Par Gérard Haas et Margaux Laurent
L’AirTag est un disque de la taille d’une pièce de 2 euros, commercialisé par Apple depuis avril 2021.
Attaché à un objet, il permet de le retrouver grâce à une application installée sur l’Iphone (Localiser) via la technologie Bluetooth. Cette application informe l’utilisateur de la localisation et des déplacements de l’objet sur lequel l’AirTag est attaché.
Cependant, depuis sa commercialisation, des citoyens américains ont émis des inquiétudes estimant qu’il avait pu servir à les suivre et à les espionner. Par exemple, quelques médias ont relayé l’histoire d’une femme qui, après avoir reçu une alerte sur son iPhone, a découvert qu’un AirTag était dissimulé dans le récepteur d’attelage de remorque de sa voiture. Cela a conduit à l’arrestation d’un homme contre lequel la victime aurait déjà obtenu une ordonnance restrictive.
Ainsi, le problème est de plus en plus préoccupant. Il y a un mois, la procureure générale de New York a émis un avis à propos de ces AirTag espions :
« Dans tout le pays, les Apple AirTags sont utilisés à mauvais escient pour suivre les personnes et leurs biens afin de causer des dommages », a déclaré celle-ci dans un communiqué. « Traquer des personnes à leur insu ou sans leur consentement est un crime grave et ne sera pas toléré par mon bureau. J’exhorte tous les New-Yorkais à faire très attention à leurs affaires et à suivre les conseils fournis par mon bureau pour rester en sécurité. »
Les procureurs généraux des États de New York et de Pennsylvanie aux États-Unis ont publié sur leur site respectif une note d'avertissement auprès des consommateurs pour signaler l'utilisation des AirTags d'Apple par des personnes parfois mal intentionnées. La note est suivie de bonnes pratiques permettant de repérer les AirTags géolocalisant les individus à leur insu.
Des mesures de sécurité by design insuffisantes
Cependant, à la sortie de l’appareil, la firme avait prévu certaines mesures de sécurité :
- Une alerte sonore : l’appareil émet une sonnerie lorsqu’il est éloigné plusieurs heures de son propriétaire, mais uniquement s’il est déplacé.
- Une alerte visuelle : après plusieurs heures à proximité d’un AirTag (dans un périmètre d’une quinzaine de mètres), une alerte est envoyée à l’Iphone de l’individu. Son propriétaire pourra alors faire sonner le disque pour le localiser.
Mais, ces mesures de sécurité se sont avérées insuffisantes pour plusieurs raisons, notamment :
- Les alertes visuelles ne s’affichent pas sur les modèles antérieurs à l’Iphone 6S ni sur les Iphone dont le système d’exploitation n’a pas été mis à jour.
- Les alertes visuelles n’apparaissent pas sur les smartphones Android. Il est possible de les scanner grâce à une application mise à disposition par Apple mais elle reste très peu utilisée.
- La puissance de la sonnerie est peu audible.
- La durée de déclenchement de l’alerte peut être longue. L’alerte visuelle ne se déclenche que 2 à 4 heures après que le smartphone ait repéré l’AirTag. L’alerte sonore peut ne retentir qu’au bout de 3 jours.
Pour toutes ces raisons, le 10 février dernier, Apple a annoncé une série de nouvelles mesures visant à renforcer la sécurité du dispositif :
- L’augmentation du volume sonore de l’alerte.
- Le raccourcissement de la durée de déclenchement des alertes visuelles.
- Le délai de déclenchement de l’alerte sonore est ramené à une fourchette de 8 à 24 heures.
Enfin, en matière de sensibilisation, Apple va renforcer les messages qui s’affichent lors du paramétrage d’un nouvel AirTag afin de rappeler que l’utilisation de ce produit pour pister une personne à son insu est un crime dans de nombreux pays et que le produit a été conçu de manière à ce qu’il puisse être détecté par les victimes.
Une pratique pénalement réprimée
De telles pratiques pourraient tomber sous le coup de l’article 226-1 du Code pénal modifié par la loi n°2020-936 du 30 juillet 2020, sanctionnant le fait de « porter atteinte à l’intimité de la vie privée d’autrui (…) en captant, enregistrant ou transmettant, par quelque moyen que ce soit, la localisation en temps réel ou en différé d’une personne sans [son] consentement » (punissable d’un an d’emprisonnement et de 45.000 euros d’amende).
De plus, il existe une circonstance aggravante lorsque ces pratiques sont le fait du conjoint, du concubin ou du partenaire lié à la victime par un pacte civil de solidarité.
Face à une telle situation, Apple recommande de se rapprocher des autorités locales qui peuvent par la suite remonter jusqu’au propriétaire de l’objet grâce à son numéro de série unique.
Également, la firme a une politique très claire en ce qui concerne la collaboration avec les forces de l’ordre : « chaque AirTag possède un numéro de série unique, et les AirTags jumelés sont associés à un identifiant Apple. Ainsi, Apple peut fournir les renseignements concernant le compte jumelé en cas d’assignation ou de requête valide émanant des forces de police. Et notre collaboration s’avère fructueuse, puisque les informations que nous avons fournies ont permis à plusieurs reprises de remonter jusqu’à l’auteur d’un délit, de l’arrêter et de l’inculper ».
Mais de telles problématiques ne sont pas nouvelles. Des condamnations régulières, bien souvent dans le cadre de violences conjugales, ont montré que des traceurs GPS, des boîtiers de suivi à distance de la position – appareils qui existent depuis au moins quinze ans –, sont parfois ainsi détournés de leur usage.
Par conséquent, qu’il s’agisse de l’usage malveillant de traceurs GPS ou de boîtiers de suivi à distance, les harceleurs peuvent en tout état de cause être condamnés.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle accompagne ses clients dans la gestion préventive du risque cyber ainsi que dans les réponses juridiques à apporter en cas de crise. Pour en savoir plus, rendez-vous ici.