Sous iOS 8, la puce Wi-Fi n’affiche pas toujours la même adresse MAC lorsque le téléphone se met en recherche d’un réseau sans-fil. Bien qu’il ne s’agisse pas d’une protection ultime, cette simple modification pourrait mettre en déroute certains systèmes utilisés par des enseignes commerciales.
Présenter une adresse MAC aléatoire pendant la recherche des réseaux Wi-Fi
À partir d’iOS 8, les iPhone, iPad et iPod Touch changeront leur manière de scanner les environs à la recherche de réseaux Wi-Fi auxquels se connecter. Cette recherche automatique n’est évidemment pas réservée au système d’Apple puisque tous les smartphones procèdent ainsi, à moins que l’utilisateur ne bloque la fonctionnalité. Mais iOS 8 présentera pour ce faire une adresse MAC aléatoire et factice.
Pour comprendre l’intérêt d’une telle fonctionnalité, il faut rappeler qu’une adresse MAC est unique et est présente dans le matériel. Cette donnée peut être par exemple utilisée pour créer des listes blanches sur les routeurs Wi-Fi pour n’autoriser que certains appareils à se connecter à son réseau. Cette donnée est également exposée par la puce ou la carte Wi-Fi quand l’appareil est à la recherche d’un réseau. C’est précisément ce comportement qu’Apple est en train de changer.
En effet, avec iOS 8, il ne sera plus question d’utiliser l’adresse MAC physique pour contacter les concentrateurs Wi-Fi des environs. Le système créera une adresse au hasard pour s’identifier sur les équipements. Pourquoi ? Il pourrait y avoir en fait plusieurs raisons, mais le principal semble bien être la sécurité.
Le tracking des adresses MAC déjà utilisé dans une optique commerciale
Il faut savoir en effet que rien n’empêche un équipement réseau de créer une liste des adresses MAC qui l’ont contacté. Une boutique par exemple peut être en mesure de savoir combien de fois vous êtes entrés, à des fins par exemple de statistiques. Mais des outils plus poussés ont vu le jour ces dernières années, comme le souligne Quartz. Des produits comme Euclid Analytics ou ceux de Libelium peuvent être utilisés pour récupérer automatiquement des informations telles que le modèle d’appareil, la marque du constructeur ainsi que la force du signal.
Rien n’empêche une grande galerie commerciale d’élargir le système à un immense bâtiment pour traquer le déplacement des clients et connaître leurs habitudes d’achats. Peuvent alors en ressortir des modèles de déplacements qui peuvent soit se faire en fonction d’une adresse MAC particulière ou encore des statistiques sur ce qui attire le plus les clients. Le New York Times rapportait déjà des cas d'utilisation de ce genre de système en juillet de l'année dernière.
Sécurité et... une manière de renvoyer vers iBeacon ?
Avec les adresses MAC aléatoires, de tels systèmes ne peuvent plus fonctionner car un même appareil va présenter une identification différente à chaque fois. Cela ne représente pas cependant un moyen universel de disparaître, car rien n’empêche l’utilisateur de se connecter au nombre croissant de réseaux offerts librement par des enseignes. Or, à partir du moment où la connexion est établie, l’adresse MAC utilisée est bien réelle. Le changement d’iOS 8 ne s’applique donc bien qu’à la recherche automatique, alors que le fait de rejoindre un réseau Wi-Fi est un acte volontaire.
On peut également voir une autre explication dans cette modification du comportement d’iOS. Apple propose en effet depuis iOS 7 une technologie baptisée iBeacon, qui s’appuie sur le Bluetooth 4.0 Low Energy pour obtenir notamment la position géographique de l’appareil. Rien n’empêcherait les boutiques intéressées de déployer des solutions basées sur iBeacon car l’adresse MAC de la puce Bluetooth reste, elle, parfaitement réelle.
