Les AirTag d'Apple sont destinés à vous aider à retrouver facilement vos clés ou à suivre vos bagages. Mais les mêmes caractéristiques qui les rendent faciles à déployer et discrets dans votre vie quotidienne ont également permis d’en faire un sinistre outil de suivi que les agresseurs domestiques et les criminels peuvent utiliser pour traquer leurs cibles.
Au cours de la dernière année, Apple a pris des mesures de protection pour avertir les utilisateurs d'iPhone et d'Android si un AirTag se trouve à proximité pendant une période de temps significative sans la présence de l'iPhone de son propriétaire, ce qui pourrait indiquer qu'un AirTag a été implanté pour suivre secrètement leur emplacement. Apple n'a pas précisé la durée exacte de cet intervalle de temps, mais pour créer le système d'alerte indispensable, Apple a apporté des modifications cruciales à la conception de confidentialité de localisation que la société avait initialement développée il y a quelques années pour sa fonction de suivi d'appareil « Localiser ». Des chercheurs de l'Université Johns Hopkins et de l'Université de Californie à San Diego affirment cependant avoir développé un système cryptographique pour combler le fossé, en donnant la priorité à la détection des AirTags potentiellement malveillants tout en préservant une confidentialité maximale pour les utilisateurs d'AirTag.
Le système Localiser utilise des clés cryptographiques publiques et privées pour identifier les AirTag individuels et gérer leur suivi de localisation. Mais Apple a développé un mécanisme pour alterner régulièrement l'identifiant public de l'appareil, toutes les 15 minutes, selon les chercheurs. De cette façon, il serait beaucoup plus difficile pour quelqu'un de suivre votre position au fil du temps à l'aide d'un scanner Bluetooth pour suivre l'identifiant. Cela a bien fonctionné pour suivre en privé l'emplacement, par exemple, de votre MacBook s'il était perdu ou volé, mais l'inconvénient de changer constamment cet identifiant pour les AirTags était qu'il fournissait une couverture pour les petits appareils déployés de manière abusive.
En réaction à cette énigme, Apple a révisé le système afin que l'identifiant public d'un AirTag ne change désormais qu'une fois toutes les 24 heures si l'AirTag est éloigné d'un iPhone ou d'un autre appareil Apple qui le « possède ». L'idée est que de cette façon, d'autres appareils peuvent détecter un harcèlement potentiel, mais ne lanceront pas d'alertes tout le temps si vous passez un week-end avec un ami qui a son iPhone et l'AirTag sur ses clés dans ses poches.
En pratique, cependant, les chercheurs affirment que ces changements ont créé une situation dans laquelle les AirTag diffusent leur position à toute personne vérifiant dans un rayon de 9 à 15 mètres au cours d'une journée entière, soit suffisamment de temps pour suivre une personne lorsqu'elle vaque à ses occupations et avoir une idée de ses mouvements.
Un meilleur ratio confidentialité / sécurité ?
Apple a travaillé avec des sociétés comme Google, Samsung et Tile dans le cadre d'un effort intersectoriel visant à lutter contre la menace de suivi provenant de produits similaires aux AirTag. Et pour l'instant, du moins, les chercheurs affirment que le consortium semble avoir adopté l'approche d'Apple consistant à alterner les identifiants publics des appareils toutes les 24 heures. Mais le compromis en matière de confidentialité inhérent à cette solution a rendu les chercheurs curieux de savoir s'il serait possible de concevoir un système qui équilibrerait mieux la confidentialité et la sécurité.
Apple, Tile, Samsung et Google ont adopté des contre-mesures de détection des harceleurs pour alerter les utilisateurs de la présence d'un Airtag non reconnu qui « se déplace avec » un utilisateur pendant une durée prédéfinie. Les victimes peuvent généralement déclencher une alerte audio à partir du Airtag, obtenir le numéro de série du Airtag à l’aide de la communication en champ proche (NFC), puis interroger les serveurs du fournisseur pour obtenir des informations partielles sur leur compte. Malheureusement, la capacité de détecter les Airtag de traque peut entrer en conflit avec les contre-mesures anti-pistage. Pour résoudre ce problème, les fabricants ont dû faire des compromis : par exemple, Apple AirTag fait pivoter son identifiant toutes les 15 minutes lorsqu'il est à portée des appareils de son propriétaire, mais réduit ce taux à une fois toutes les 24 heures lorsqu'il est hors de portée. Cette approche permet aux victimes potentielles de harcèlement de détecter les AirTag à proximité, mais souvent au prix d’une réduction de la confidentialité face aux adversaires qui suivent. Apple et Google ont proposé conjointement un projet de l'IETF pour normaliser cette approche.
Comme l’illustre cette solution, l’objectif d’un mécanisme de détection de harceleur semble être en conflit direct avec l’objectif de préserver la vie privée contre un adversaire traquant. Concrètement, pour se défendre contre un adversaire traqueur, les Airtag doivent systématiquement changer d'identifiant : cela garantit qu'un harceleur ne pourra pas relier une série d'émissions à un seul appareil émetteur. Pourtant, pour détecter les harceleurs, une victime potentielle doit être capable de déterminer qu’une série de diffusions appartient à un seul appareil.
Cela soulève la question suivante :
Est-il possible de fournir de solides protections de la vie privée contre le suivi de localisation, tout en permettant également la détection des abus de harcèlement*?
Dans cet article, nous répondons à la question par l'affirmative, en concevant de nouveaux protocoles offrant de solides garanties de confidentialité tout en garantissant que les Airtag de harceleur peuvent être détectés de manière fiable. Il est important de noter que nos solutions fonctionnent dans le modèle de menace des systèmes actuels et ne reposent pas sur la création de nouvelles parties de confiance ou sur l’octroi d’une confiance supplémentaire au fournisseur de services lui-même.
Comme l’illustre cette solution, l’objectif d’un mécanisme de détection de harceleur semble être en conflit direct avec l’objectif de préserver la vie privée contre un adversaire traquant. Concrètement, pour se défendre contre un adversaire traqueur, les Airtag doivent systématiquement changer d'identifiant : cela garantit qu'un harceleur ne pourra pas relier une série d'émissions à un seul appareil émetteur. Pourtant, pour détecter les harceleurs, une victime potentielle doit être capable de déterminer qu’une série de diffusions appartient à un seul appareil.
Cela soulève la question suivante :
Est-il possible de fournir de solides protections de la vie privée contre le suivi de localisation, tout en permettant également la détection des abus de harcèlement*?
Dans cet article, nous répondons à la question par l'affirmative, en concevant de nouveaux protocoles offrant de solides garanties de confidentialité tout en garantissant que les Airtag de harceleur peuvent être détectés de manière fiable. Il est important de noter que nos solutions fonctionnent dans le modèle de menace des systèmes actuels et ne reposent pas sur la création de nouvelles parties de confiance ou sur l’octroi d’une confiance supplémentaire au fournisseur de services lui-même.
« Il y a tout cet effort de normalisation en cours sur la façon de résister au harcèlement, ce qui est vraiment bien. Cela signifie qu’Apple, Google et les autres sociétés prennent cela au sérieux », déclare Green. « Ce qui est triste, c'est qu'Apple a fait ce que tout le monde fait lorsqu'on se retrouve coincé dans un coin. Ils ont un gros curseur – qui d'un côté indique la vie privée, et de l'autre indique autre chose (dans ce cas, la lutte contre le harcèlement) – et ils ont tourné ce curseur loin de la vie privée ».
La solution proposée
La solution proposée par Green et ses collègues chercheurs s'appuie sur deux domaines établis de la cryptographie que le groupe a travaillé à mettre en œuvre de manière rationalisée et efficace afin que le système puisse raisonnablement fonctionner en arrière-plan sur les appareils mobiles sans être perturbateur. Le premier élément est le « partage de secrets », qui permet la création de systèmes qui ne peuvent rien révéler sur un « secret » à moins que suffisamment de pièces de puzzle distinctes ne se présentent et ne s'assemblent. Ensuite, si les conditions sont réunies, le système peut reconstruire le secret. Dans le cas des AirTag, le « secret » est la véritable identité statique de l’appareil sous-jacent à l’identifiant public qui change fréquemment à des fins de confidentialité.
Le partage secret était conceptuellement utile pour les chercheurs, car ils pouvaient développer un mécanisme par lequel un appareil comme un smartphone ne serait capable de déterminer qu'il était suivi par un AirTag avec un identifiant public en constante rotation que si le système recevait suffisamment d'un certain type de ping au fil du temps. Puis, tout à coup, l’anonymat de l’AirTag suspect disparaîtrait et le système serait capable de déterminer qu’il était à proximité dudit Airtag depuis un moment.
Séparer les victimes de harcèlement criminel des adversaires traqués. Si la traque des adversaires doit résoudre un problème similaire à celui d’une victime de harcèlement, les deux parties ne sont pas identiques. En effet, nous pouvons nous attendre à ce que, dans de nombreux cas, les adversaires traqués soient plus limités dans leur accès aux diffusions d’une LTA donnée. Par exemple, les victimes de harcèlement sont (par définition) assurées d'être à proximité immédiate d'un LTA du harceleur pendant une période relativement longue. En revanche, un adversaire traquant peut n’avoir qu’un accès bref ou intermittent aux diffusions d’un Airtag donné (par exemple, lorsque les propriétaires entrent et quittent les emplacements physiques des récepteurs de suivi).
Notre approche. Plutôt que de diffuser un identifiant constant, nous proposons de transmettre des identifiants de diffusion qui changent fréquemment et ne peuvent être liés afin de maximiser la confidentialité. Contrairement aux solutions existantes, nous structurons nos diffusions de manière à ce qu'une victime de harcèlement puisse détecter le harceleur en reliant les séries de diffusions pertinentes une fois que la victime a observé « suffisamment » d'émissions du harceleur, même en présence de nombreux Airtag non harceleurs. Cependant, pour un adversaire traqueur qui observe moins de diffusions, le contenu des diffusions d’un seul LTA ne pourra pas être lié : c’est-à-dire, cryptographiquement impossible à distinguer d’une série de diffusions envoyées par de nombreuses Airtags différents.
« Le partage de secrets et le codage de correction d'erreurs se chevauchent beaucoup », explique Green. « L'astuce consistait à trouver un moyen de mettre en œuvre tout cela qui serait rapide et où un téléphone serait capable de réassembler toutes les pièces du puzzle en cas de besoin pendant que tout cela se déroule tranquillement en arrière-plan ».
Les chercheurs ont publié pour la première fois un article sur leurs découvertes en septembre et l'ont soumis à Apple. Plus récemment, ils ont informé le consortium industriel de leur proposition.
Green dit qu'il espère que l'entreprise finira par faire quelque chose avec le travail. Et il ajoute que le projet est un rappel important des impacts réels que la cryptographie théorique peut avoir.
« Ce que j'aime dans ce problème, c'est qu'il semble qu'il existe deux exigences concurrentes qui ne peuvent pas être conciliées », dit-il. « Mais en cryptographie, nous pouvons obtenir une confidentialité totale et puis, comme par magie, les pièces du puzzle s'assemblent, ou une "réaction chimique" se produit, et nous passons à la phase où, tout à coup, il devient évident qu'il s'agit d'un harceleur, et pas seulement d'un harceleur. un AirTag bénin. C'est très puissant de pouvoir passer de l'une à l'autre de ces phases ».
Sources : rapport des chercheurs, Apple
Et vous ?
Que pensez-vous de la nouvelle norme proposée par Apple et Google pour prévenir le harcèlement par AirTag ?
Avez-vous déjà été victime ou témoin d’un cas de harcèlement par AirTag ou par un autre dispositif de localisation Bluetooth ?
Quelles sont les mesures que vous prenez pour protéger votre sécurité et votre vie privée face à ces appareils ?
Quels sont les avantages et les inconvénients de l’utilisation des AirTag ou d’autres appareils similaires pour retrouver des objets perdus ou volés ?
Quel est le rôle des autorités et des associations dans la lutte contre le harcèlement par AirTag ou par d’autres moyens technologiques ?
Que pensez-vous de l'approche des chercheurs ?