Des chercheurs de l’université de Cambridge sont capables d’espionner des utilisateurs en piratant les capteurs intégrés sur les iPhone et les smartphones Pixel fabriqués par Google. Du côté d’Apple, on a mis plusieurs mois à corriger la faille. Chez Android, on n’a pas encore réagi.
Une équipe de chercheurs de l’université de Cambridge, au Royaume-Uni, a découvert une technique qui permet de pister l’activité des utilisateurs sur leur smartphone ou tablette, aussi bien sur le web qu’au travers des applications. Cette technique, baptisée SensorID, ne nécessite aucune autorisation particulière, et se base sur le calibrage d’usine des capteurs de l’appareil.
Certains constructeurs calibrent les capteurs de leurs appareils mobiles dans l’usine afin d’en améliorer la précision. Cela concerne le gyroscope et le magnétomètre sur les appareils mobiles Apple et sur les appareils sous Android, plus l’accéléromètre sur ces derniers. Les chercheurs ont découvert qu’il était possible d’accéder aux informations de calibration sur tous ces appareils afin de créer un identifiant unique sans la moindre autorisation spéciale, et ce dès que l’appareil utilise une application ou qu’il visite un site web.
Une empreinte unique impossible à réinitialiser
Cet identifiant, une véritable empreinte de l’appareil, serait susceptible d’être utilisé notamment par les publicitaires afin de cibler leurs annonces. Il existe déjà certaines techniques qui créent des identifiants permettant de suivre les utilisateurs, mais SensorID présente la particularité d’être librement accessible aussi bien depuis une application que via un site web, et d’être impossible à modifier. Même une réinitialisation complète du smartphone n’affecte pas le calibrage d’usine.
À l’heure actuelle, les chercheurs n’ont pas connaissance d’une utilisation du SensorID pour pister les utilisateurs. Cependant, les informations de calibrage sont librement accessibles, et sont collectées par au moins 2.653 sites parmi les premiers 100.000 sites les plus visités dans le classement Alexa.
Pas encore exploitée par des pirates, cette faille a déjà été corrigé par Apple via une mise à jour disponible depuis mars. Côté Android, les Pixel fabriqués par Google seraient vulnérables. © SensorID
Une mise à jour pour iOS, Android toujours exposé
Apple calibrant systématiquement les capteurs des iPhone, iPad et iPod Touch, tous les appareils iOS récents sont concernés, à savoir les modèles d’iPhone depuis l’iPhone 5s, l’iPad Air et plus récent, ainsi que l’iPod Touch de 6e génération ou plus. Côté Android, cette pratique est beaucoup moins courante et concerne surtout des appareils plus haut de gamme.
Les chercheurs n’ont eu accès qu’à un petit nombre de smartphones Android, et la plupart n’était pas compatible avec cette technique. Ils ont pu cependant créer un identifiant unique avec les Pixel 2 et 3 de Google, et n’ont pas indiqué quels autres modèles ont été testés. Impossible donc de savoir pour l’instant quels appareils Android sont concernés en dehors des deux Pixel.
Les chercheurs ont averti, dès le mois d’août 2018, Apple qui a publié un correctif au mois de mars avec la mise à jour d’iOS 12.2. Il suffit donc de s’assurer d’avoir bien mis à jour son appareil pour être protégé. Google a été averti au mois de décembre 2018 et, pour l’instant, indique mener l’enquête, mais n’a pas encore publié de correctif. Impossible donc à l’heure actuelle pour les utilisateurs Android de savoir s’ils sont affectés, ni comment résoudre cette faille.
- Les fabricants calibrent les capteurs de leurs appareils mobiles afin d’en améliorer la précision.
- Il est possible de créer un identifiant de ses données pour suivre et espionner les utilisateurs.
- Apple a corrigé la faille. Google enquête toujours.