Les milliards de smartphones en circulation dans le monde représentent un petit paradis pour les hackeurs. Et le développement des technologies qui les composent autant de nouvelles passerelles pour y accéder. On a tendance à se focaliser sur les claviers virtuels ou les capteurs photo de nos appareils, mais d’autres éléments sont tout aussi vulnérables.
C’est ce que nous apprend l’International Journal of Information Security (via EurekAlert!) dans un article rédigé par des experts en cybersécurité de l’Université de Newcastle. On y apprend que les capteurs sont également une belle porte d’entrée vers nos terminaux. Nos smartphones en sont truffés et l’étude de leur activation peut par exemple permettre à trouver un code PIN ou un mot de passe.
Inspection des faits et gestes
Il suffit pour cela d’analyser des algorithmes de prédiction qui peuvent calculer les variations enregistrées par ces capteurs lorsque l’on tape sur l’écran. Le résultat est efficace puisque 70 % des codes PIN à 4 chiffres sont déchiffrés au premier essai, et la totalité au cinquième.
Un grand nombre de nos smartphones disposent d’au moins une vingtaine de capteurs différents. Ces derniers permettent un suivi assez précis des faits et gestes du porteur. Maryam Mehrnezhad, qui a coécrit l’étude, explique la méconnaissance des gens sur la question.
« Au-delà des bien connus GPS, appareils photo ou puce NFC, il y a les accéléromètres, les gyroscopes, et bien d’autres capteurs. Si les applications mobiles et les sites Internet sont tenus de demander à l’utilisateur d’ouvrir un accès à certains de ces capteurs, c’est loin d’être le cas pour tous et cela peut constituer une porte d’entrée pour des codes malicieux afin de récupérer toutes sortes d’informations personnelles. Cela va des mouvements faits par le téléphone aux données de santé, en passant par les durées d’appels émis et reçus. (via Les Numériques) »
Un manque de communication flagrant
Elle signale également la dangerosité des applications laissées ouvertes dans le navigateur. Si ces derniers sont vérolés, il est tout à fait possible d’intercepter des données tapées par le clavier virtuel, même sur le site de certaines banques.
Mme Mehrnezhad se sert donc de cette étude pour interpeller les constructeurs qui ne parlent quasiment jamais sur cette multitude de capteurs. Elle estime qu’il serait parfaitement possible de perfectionner ces capteurs pour les sécuriser, et donne quelques exemples.
« Puisqu’il n’y a pas de standard dans l’industrie sur la manière dont il faudrait protéger les capteurs, il faudrait que nous choisissions par exemple de couper les ponts entre les capteurs et le navigateur Internet. »
Elle a par ailleurs tenté d’alerter les principaux navigateurs Internet mobiles, comme Mozilla, Safari ou Firefox, mais ils n’ont pas donné suites à ses demandes.
« C’est une bataille qui oppose le confort d’utilisation des terminaux et la richesse de leurs fonctions à la sécurité. »
Elle se dit également inquiète par le développement massif de « l’internet des objets », qui permet aux objets connectés de communiquer entre eux. Plusieurs principes de précautions sont donnés à la fin de l’article, et n’étonneront pas ceux qui se sont déjà intéressés à la question de la cybersécurité.
L’étude conseille de changer souvent ses codes PIN, de toujours fermer les programmes en tache de fond, de garder son téléphone (et ses applications) à jour et de n’utiliser que les stores officiels. Il est également précisé de toujours être attentif aux autorisations demandées par les applications avant leur installation.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Garder son téléphone à jour relève de l’impossible pour un utilisateur lambda qui a un téléphone de 2 ans… les constructeurs ne les maintiennent plus, ce qui est très mauvais à la fois en terme de sécurité (failles non comblées) et d’écologie (obsolescence programmée)
« Puisqu’il n’y a pas de standard dans l’industrie sur la
manière dont il faudrait protéger les capteurs, il faudrait que nous
choisissions par exemple de couper les ponts entre les capteurs et le
navigateur Internet. »
On est justement en train de faire l’inverse, on standardise l’accès aux capteurs pour les navigateurs, ça s’appelle les API ! Et en plus c’est déjà sécurisé pour un paquet de capteurs. Le GPS par exemple, ton navigateur te préviens que le site souhaite accéder à ta position, libre à toi de l’autoriser ou non. Et jusqu’à preuve du contraire cette sécurité n’a toujours pas été craquée.
Ces pseudo experts en sécurité qui veulent vous expliquer quoi faire alors qu’ils n’ont visiblement jamais réellement utilisé la technologie et n’y comprennent rien… ça sert vraiment à rien de relayer des tocards pareil. Comment tu fais pour développer une webapp sans l’accès à la plupart des capteurs ? Réponse simple : tu peux pas. Et tu développes une énième application native qu’il faut réécrire au complet en fonction des OS… Bref l’inverse totale de la mouvance actuelle qui veut simplifier les choses et permettre au navigateur d’être la plate-forme centrale et standard.