Publié le 29 septembre 2023 18:39:00. Des chercheurs en sécurité ont mis en évidence de graves failles dans les dispositifs de suivi Tile, ouvrant la porte à un potentiel détournement de données de localisation et à des accusations de harcèlement fabriquées de toutes pièces.
- Les balises Tile transmettent des informations sensibles, comme l’adresse MAC et un identifiant rotatif, sans chiffrement.
- Un simple enregistrement d’un signal émis par une balise Tile permettrait de la suivre de manière persistante.
- La société Tile a cessé de communiquer avec les chercheurs après avoir été informée de ces vulnérabilités.
Des failles de sécurité majeures ont été découvertes dans les balises de suivi Tile, des dispositifs populaires permettant de localiser des objets perdus. Selon des recherches récentes, ces failles pourraient permettre à des personnes mal intentionnées, y compris des harceleurs technophiles, de suivre discrètement les déplacements d’un utilisateur. Le problème ne se limite pas à la simple surveillance : il est également possible de manipuler les données pour faire croire qu’une personne harcèle une autre, en faisant apparaître une balise Tile à proximité de la victime.
Le cœur du problème réside dans la manière dont les balises Tile communiquent. Contrairement à d’autres traqueurs, elles diffusent un ensemble d’informations plus large, notamment une adresse MAC statique – une sorte d’identifiant unique – et un identifiant rotatif censé changer régulièrement. Or, ces données ne sont pas chiffrées, ce qui les rend facilement interceptables. Bien que l’identifiant rotatif soit conçu pour évoluer, l’adresse MAC reste constante, offrant ainsi un point d’ancrage pour le suivi.
Les chercheurs estiment que toutes ces informations sont transmises en clair, facilitant l’interception par des pirates informatiques. Ils soulignent également que Tile pourrait théoriquement utiliser ces données pour suivre ses propres utilisateurs, bien que l’entreprise nie cette capacité. De plus, n’importe qui disposant d’un scanner radiofréquence peut intercepter ces informations lors de leur transmission, créant ainsi une nouvelle brèche potentielle.
Selon l’un des chercheurs impliqués dans cette découverte, l’impact est significatif :
« Un attaquant n’a besoin que d’enregistrer un message de l’appareil »,
chercheur (nom non divulgué)
ajoutant qu’un seul enregistrement suffit à « l’empreinte digitale pour le reste de sa durée de vie », ouvrant la voie à une surveillance systémique.
L’équipe de chercheurs, basée au Georgia Institute of Technology, a contacté Life360, la société mère de Tile, en novembre dernier pour signaler ces vulnérabilités. Wired rapporte que la communication a été interrompue en février. Tile affirme avoir apporté des améliorations à sa sécurité, sans toutefois fournir de détails précis.
