Les AirTag dApple sont de petits appareils qui permettent de retrouver facilement des objets perdus ou vols. Il suffit de les attacher ses cls, son portefeuille ou son sac et de les localiser avec lapplication Localiser dApple. Mais ces AirTag peuvent aussi tre dtourns pour pister et harceler des personnes leur insu. Des cas de harclements et de vols assists par AirTag ont t signals dans plusieurs pays. Si Apple a dploy des solutions pour prvenir une utilisation malveillante de son produit, elles ont t relativement efficaces. Aussi, des chercheurs proposent une autre approche dont l’optique est d’apporter un meilleur quilibre entre confidentialit et scurit.
Les AirTag d’Apple sont destins vous aider retrouver facilement vos cls ou suivre vos bagages. Mais les mmes caractristiques qui les rendent faciles dployer et discrets dans votre vie quotidienne ont galement permis den faire un sinistre outil de suivi que les agresseurs domestiques et les criminels peuvent utiliser pour traquer leurs cibles.
Au cours de la dernire anne, Apple a pris des mesures de protection pour avertir les utilisateurs d’iPhone et d’Android si un AirTag se trouve proximit pendant une priode de temps significative sans la prsence de l’iPhone de son propritaire, ce qui pourrait indiquer qu’un AirTag a t implant pour suivre secrtement leur emplacement. Apple n’a pas prcis la dure exacte de cet intervalle de temps, mais pour crer le systme d’alerte indispensable, Apple a apport des modifications cruciales la conception de confidentialit de localisation que la socit avait initialement dveloppe il y a quelques annes pour sa fonction de suivi d’appareil Localiser . Des chercheurs de l’Universit Johns Hopkins et de l’Universit de Californie San Diego affirment cependant avoir dvelopp un systme cryptographique pour combler le foss, en donnant la priorit la dtection des AirTags potentiellement malveillants tout en prservant une confidentialit maximale pour les utilisateurs d’AirTag.
Le systme Localiser utilise des cls cryptographiques publiques et prives pour identifier les AirTag individuels et grer leur suivi de localisation. Mais Apple a dvelopp un mcanisme pour alterner rgulirement l’identifiant public de l’appareil, toutes les 15 minutes, selon les chercheurs. De cette faon, il serait beaucoup plus difficile pour quelqu’un de suivre votre position au fil du temps l’aide d’un scanner Bluetooth pour suivre l’identifiant. Cela a bien fonctionn pour suivre en priv l’emplacement, par exemple, de votre MacBook s’il tait perdu ou vol, mais l’inconvnient de changer constamment cet identifiant pour les AirTags tait qu’il fournissait une couverture pour les petits appareils dploys de manire abusive.
En raction cette nigme, Apple a rvis le systme afin que l’identifiant public d’un AirTag ne change dsormais qu’une fois toutes les 24 heures si l’AirTag est loign d’un iPhone ou d’un autre appareil Apple qui le possde . L’ide est que de cette faon, d’autres appareils peuvent dtecter un harclement potentiel, mais ne lanceront pas d’alertes tout le temps si vous passez un week-end avec un ami qui a son iPhone et l’AirTag sur ses cls dans ses poches.
En pratique, cependant, les chercheurs affirment que ces changements ont cr une situation dans laquelle les AirTag diffusent leur position toute personne vrifiant dans un rayon de 9 15 mtres au cours d’une journe entire, soit suffisamment de temps pour suivre une personne lorsqu’elle vaque ses occupations et avoir une ide de ses mouvements.
Un meilleur ratio confidentialit / scurit ?
Apple a travaill avec des socits comme Google, Samsung et Tile dans le cadre d’un effort intersectoriel visant lutter contre la menace de suivi provenant de produits similaires aux AirTag. Et pour l’instant, du moins, les chercheurs affirment que le consortium semble avoir adopt l’approche d’Apple consistant alterner les identifiants publics des appareils toutes les 24 heures. Mais le compromis en matire de confidentialit inhrent cette solution a rendu les chercheurs curieux de savoir s’il serait possible de concevoir un systme qui quilibrerait mieux la confidentialit et la scurit.
Apple, Tile, Samsung et Google ont adopt des contre-mesures de dtection des harceleurs pour alerter les utilisateurs de la prsence d’un Airtag non reconnu qui se dplace avec un utilisateur pendant une dure prdfinie. Les victimes peuvent gnralement dclencher une alerte audio partir du Airtag, obtenir le numro de srie du Airtag laide de la communication en champ proche (NFC), puis interroger les serveurs du fournisseur pour obtenir des informations partielles sur leur compte. Malheureusement, la capacit de dtecter les Airtag de traque peut entrer en conflit avec les contre-mesures anti-pistage. Pour rsoudre ce problme, les fabricants ont d faire des compromis : par exemple, Apple AirTag fait pivoter son identifiant toutes les 15 minutes lorsqu’il est porte des appareils de son propritaire, mais rduit ce taux une fois toutes les 24 heures lorsqu’il est hors de porte. Cette approche permet aux victimes potentielles de harclement de dtecter les AirTag proximit, mais souvent au prix dune rduction de la confidentialit face aux adversaires qui suivent. Apple et Google ont propos conjointement un projet de l’IETF pour normaliser cette approche.
Comme lillustre cette solution, lobjectif dun mcanisme de dtection de harceleur semble tre en conflit direct avec lobjectif de prserver la vie prive contre un adversaire traquant. Concrtement, pour se dfendre contre un adversaire traqueur, les Airtag doivent systmatiquement changer d’identifiant : cela garantit qu’un harceleur ne pourra pas relier une srie d’missions un seul appareil metteur. Pourtant, pour dtecter les harceleurs, une victime potentielle doit tre capable de dterminer quune srie de diffusions appartient un seul appareil.
Cela soulve la question suivante :
Est-il possible de fournir de solides protections de la vie prive contre le suivi de localisation, tout en permettant galement la dtection des abus de harclement*?
Dans cet article, nous rpondons la question par l’affirmative, en concevant de nouveaux protocoles offrant de solides garanties de confidentialit tout en garantissant que les Airtag de harceleur peuvent tre dtects de manire fiable. Il est important de noter que nos solutions fonctionnent dans le modle de menace des systmes actuels et ne reposent pas sur la cration de nouvelles parties de confiance ou sur loctroi dune confiance supplmentaire au fournisseur de services lui-mme.
Nous avons demand des tudiants de se promener dans les villes, travers Times Square et Washington, DC, et de nombreuses personnes diffusent leurs emplacements , explique Matt Green, cryptographe de Johns Hopkins, qui a travaill sur la recherche avec un groupe de collgues, dont Nadia Heninger. et Abhishek Jain. Des centaines d’AirTag n’taient pas proximit de l’appareil sur lequel ils taient enregistrs, et nous supposons que la plupart d’entre eux n’taient pas des AirTag dploys par harceleurs .
Il y a tout cet effort de normalisation en cours sur la faon de rsister au harclement, ce qui est vraiment bien. Cela signifie quApple, Google et les autres socits prennent cela au srieux , dclare Green. Ce qui est triste, c’est qu’Apple a fait ce que tout le monde fait lorsqu’on se retrouve coinc dans un coin. Ils ont un gros curseur qui d’un ct indique la vie prive, et de l’autre indique autre chose (dans ce cas, la lutte contre le harclement) et ils ont tourn ce curseur loin de la vie prive .
La solution propose
La solution propose par Green et ses collgues chercheurs s’appuie sur deux domaines tablis de la cryptographie que le groupe a travaill mettre en uvre de manire rationalise et efficace afin que le systme puisse raisonnablement fonctionner en arrire-plan sur les appareils mobiles sans tre perturbateur. Le premier lment est le partage de secrets , qui permet la cration de systmes qui ne peuvent rien rvler sur un secret moins que suffisamment de pices de puzzle distinctes ne se prsentent et ne s’assemblent. Ensuite, si les conditions sont runies, le systme peut reconstruire le secret. Dans le cas des AirTag, le secret est la vritable identit statique de lappareil sous-jacent lidentifiant public qui change frquemment des fins de confidentialit.
Le partage secret tait conceptuellement utile pour les chercheurs, car ils pouvaient dvelopper un mcanisme par lequel un appareil comme un smartphone ne serait capable de dterminer qu’il tait suivi par un AirTag avec un identifiant public en constante rotation que si le systme recevait suffisamment d’un certain type de ping au fil du temps. Puis, tout coup, lanonymat de lAirTag suspect disparatrait et le systme serait capable de dterminer quil tait proximit dudit Airtag depuis un moment.
Sparer les victimes de harclement criminel des adversaires traqus. Si la traque des adversaires doit rsoudre un problme similaire celui dune victime de harclement, les deux parties ne sont pas identiques. En effet, nous pouvons nous attendre ce que, dans de nombreux cas, les adversaires traqus soient plus limits dans leur accs aux diffusions dune LTA donne. Par exemple, les victimes de harclement sont (par dfinition) assures d’tre proximit immdiate d’un LTA du harceleur pendant une priode relativement longue. En revanche, un adversaire traquant peut navoir quun accs bref ou intermittent aux diffusions dun Airtag donn (par exemple, lorsque les propritaires entrent et quittent les emplacements physiques des rcepteurs de suivi).
Notre approche. Plutt que de diffuser un identifiant constant, nous proposons de transmettre des identifiants de diffusion qui changent frquemment et ne peuvent tre lis afin de maximiser la confidentialit. Contrairement aux solutions existantes, nous structurons nos diffusions de manire ce qu’une victime de harclement puisse dtecter le harceleur en reliant les sries de diffusions pertinentes une fois que la victime a observ suffisamment d’missions du harceleur, mme en prsence de nombreux Airtag non harceleurs. Cependant, pour un adversaire traqueur qui observe moins de diffusions, le contenu des diffusions dun seul LTA ne pourra pas tre li : cest–dire, cryptographiquement impossible distinguer dune srie de diffusions envoyes par de nombreuses Airtags diffrents.
Green note cependant qu’une limitation des algorithmes de partage de secrets est qu’ils ne sont pas trs efficaces pour trier et analyser les entres si elles sont inondes par un grand nombre de pices de puzzle diffrentes provenant de tous les puzzles diffrents – le scnario exact qui se produirait dans le monde rel o les AirTag et les appareils avec la fonction Localiser se rencontrent constamment. Dans cet esprit, les chercheurs ont utilis un deuxime concept connu sous le nom de codage de correction derreurs , spcifiquement conu pour trier le signal du bruit et prserver la durabilit des signaux mme sils acquirent des erreurs ou des corruptions.
Le partage de secrets et le codage de correction d’erreurs se chevauchent beaucoup , explique Green. L’astuce consistait trouver un moyen de mettre en uvre tout cela qui serait rapide et o un tlphone serait capable de rassembler toutes les pices du puzzle en cas de besoin pendant que tout cela se droule tranquillement en arrire-plan .
Les chercheurs ont publi pour la premire fois un article sur leurs dcouvertes en septembre et l’ont soumis Apple. Plus rcemment, ils ont inform le consortium industriel de leur proposition.
Green dit qu’il espre que l’entreprise finira par faire quelque chose avec le travail. Et il ajoute que le projet est un rappel important des impacts rels que la cryptographie thorique peut avoir.
Ce que j’aime dans ce problme, c’est qu’il semble qu’il existe deux exigences concurrentes qui ne peuvent pas tre concilies , dit-il. Mais en cryptographie, nous pouvons obtenir une confidentialit totale et puis, comme par magie, les pices du puzzle s’assemblent, ou une « raction chimique » se produit, et nous passons la phase o, tout coup, il devient vident qu’il s’agit d’un harceleur, et pas seulement d’un harceleur. un AirTag bnin. C’est trs puissant de pouvoir passer de l’une l’autre de ces phases .
Sources : rapport des chercheurs, Apple
Et vous ?
Que pensez-vous de la nouvelle norme propose par Apple et Google pour prvenir le harclement par AirTag ?
Avez-vous dj t victime ou tmoin dun cas de harclement par AirTag ou par un autre dispositif de localisation Bluetooth ?
Quelles sont les mesures que vous prenez pour protger votre scurit et votre vie prive face ces appareils ?
Quels sont les avantages et les inconvnients de lutilisation des AirTag ou dautres appareils similaires pour retrouver des objets perdus ou vols ?
Quel est le rle des autorits et des associations dans la lutte contre le harclement par AirTag ou par dautres moyens technologiques ?
Que pensez-vous de l’approche des chercheurs ?