Smartphones : Le rôle des capteurs inquiète serieusement les experts en sécurité

Sur le web

Par Henri le

Qui dit smartphone dit terminal informatique. La croissance exponentielle des ventes de ses derniers laisse donc transparaitre d’importants problèmes de sécurité. Mais pas toujours où l’on croit.

Les milliards de smartphones en circulation dans le monde représentent un petit paradis pour les hackeurs. Et le développement des technologies qui les composent autant de nouvelles passerelles pour y accéder. On a tendance à se focaliser sur les claviers virtuels ou les capteurs photo de nos appareils, mais d’autres éléments sont tout aussi vulnérables.

C’est ce que nous apprend l’International Journal of Information Security (via EurekAlert!) dans un article rédigé par des experts en cybersécurité de l’Université de Newcastle. On y apprend que les capteurs sont également une belle porte d’entrée vers nos terminaux. Nos smartphones en sont truffés et l’étude de leur activation peut par exemple permettre à trouver un code PIN ou un mot de passe.

Inspection des faits et gestes

Il suffit pour cela d’analyser des algorithmes de prédiction qui peuvent calculer les variations enregistrées par ces capteurs lorsque l’on tape sur l’écran. Le résultat est efficace puisque 70 % des codes PIN à 4 chiffres sont déchiffrés au premier essai, et la totalité au cinquième.

Un grand nombre de nos smartphones disposent d’au moins une vingtaine de capteurs différents. Ces derniers permettent un suivi assez précis des faits et gestes du porteur. Maryam Mehrnezhad, qui a coécrit l’étude, explique la méconnaissance des gens sur la question.

« Au-delà des bien connus GPS, appareils photo ou puce NFC, il y a les accéléromètres, les gyroscopes, et bien d’autres capteurs. Si les applications mobiles et les sites Internet sont tenus de demander à l’utilisateur d’ouvrir un accès à certains de ces capteurs, c’est loin d’être le cas pour tous et cela peut constituer une porte d’entrée pour des codes malicieux afin de récupérer toutes sortes d’informations personnelles. Cela va des mouvements faits par le téléphone aux données de santé, en passant par les durées d’appels émis et reçus. (via Les Numériques) »

Un manque de communication flagrant

Elle signale également la dangerosité des applications laissées ouvertes dans le navigateur. Si ces derniers sont vérolés, il est tout à fait possible d’intercepter des données tapées par le clavier virtuel, même sur le site de certaines banques.

Mme Mehrnezhad se sert donc de cette étude pour interpeller les constructeurs qui ne parlent quasiment jamais sur cette multitude de capteurs. Elle estime qu’il serait parfaitement possible de perfectionner ces capteurs pour les sécuriser, et donne quelques exemples.

« Puisqu’il n’y a pas de standard dans l’industrie sur la manière dont il faudrait protéger les capteurs, il faudrait que nous choisissions par exemple de couper les ponts entre les capteurs et le navigateur Internet. »

Elle a par ailleurs tenté d’alerter les principaux navigateurs Internet mobiles, comme Mozilla, Safari ou Firefox, mais ils n’ont pas donné suites à ses demandes.

« C’est une bataille qui oppose le confort d’utilisation des terminaux et la richesse de leurs fonctions à la sécurité. »

Elle se dit également inquiète par le développement massif de « l’internet des objets », qui permet aux objets connectés de communiquer entre eux. Plusieurs principes de précautions sont donnés à la fin de l’article, et n’étonneront pas ceux qui se sont déjà intéressés à la question de la cybersécurité.

L’étude conseille de changer souvent ses codes PIN, de toujours fermer les programmes en tache de fond, de garder son téléphone (et ses applications) à jour et de n’utiliser que les stores officiels. Il est également précisé de toujours être attentif aux autorisations demandées par les applications avant leur installation.