Quelques lignes de code insérées dans un site Web suffiraient à identifier un terminal mobile qui s’y connecte grâce à la signature de son accéléromètre. Démonstration à l’appui, des chercheurs de l’université Stanford prouvent que ces capteurs produisent de légères erreurs qui sont uniques et mesurables. Hristo Bojinov, l’un des chercheurs à l’origine de cette découverte livre ses analyses à Futura-Sciences.

au sommaire


    Pour réaliser le test mis au point par les chercheurs de Stanford, il faut se connecter avec son smartphone au site Sensor-id.com, puis poser le smartphone sur une surface plane, écran vers le haut. Lorsque le message « Please touch the screen, then flip the phone… » apparaît en rouge, il faut toucher l’écran puis le retourner face contre le support et attendre moins d’une minute. On constate alors que l’accéléromètre ne produit pas les valeurs exactes de la gravité terrestre. © Marc Zaffagni, Futura-Sciences

    Pour réaliser le test mis au point par les chercheurs de Stanford, il faut se connecter avec son smartphone au site Sensor-id.com, puis poser le smartphone sur une surface plane, écran vers le haut. Lorsque le message « Please touch the screen, then flip the phone… » apparaît en rouge, il faut toucher l’écran puis le retourner face contre le support et attendre moins d’une minute. On constate alors que l’accéléromètre ne produit pas les valeurs exactes de la gravité terrestre. © Marc Zaffagni, Futura-Sciences

    On connaissait déjà l'utilisation des cookies et des applicationsapplications mobiles pour collecter des données utilisateurs en vue de proposer des publicités très ciblées. Voici maintenant que les accéléromètres, des capteurscapteurs présents dans tous les smartphones, pourraient être facilement exploités pour identifier un terminal sans même que son propriétaire ne s'en aperçoive. Une équipe de chercheurs du Security Lab de l'université américaine Stanford a fait cette découverte et compte publier ses travaux dans les prochains mois.

    Dans un smartphone, l'accéléromètre sert à mesurer l'accélération linéaire en trois dimensions, ce qui permet de contrôler l'orientation de l'affichage en mode portrait (vertical) ou paysage (horizontal). Or, il se trouve que chaque accéléromètre génère d'infimes erreurs qui lui sont propres et qui peuvent servir à identifier un smartphone. Il suffirait de quelques lignes de code ajoutées à un site Internet pour récolter ces données à des fins publicitaires, voire de surveillance... Une histoire qui n'est pas sans rappeler la démonstration faite récemment par des chercheurs du MIT et du Georgia Institute of Technology qui ont trouvé le moyen d'utiliser l'accéléromètre d'un smartphone placé près d'un clavier d'ordinateur pour enregistrer ce qu'une personne tape.

     Récemment, une équipe de chercheurs du MIT et du <em>Georgia Institute of Technology</em> a démontré qu’il était possible d’utiliser l’accéléromètre d’un smartphone pour enregistrer ce qu’une personne tape sur le clavier d’un ordinateur. Dans ce cas, comme dans celui décrit par les chercheurs de Stanford, il n’existe actuellement pas de parade technique. © <em>MIT Lincoln Laboratory</em>, <em>Georgia Tech Information Security Center</em>

    Récemment, une équipe de chercheurs du MIT et du Georgia Institute of Technology a démontré qu’il était possible d’utiliser l’accéléromètre d’un smartphone pour enregistrer ce qu’une personne tape sur le clavier d’un ordinateur. Dans ce cas, comme dans celui décrit par les chercheurs de Stanford, il n’existe actuellement pas de parade technique. © MIT Lincoln Laboratory, Georgia Tech Information Security Center

    Les données des accéléromètres accessibles sur le Web

    « Tous les capteurs ont des défauts qui sont mesurables. Cependant, certains sont plus facilement mesurables dans des conditions "normales". L'accéléromètre est particulièrement pratique, car ses données sont accessibles à des applications Web, sans avertissement ni approbation de l'utilisateur, et les valeurs qu'il livre quand il est au repos sont bien connues >», a expliqué à Futura-Sciences Hristo Bojinov, doctorant en informatique de l'équipe de Stanford et qui travaille sur ce sujet depuis environ un an.

    Lorsque le smartphone est immobile, l'accéléromètre devrait seulement capter la gravitationgravitation terrestre et produire des données correspondant à cette référence, soit -1 lorsqu'il est posé à plat face vers le haut et 1 lorsqu'il est posé face contre le support. Pour démontrer que les choses ne se passent pas ainsi, les chercheurs du Security Lab ont développé une application JavaScript qui s'exécute lorsque l'on se connecte sur le site Web Sensor-id.com, spécialement créé pour l'occasion.

    L'essai que nous avons réalisé en utilisant un SamsungSamsung Galaxy Nexus a produit un -0,203723... face vers le haut et 1,003416... face vers le bas. Une signature unique et aisément récoltable à l'insu de l'utilisateur du mobile. Les chercheurs précisent que si la démonstration implique une manipulation du smartphone, un script JavaJava de ce type pourrait être inséré dans un site Web de façon transparente pour l'internaute. Ils ont même travaillé sur une solution technique permettant de récolter ces données lorsque le terminal bringuebale comme lorsqu'il est dans une poche ou un sac. « Le mécanisme peut être décrit comme un "cookie matériel" qui ne peut pas être effacé par l'utilisateur », estime Hristo Bojinov et d'ajouter « qu'il serait étonnant que les annonceurs n'aient pas déjà pensé à exploiter un tel outil ».

    Pas encore de parade pour sécuriser les accéléromètres

    Quid d'un usage malveillant ? « Bien qu'un criminel ne puisse pas s'introduire dans un téléphone par ce biais, il a à sa disposition un outil supplémentaire pour pister des victimes potentielles qui visitent un site Internet piégé », répond le chercheur. Ajoutons que cette faille pourrait également être exploitée à des fins de surveillance par des États ou des agences gouvernementales, qui s'appuieraient sur leurs législations en matièrematière d'écoute numérique pour obtenir les données des accéléromètres auprès des sites Web.

    Dès lors, existe-t-il une parade efficace ? Hristo Bojinov avance une solution. « Les terminaux pourraient être livrés avec des capteurs qui seraient précalibrés ou alors le système d'exploitationsystème d'exploitation pourrait faire ce calibragecalibrage avant d'émettre les données. En complément de cela, les navigateurs Internet pourraient avertir les usagers qu'une application Web tente d'obtenir les données de l'accéléromètre. » Des mesures qui dépendent du bon vouloir des fabricants et des éditeurs... Sauf si une législation est invoquée pour encadrer cette pratique.