Vous avez désactivé les services de localisation sur votre smartphone ? Si c’est le cas, alors l’accès à votre situation géographique au travers du réseau est en principe impossible. C’est du moins ce que l’on sait des bonnes pratiques de sécurité dans une société désormais hyper connectée, mais une publication va changer cette donne. D’après un papier de Sashank Narain, Triet D. Vo-Huu, Kenneth Block et Guevara Noubir – tous chercheurs à la Northeastern University – il est possible de déterminer la position de monsieur X même avec le GPS désactivé.
« Peu de gens sont conscients de ce problème. Principalement parce que quand nous pensons à la localisation, nous l’associons au GPS sur le téléphone », explique Sashank Narain. Ce qu’on oublie c’est que les smartphones sont munis de capteurs qui renvoient des paramètres comme la vitesse, la direction et l’angle de rotation. Les habitués du hardware de ces appareils savent qu’on fait respectivement référence à l’accéléromètre, au magnétomètre et au gyroscope.
« Le trajet d’un automobiliste par exemple peut être modélisé par une série de rotations effectuées chacune dans une direction et avec un certain angle. Nous faisons usage du magnétomètre pour observer la direction du déplacement. L’utilisation du gyroscope rend la mesure de la séquence d’angles de rotation possible. Quant à l’accéléromètre, il permet de savoir si le mobile se déplace ou il est à l’arrêt. En mesurant une séquence de rotations et en les imbriquant les unes à la suite des autres pendant que le déplacement a lieu, il est possible d’obtenir une carte des mouvements », expliquent les chercheurs.
Un cybercriminel est capable de parvenir à ces résultats en amenant une victime à télécharger une application qui, au premier abord, semble légitime, mais qui lance un service furtif de collecte des données en provenance des capteurs. Le problème majeur réside dans les permissions et, d’après ce qui ressort de la publication, les capteurs mentionnés font partie de ceux pour lesquels les applications ne requièrent pas d’autorisation du possesseur de l’appareil. Toutes les versions actuelles d’Android (à l’exclusion d’Android P) sont concernées par ces développements. D’après les chercheurs, le piratage peut également s’appliquer aux iPhones, car ils s’appuient sur un système de gestion des droits identique pour les capteurs.
Pour le moment, les techniques utilisées par les chercheurs fonctionnent mieux dans certaines villes. « Dans un ville comme Boston, qui a beaucoup de virages spécifiques et de routes très sinueuses, vous pouvez obtenir une précision allant jusqu’à 50 % de l’emplacement de l’utilisateur dans les cinq premiers résultats de recherche. Dans le cas d’un lieu comme Manhattan, qui s’apparente plus à une grille, c’est beaucoup plus difficile », indique Sashank Narain.
« Si vous devez parcourir le même chemin tous les jours, la probabilité de deviner où vous vivez, où vous travaillez et quels sont les trajets que vous empruntez devient plus grande », dit-il, précisant ainsi que sur les parcours effectués avec répétitions la précision est de 90 %.
D’après les chercheurs, les résultats obtenus sont au-dessus de leurs attentes et de telles attaques devraient gagner en précision avec le temps à cause de la qualité des capteurs qui va croissant.
Sources : CNBC