, ce qui a poussé Brian Krebs à dévoiler l’information publiquement.
Jusqu’à présent, ce phénomène appelé « l’attaque du bon samaritain » n’est qu’une théorie. Personne n’a encore déclaré avoir été victime d’un phishing via AirTag. Il est toutefois recommandé de toujours rester vigilant lorsque vous en trouvez dans un lieu public pour éviter toute tentative de piratage et de phishing iCloud. Faites attention à la page qui s’affiche après avoir scanné un AirTag. Si on vous demande d’entrer vos informations personnelles, quittez directement la page.
