Votre micro-ondes vous espionne-t-il ? Probablement pas, mais votre téléphone peut le faire
Les pirates utilisent les composants de votre téléphone pour connaître votre code PIN
De nouvelles recherches montrent que les pirates peuvent utiliser les composants de votre téléphone pour connaître votre code PIN (et potentiellement plus) assez simplement. Alors comment votre téléphone peut-il être utilisé pour vous espionner, et que pouvez-vous faire à ce sujet ?
Que se passe-t-il donc ? Ferragus Labrosse nous explique le contexte :
Le but des codes PIN et des mots de passe est de protéger votre appareil ou votre compte contre l’accès par quelqu’un d’autre. Vous pouvez penser que mettre un code PIN sur votre téléphone est un excellent moyen d’empêcher les pirates… d’accéder à votre téléphone, mais… votre téléphone peut déjà vous avoir trahi.
Comment peut-il faire ça ?
Une étude de l’Université de Newcastle affirme que les pirates peuvent craquer votre mot de passe ou votre code PIN en se basant sur le mouvement de votre smartphone pendant la frappe…Les experts affirment que pendant l’étude, ils ont réussi à craquer des PIN à quatre chiffres avec une précision de 70% au premier essai, et à les faire deviner à la cinquième tentative, en ne se basant sur rien d’autre que les données collectées par les capteurs de mouvement et d’orientation.
C’est troublant.
Comment les pirates peuvent-ils utiliser les capteurs pour déterminer votre code PIN ?
Étant donné que la plupart des applications et des sites Web n’ont pas besoin d’autorisations spéciales pour accéder aux capteurs de mouvement et d’orientation de l’appareil, les pirates malveillants pourraient « écouter » les données des capteurs sans que vous le sachiez…
Étant donné que chaque mouvement (tapotement, défilement, pression longue) vous amène à tenir votre appareil d’une manière unique, les pirates pourraient potentiellement utiliser.
➺ Selon les chercheurs, à moins que vous ne fermiez complètement l’application ou le site Web qui contient les codes malveillants, les pirates pourraient vous espionner même lorsque votre téléphone est verrouillé.
Le problème va au-delà de la vulnérabilité technologique
Les utilisateurs ont une mauvaise compréhension des menaces de sécurité auxquelles ils sont confrontés et ne savent pas ce que font la plupart des capteurs de leurs téléphones.
Ils sont plus préoccupés par l’espionnage par le GPS ou l’appareil photo de leur téléphone.
Bien que l’industrie soit consciente des problèmes de sécurité, il n’existe actuellement aucune solution réelle
Une solution partielle a été mise au point par certaines sociétés de navigateurs mobiles, mais il reste encore à trouver une réponse complète qui ne reviendrait pas à refuser purement et simplement aux navigateurs mobiles l’accès à certaines données.
Que peuvent donc faire les utilisateurs pour se protéger ?
Quelques suggestions :
- Assurez-vous de changer régulièrement vos codes PIN et vos mots de passe
- Fermez les applications en arrière-plan lorsque vous ne les utilisez pas
- Désinstallez les applications dont vous n’avez plus besoin
- Maintenez le système d’exploitation et les applications de votre téléphone à jour
- N’installez que des applications provenant de magasins d’applications agréés
- Vérifiez les autorisations dont disposent les applications
- Examinez les autorisations demandées par les applications avant de les installer
- Choisissez des alternatives avec des autorisations plus raisonnables si nécessaire
Si toutes ces suggestions vous semblent plus difficiles à mettre en œuvre qu’elles n’en valent la peine, il est peut-être préférable de s’en tenir à l’utilisation de solutions plus solides que les codes PIN, comme les mots de passe ou l’authentification par empreinte digitale, et d’oublier l’utilisation des codes PIN pour quoi que ce soit.
➺ Mise en garde
Il existe des applications-espionnes qu’un de vos proches peut installer de manière invisible dans votre téléphone.
Elles rappatrient ensuite vos mots de passe mais aussi vos discussions sur les réseaux sociaux et vos SMS/MMS.
- Cette application est la plus sûre d’entre toutes.
- Celle-là peut en plus enregistrer vos communications téléphoniques, mais uniquement sur un Android rooté.
Surveillance en déplacement
Vos téléphones sont bourrés de capteurs
Les appareils mobiles sont des cibles parfaites pour identifier une direction inattendue. Ils sont bourrés de capteurs, comprenant généralement au moins :
- un accéléromètre
- un gyroscope
- un magnétomètre
- un baromètre
- jusqu’à quatre microphones
- un ou deux appareils photo
- un thermomètre
- un podomètre
- un capteur de lumière
- et un capteur d’humidité
Les applications peuvent accéder à la plupart de ces capteurs sans demander l’autorisation de l’utilisateur.
En combinant les relevés de deux ou plusieurs appareils, il est souvent possible de faire des choses auxquelles les utilisateurs, les concepteurs de téléphones et les créateurs d’applications ne s’attendent pas forcément.
Dans le cadre d’un projet récent, nous avons mis au point une application capable de déterminer les lettres qu’un utilisateur tape sur le clavier à l’écran d’un téléphone portable, sans lire les entrées du clavier. Nous avons simplement combiné les informations provenant du gyroscope et des microphones du téléphone.
Une application capable de déterminer les lettres qu’un utilisateur tape sur le clavier à l’écran
Lorsqu’un utilisateur tape sur l’écran à différents endroits, le téléphone lui-même tourne légèrement d’une manière qui peut être mesurée par les gyroscopes micromécaniques à trois axes présents dans la plupart des téléphones actuels.
De plus, le fait d’appuyer sur l’écran d’un téléphone produit un son qui peut être enregistré par chacun des multiples microphones du téléphone.
Une pression proche du centre de l’écran ne déplacera pas beaucoup le téléphone, atteindra les deux microphones en même temps et aura un son à peu près identique pour tous les microphones.
En revanche, une pression sur le bord inférieur gauche de l’écran fera pivoter le téléphone vers la gauche et vers le bas, elle atteindra le microphone gauche plus rapidement, et elle sera plus forte pour les microphones situés près du bas de l’écran et plus faible pour les microphones situés ailleurs sur l’appareil.
En traitant les données relatives au mouvement et au son, nous avons pu déterminer la touche sur laquelle l’utilisateur avait appuyé, et nous avons eu raison dans plus de 90 % des cas.
Ce type de fonction pourrait être ajouté secrètement à n’importe quelle application et pourrait passer inaperçu pour l’utilisateur.
Identifier un lieu
Nous nous sommes ensuite demandé si une application malveillante pouvait déduire la localisation d’un utilisateur
Notamment son lieu de résidence et de travail, ainsi que les itinéraires qu’il emprunte, autant d’informations que la plupart des gens considèrent comme très privées.
Nous avons voulu savoir si la localisation d’un utilisateur pouvait être identifiée en utilisant uniquement des capteurs qui ne nécessitent pas l’autorisation de l’utilisateur.
- L’itinéraire emprunté par un conducteur, par exemple, peut être simplifié en une série de virages, chacun dans une certaine direction et avec un certain angle.
- Dans une autre application, nous avons utilisé la boussole du téléphone pour observer le sens de la marche d’une personne.
- Cette application a également utilisé le gyroscope du téléphone, mesurant la séquence des angles de virage de l’itinéraire parcouru par l’utilisateur. Et l’accéléromètre indiquait si l’utilisateur était à l’arrêt ou en mouvement.
En mesurant une séquence de virages, et en les enchaînant au fur et à mesure qu’une personne se déplace, nous pouvions établir une carte de ses mouvements.
Une approche similaire pourrait être utilisée pour déterminer dans quelle ville se trouve une personne
Imaginons que nous observions une personne à Villepinte (93) qui se dirige vers le sud-ouest, qui tourne à 100 degrés vers la droite, qui fait un demi-tour brusque vers la gauche pour se diriger vers le sud-est, qui tourne légèrement vers la droite, qui continue tout droit, puis qui suit une courbe peu profonde vers la gauche, qui fait un rapide jogging vers la droite, qui monte et descend plus que d’habitude sur une route, qui tourne à 55 degrés vers la droite et qui tourne à 97 degrés vers la gauche, puis qui fait une légère courbe vers la droite avant de s’arrêter.
Nous avons développé un algorithme pour comparer ces mouvements à une carte numérisée des rues de la ville dans laquelle se trouve l’utilisateur et déterminer les itinéraires les plus probables qu’une personne pourrait emprunter. Ces mouvements ont permis d’identifier un itinéraire partant de Aulnay-Sous-Bois, longeant les fagnes de la Seine-Saint-Denis, passant devant le Conservatoire et arrivant à l’Université de Cergy Pontoise.
➺ Nous avons même pu affiner notre algorithme en y incorporant des informations sur les courbes des routes et les limitations de vitesse pour aider à réduire les options
Nous avons produit nos résultats sous la forme d’une liste de chemins possibles classés en fonction de la probabilité que l’algorithme pense qu’ils correspondent à l’itinéraire réel.
Dans la moitié des cas environ, dans la plupart des villes que nous avons testées, le chemin réel suivi par l’utilisateur figurait parmi les dix premiers éléments de la liste.
En affinant les données cartographiques, les relevés des capteurs et l’algorithme de correspondance, nous pourrions améliorer considérablement notre précision. Encore une fois, ce type de capacité pourrait être ajouté à n’importe quelle application par un développeur malveillant, permettant ainsi à des applications d’apparence innocente d’espionner leurs utilisateurs.
Comment les attaques par canal latéral peuvent être utilisées pour révéler diverses informations privées ?
Par exemple, en mesurant la façon dont un téléphone bouge lorsque son propriétaire marche :
- on pourrait connaître l’âge d’une personne
- savoir si elle est un homme (avec le téléphone dans une poche)
- ou une femme (généralement avec le téléphone dans un sac à main)
- ou même obtenir des informations sur la santé d’une personne
- comme sa stabilité ou la fréquence à laquelle elle trébuche
Nous supposons qu’il y a d’autres informations que votre téléphone peut révéler à un fouineur, et nous espérons découvrir ce qu’il faut faire, et comment, pour se protéger contre ce type d’espionnage.
Est-il possible de savoir comment j peux utilisé ce logi pour midi espi
Contactez directement le support officiel ici pour connaître toutes les compatibilités du soft.
Bon je réagis en premier : installé et ça marche correctement, merci.