Des chercheurs de l'université de Cambridge sont capables d'espionner des utilisateurs en piratant les capteurs intégrés sur les iPhone et les smartphones Pixel fabriqués par Google. Du côté d'Apple, on a mis plusieurs mois à corriger la faille. Chez Android, on n'a pas encore réagi.

au sommaire

    Une équipe de chercheurs de l'université de Cambridge, au Royaume-Uni, a découvert une technique qui permet de pister l'activité des utilisateurs sur leur smartphone ou tablette, aussi bien sur le web qu'au travers des applicationsapplications. Cette technique, baptisée SensorID, ne nécessite aucune autorisation particulière, et se base sur le calibrage d'usine des capteurscapteurs de l'appareil.

    Certains constructeurs calibrent les capteurs de leurs appareils mobiles dans l'usine afin d'en améliorer la précision. Cela concerne le gyroscope et le magnétomètremagnétomètre sur les appareils mobiles AppleApple et sur les appareils sous AndroidAndroid, plus l'accéléromètre sur ces derniers. Les chercheurs ont découvert qu'il était possible d'accéder aux informations de calibration sur tous ces appareils afin de créer un identifiant unique sans la moindre autorisation spéciale, et ce dès que l'appareil utilise une application ou qu'il visite un site web.

    Une empreinte unique impossible à réinitialiser

    Cet identifiant, une véritable empreinte de l'appareil, serait susceptible d'être utilisé notamment par les publicitaires afin de cibler leurs annonces. Il existe déjà certaines techniques qui créent des identifiants permettant de suivre les utilisateurs, mais SensorID présente la particularité d'être librement accessible aussi bien depuis une application que via un site web, et d'être impossible à modifier. Même une réinitialisation complète du smartphone n'affecte pas le calibrage d'usine.

    À l'heure actuelle, les chercheurs n'ont pas connaissance d'une utilisation du SensorID pour pister les utilisateurs. Cependant, les informations de calibrage sont librement accessibles, et sont collectées par au moins 2.653 sites parmi les premiers 100.000 sites les plus visités dans le classement Alexa.

    Pas encore exploitée par des pirates, cette faille a déjà été corrigé par Apple via une mise à jour disponible depuis mars. Côté Android, les Pixel fabriqués par Google seraient vulnérables. © SensorID

    Une mise à jour pour iOS, Android toujours exposé

    Apple calibrant systématiquement les capteurs des iPhone, iPad et iPod Touch, tous les appareils iOSiOS récents sont concernés, à savoir les modèles d'iPhone depuis l'iPhone 5s, l'iPad AirAir et plus récent, ainsi que l'iPod Touch de 6e génération ou plus. Côté Android, cette pratique est beaucoup moins courante et concerne surtout des appareils plus haut de gamme.

    Les chercheurs n'ont eu accès qu'à un petit nombre de smartphones Android, et la plupart n'était pas compatible avec cette technique. Ils ont pu cependant créer un identifiant unique avec les Pixel 2 et 3 de GoogleGoogle, et n'ont pas indiqué quels autres modèles ont été testés. Impossible donc de savoir pour l'instant quels appareils Android sont concernés en dehors des deux PixelPixel.

    Les chercheurs ont averti, dès le mois d'août 2018, Apple qui a publié un correctif au mois de mars avec la mise à jour d’iOS 12.2. Il suffit donc de s'assurer d'avoir bien mis à jour son appareil pour être protégé. Google a été averti au mois de décembre 2018 et, pour l'instant, indique mener l'enquête, mais n'a pas encore publié de correctif. Impossible donc à l'heure actuelle pour les utilisateurs Android de savoir s'ils sont affectés, ni comment résoudre cette faille.