Observations et analyses

1/ La plupart des adresses détectées au fil des observations -environ 1300- sont clairement identifiées par l'analyseur Wireshark. Cependant, une vingtaine sont “mystérieuses”.

Les principales sources détectées sont :

1. appareil Apple (environ 85%)
2. application TousAntiCovid (environ 5%)
3. autres (adresses BR/EDR (“public”) : étiquette de smartphone, appareil audio…)

2/ Dans de nombreux cas, l'émission d'un PKM par un iPhone (“balise”) ne s'accompagne pas de l'émission de l'étiquette du smartphone. On ne détecte donc pas le smartphone en tant que tel (caractérisé par : signal type BR/EDR et mention “Major class : Phone” .. Minor Class : Smartphone“).

3/ Une dizaine de rencontres avec des détenteurs d'iPhone m'a permis de conclure que l'indication de l'information Apple par Wireshark est fiable, c'est-à-dire que cette indication correspond bien à la présence d'un appareil Apple à proximité et que cet appareil est bien la source de l'adresse PKM. Lien entre iPhone et signal Apple_Inc - discussion avec un passant (vidéo - 10').

4/ À propos des iPhone, il est important de noter que, à partir de la version 7 de l'iOS, une balise peut-être émise alors que la fonction BT semble éteinte.

En fait, sur ces appareils il y a 2 niveaux d'activation du BT :

1. Un “gros” bouton qui active le BT Classique et rend l'échange de fichiers possibles (connexion avec une enceinte, une imprimante…). Lorsque cette fonction est activée, l'étiquette nominative est visible par les appareils alentours pendant quelques secondes puis n'est plus diffusée (même si le BT Classique est toujours activé).
2. Si ce 1er bouton est “off”, il n'y a plus de BT Classique mais des émissions en BT LE sont toujours possibles. Il faut se rendre dans les paramètres pour sélectionner les émissions autorisées.

Comment désactiver totalement Wi-Fi & Bluetooth sur iOS11 (UFC Que Choisir - octobre 2017 - 1')

Il semblerait aussi que, à partir de la version 11, les émissions BT LE soient possibles même en “Mode Avion” !

5/ Pour la vingtaine d'adresses “mystérieuses”, l'analyseur n'apporte aucune information de type constructeur et/ou UUID.

Cependant, l'analyse de 5 situations différentes indique que, à chaque fois qu'une adresse mystérieuse est détectée, au moins deux autres adresses identifiées Apple sont détectées. Dans les deux situations où il a été possible d'interroger la personne “source”, celle-ci a déclaré porter une montre connectée Apple Watch.

Vidéo qui récapitule l'ensemble de la démarche depuis août 2021 (43') Les observations et analyses pointant vers les Apple Watch sont présentées à partir de 26'.

• Observation sur la Petite Ceinture, entre rue Didot et rue des Plantes (XIVe).
• Équipe de 2 personnes, ce qui facilite la rencontre avec les passants “suspects”.

• Un homme source d'adresses mystérieuses passe à 17h14. Il accepte de discuter un peu. Il possède un iPhone 13 et accepte de l'éteindre. Les adresses mystérieuses subsistent. Il nous dit qu'il a une Apple Watch. Il n'a pas proposé d'éteindre sa montre et nous n'avons pas osé le lui demander : il avait trop l'air de vouloir reprendre son chemin !

• Après analyse des données et recoupement avec quatre autres situations d'adresses mystérieuses, il apparaît que ces adresses sont toujours corrélées à au moins 2 adresses Apple Inc.

Ainsi, il semblerait que les Apple Watch émettent une adresse identifiée Apple Inc. mais aussi une voire deux adresses non identifiées.

• Données de capture Wireshark
• Analyse des données collectées (.ods)
• Recapitulatif de 5 sessions avec cas mystères (.ods)

• Observations en situation de foule (carrefour d'Alésia - Paris XIVe) et en situation de passage “au compte-gouttes” (Petite Ceinture - Jean Moulin - Paris XIVe).

Environ 1300 adresses différentes ont été captées. Pour 563 d'entre elles, plus de 3 paquets ont été reçus. Dans ce lot, 8 adresses sont restées non identifiables (soit 1,4%) malgré une douzaine de paquets reçus pour certaines, sur des plages d'1 à 2 minutes.

La prochaine étape est de parvenir à être suffisamment réactif et audacieux pour interpeller la personne “émettrice” afin d'éclaircir la source de l'adresse mystérieuse.

Plus de détails (pdf - 6 pages)

• Étude avec passage aléatoire :
  • PCJM (Petite Ceinture - Jean Moulin - Paris XIVe) : plus de détails...

• Études sans passage ni autre personnes :
  • Atelier : plus de détails...

• Analyse des données récoltées lors de l'expérience de Cognac-la-Forêt en octobre 2021:

Mentionné pour l'historique de la démarche :

• Article qui expose quelques expériences menées au parc Montsouris (Paris XIVe).

Cet article a suscité de nombreuses réactions dont beaucoup d'interventions “trollesques”. Ici une sélection des commentaires les plus constructifs.