Une faille de sécurité Bluetooth permet de suivre et identifier les appareils sous iOS, macOS et Windows

Une vulnérabilité dans le protocole de communication Bluetooth permettrait à des personnes malveillantes de suivre et d’identifier les appareils d’Apple et de Microsoft, selon une étude de l’Université de Boston.

Les appareils Apple, notamment les Mac, iPhone, iPad et Apple Watch sont concernés tout comme les tablettes et ordinateurs portables Microsoft. Les appareils Android ne sont pas affectés.

Comme indiqué dans le document de recherche, les périphériques Bluetooth utilisent les canaux publics pour annoncer leur présence à d’autres périphériques.

Pour empêcher le suivi, la plupart des appareils diffusent une adresse aléatoire qui change périodiquement plutôt qu’une adresse MAC (Media Access Control), mais les chercheurs ont découvert qu’il était possible d’extraire des jetons d’identification permettant de suivre un appareil même lorsque cette adresse aléatoire changeait, en exploitant l’algorithme de report d’adresse.

Nous présentons un algorithme en ligne appelé algorithme de report d’adresse, qui exploite le fait que les jetons d’identification et l’adresse aléatoire ne changent pas de manière synchrone, pour suivre en continu un appareil malgré la mise en œuvre de mesures d’anonymisation. À notre connaissance, cette faille concerne tous les appareils Windows 10, iOS et macOS.

L’algorithme n’exige aucun déchiffrement des messages ni aucune violation de la sécurité Bluetooth, car il repose entièrement sur du trafic publicitaire public non chiffré.

La méthode de suivi expliquée dans le document de recherche pourrait permettre une attaque permettant un “suivi permanent non continu“, ainsi qu’un canal latéral iOS permettant “de mieux comprendre l’activité des utilisateurs“.

En effet, si les appareils sous iOS ou macOS utilisent deux jetons d’identification qui changent à des intervalles différents. Dans de nombreux cas, les valeurs des jetons d’identification changent en même temps que l’adresse. Cependant, dans certains cas, le changement de jeton ne se produit pas au même moment, ce qui permet à l’algorithme de report d’identifier la prochaine adresse aléatoire.

Les appareils Android n’utilisent pas la même approche publicitaire que Microsoft et Apple et sont immunisés contre les méthodes de suivi des données utilisées par les chercheurs.

Ce qui n’est pas dit, c’est si des acteurs malveillants ont utilisés cette faille dans le but de suivre des appareils Apple via Bluetooth, mais elle serait indétectable car elle ne nécessite pas de violation de la sécurité Bluetooth. Le document de recherche contient plusieurs recommandations sur la manière de réduire la vulnérabilité liée au suivi. Apple résout souvent rapidement les problèmes de sécurité afin que nous puissions trouver une solution à ce problème dans un avenir proche.

Source

Partager

Les articles récents

Pouvez-vous laisser une tondeuse à gazon dehors sans l’abîmer ?

Ranger une tondeuse à gazon à l’extérieur peut sembler pratique lorsque l’espace dans le garage…

29 juin 2026

Analyse du design et de l’écran du HONOR Magic V6

HONOR présente le Magic V6 comme un téléphone pliable aussi abouti qu’un flagship classique, tout…

26 juin 2026

Fiido dévoile trois nouveaux modèles de vélos électriques pour les trajets quotidiens, l’aventure et le transport

La marque de vélos électriques Fiido vient d’officialiser trois nouveaux modèles : le Nomads Pro,…

23 juin 2026

J’ai remplacé Windows Search par un outil gratuit et je retrouve désormais mes fichiers en un clin d’œil

L’outil de recherche par défaut de Windows est censé vous aider à gérer vos documents,…

22 juin 2026

Essayez le simulateur de vol de Google Earth et survolez le monde

Saviez-vous que Google Earth intègre désormais un simulateur de vol dans la version web de…

15 juin 2026

aMule 3.0.0 : le cousin libre d’eMule signe son grand retour

Ce genre de nouvelles surprend, et au vu du nom donné à cette version («…

15 juin 2026

Ce site web utilise des cookies.