Les mouvements d'un smartphone posent un problème de sécurité

Florian Innocente |

Apple s'est attaquée en début d'année dernière à une faille de sécurité dans iOS pour le moins originale puisqu'elle utilisait les différents capteurs de mouvements de l'iPhone. Les chercheurs à l'origine de la découverte n'en ont publié les détails que cette semaine.

Une équipe de l'université de Newcastle emmenée par le Dr. Maryam Mehrnezhad a pu démontrer que l'on pouvait deviner un code PIN à quatre chiffres tapé par un utilisateur en analysant les mouvements du téléphone. Un code PIN qui serait utilisé pour déverrouiller son smartphone ou s'identifier auprès d'un service en ligne.

La procédure a d'abord consisté à inviter l'utilisateur à cliquer sur un lien - du phishing très classique — pour ouvrir une page contenant un code JavaScript. Cette page restera en arrière-plan (selon les interfaces des navigateurs il y a différents moyens de rendre sa présence discrète). Ce code saura ensuite intercepter les informations que vous tapez dans une autre page affichée au premier plan.

La page web masquée contenant le code malveillant peut solliciter les différents capteurs de mouvement du téléphone pour repérer quels endroits à l'écran sont tapés. Le taux de réussite était remarquable : de l'ordre de 74 % au premier essai puis 86 %, 94 % et 100 % au second, troisième et cinquième essai. Mieux, le programme pouvait fonctionner même après le verrouillage/déverrouillage du téléphone, et intercepter le code PIN utilisé à cet effet.

Pour apprendre à détecter les zones tapées, le système s'appuie sur un moteur que plusieurs cobayes ont préalablement alimenté en tapotant eux-même différentes combinaisons. Ainsi la reconnaissance a pu être optimisée et perfectionnée pour affronter différents cas de figure, comme la manière dont le téléphone bougeait.

Pour les auteurs de cette étude, cette capacité à utiliser les capteurs de mouvement est lourde d'implications. Ces capteurs sont devenus communs et pourtant les utilisateurs, dans leur grande majorité, en ignorent l'existence et le rôle. On en trouve dans tous les produits mobiles aujourd'hui jusqu'aux bracelets connectés.

Tapoter, faire défiler un contenu et tenir son téléphone… toutes ces actions laissent une trace dessinée par ces capteurs. Une signature particulière à chaque fois dont la collecte permettrait de recomposer assez précisément l'activité d'une personne au fil d'une journée, redoute Maryam Mehrnezhad.

Ensuite, si des correctifs ont été apportés par les principaux éditeurs de navigateurs, le problème n'est pas complètement réglé. Les systèmes d'exploitation ne demandent jamais à l'utilisateur l'autorisation d'utiliser les capteurs de mouvements. La liste des autorisations réclamées est déjà longue et c'en serait une de plus. Il faudrait aussi le faire au cas par cas. Après tout, une page web peut contenir un jeu qui a besoin de ces capteurs.

Il y a un an, Mozilla avait apporté un correctif dans Firefox sur mobiles pour éviter cette collecte. Apple l'a fait en janvier 2016 avec iOS 9.3, en modifiant WebKit pour qu'une vue web masquée ne puisse obtenir les mesures des capteurs. Quant à Google, il a déclaré à Popular Science avoir connaissance de ce risque dans Chrome mais aucun correctif n'a encore été mis au point, il y travaille…

Cliquer pour agrandir
Tags
#sécurité #capteurs de mouvements
avatar Powerdom | 

Décidément les malandrins sont très audacieux ! ?

avatar C1rc3@0rc | 

Non, il s'agit d'exploiter les idioties auxquels les developpeurs n'ont pas pense (par manque de temps)

« Il faudrait aussi le faire au cas par cas. Après tout, une page web peut contenir un jeu qui a besoin de ces capteurs. »

On tombe la sur une aberration totale. Une page WEB, sert un flux de données suite a une requete HTML. Il n'y a aucune raison qu'une page WEB balance un javascript qui va capter les mouvement de l'appareil. Si on veut proposer un jeu qui se base sur le mouvement, on le fait dans une application, pas un site WEB. A Apple de mettre les restrictions et de limiter les domaines d'exploitation a leur nature.

avatar Bigdidou | 

Dans le genre plus basique, ce qui m'a étonné sur Android, c'est le déverrouillage par un geste qui consiste à relier des points virtuels sur l'écran.
Je laissais de magnifiques traces de doigts sur l'écran de mon Xperia, vraiment très visibles à contre jour par rapport aux autres traces, et qui ne laissaient aucun doute à un voleur à la tire éventuel.
Alors peut-être que j'ai un sébum très particulier...
Après la faille de sécurité qui est décrite ici demande une mise en oeuvre très sophistiquée.
Et quand bien même, dans la situation décrite : un malandrin obtient mon code de déverrouillage à distance en me hameçonnant (aie). Et alors ?
Bon, ça pourrait fonctionner pour d'autres situations, mais je me demande bien dans quelles situations concrètes cette faille pourrait être "utilement" mise en oeuvre.

avatar House M.D. | 

@Bigdidou

Non, pas besoin de sébum particulier, c'est comme ça que j'ai "hacké" le smartphone de mon beau-frère devant ses yeux pour le taquiner...

avatar jerry75 | 

@Bigdidou

Je sais pas moi ton code de carte bleue par exemple non ?

avatar younes.msougar | 

Pour contrer cette faille, proposition de faire comme les banques avec un clavier numérique dont les chiffres changent de place à chaque fois et pourquoi pas tout le clavier.

avatar Domy | 

Bonjour,
Déjà que nos mots de passe sont en clair sur nos IPHONE et iPad leurs recherches ne sert à pas grand chose ^^
Je vous laisse fouiller vos imachines, ce n'est même pas caché.
-- Dom

avatar thebarty | 

@Domy

N'importe quoi ! Ils sont bien stockés en local, mais encryptés. Pour les voir en clair, il faut à nouveau s'authentifier.

avatar Domy | 

Oui, mais dans le cas qui nous préoccupe, l'info ci-dessus, ils ont déjà accès à l'iPhone.

Soit il n'y a pas de code, soit ils l'on. Et de toute façon c'est le code de l'appareil qui est demandé, pas l'identifiant Apple.

-- Dom

CONNEXION UTILISATEUR