Ouvrir le menu principal

iGeneration

Recherche

Les mouvements d'un smartphone posent un problème de sécurité

Florian Innocente

mercredi 12 avril 2017 à 18:00 • 9

iPhone

Apple s'est attaquée en début d'année dernière à une faille de sécurité dans iOS pour le moins originale puisqu'elle utilisait les différents capteurs de mouvements de l'iPhone. Les chercheurs à l'origine de la découverte n'en ont publié les détails que cette semaine.

Une équipe de l'université de Newcastle emmenée par le Dr. Maryam Mehrnezhad a pu démontrer que l'on pouvait deviner un code PIN à quatre chiffres tapé par un utilisateur en analysant les mouvements du téléphone. Un code PIN qui serait utilisé pour déverrouiller son smartphone ou s'identifier auprès d'un service en ligne.

La procédure a d'abord consisté à inviter l'utilisateur à cliquer sur un lien - du phishing très classique — pour ouvrir une page contenant un code JavaScript. Cette page restera en arrière-plan (selon les interfaces des navigateurs il y a différents moyens de rendre sa présence discrète). Ce code saura ensuite intercepter les informations que vous tapez dans une autre page affichée au premier plan.

La page web masquée contenant le code malveillant peut solliciter les différents capteurs de mouvement du téléphone pour repérer quels endroits à l'écran sont tapés. Le taux de réussite était remarquable : de l'ordre de 74 % au premier essai puis 86 %, 94 % et 100 % au second, troisième et cinquième essai. Mieux, le programme pouvait fonctionner même après le verrouillage/déverrouillage du téléphone, et intercepter le code PIN utilisé à cet effet.

Pour apprendre à détecter les zones tapées, le système s'appuie sur un moteur que plusieurs cobayes ont préalablement alimenté en tapotant eux-même différentes combinaisons. Ainsi la reconnaissance a pu être optimisée et perfectionnée pour affronter différents cas de figure, comme la manière dont le téléphone bougeait.

Pour les auteurs de cette étude, cette capacité à utiliser les capteurs de mouvement est lourde d'implications. Ces capteurs sont devenus communs et pourtant les utilisateurs, dans leur grande majorité, en ignorent l'existence et le rôle. On en trouve dans tous les produits mobiles aujourd'hui jusqu'aux bracelets connectés.

Tapoter, faire défiler un contenu et tenir son téléphone… toutes ces actions laissent une trace dessinée par ces capteurs. Une signature particulière à chaque fois dont la collecte permettrait de recomposer assez précisément l'activité d'une personne au fil d'une journée, redoute Maryam Mehrnezhad.

Ensuite, si des correctifs ont été apportés par les principaux éditeurs de navigateurs, le problème n'est pas complètement réglé. Les systèmes d'exploitation ne demandent jamais à l'utilisateur l'autorisation d'utiliser les capteurs de mouvements. La liste des autorisations réclamées est déjà longue et c'en serait une de plus. Il faudrait aussi le faire au cas par cas. Après tout, une page web peut contenir un jeu qui a besoin de ces capteurs.

Il y a un an, Mozilla avait apporté un correctif dans Firefox sur mobiles pour éviter cette collecte. Apple l'a fait en janvier 2016 avec iOS 9.3, en modifiant WebKit pour qu'une vue web masquée ne puisse obtenir les mesures des capteurs. Quant à Google, il a déclaré à Popular Science avoir connaissance de ce risque dans Chrome mais aucun correctif n'a encore été mis au point, il y travaille…

Cliquer pour agrandir

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Une nouvelle rumeur confirme qu’Apple travaillerait sur des iPhone et Mac pliants

08:28

• 14


L’iPad se plie, l’AirTag s’étend, et la Watch vous détend : la semaine d’Apple par Gurman

07:20


Promos : Station de recharge 2 en 1 Belkin à 39 € et disque dur LaCie 4 To à 136 €

15/12/2024 à 23:44

• 16


Apple Intelligence se fait étriller par la BBC

14/12/2024 à 22:30

• 167


Nos coups de cœur et nos coups de gueule 2024

14/12/2024 à 11:22


Apple sommée de retirer TikTok aux USA dès janvier

13/12/2024 à 20:45

• 121


Somfy : une mise à jour TaHoma a cassé les scènes HomeKit

13/12/2024 à 18:30

• 43


Promo : le mini chargeur de voyage 3-en-1 d’Anker à 75 € (-25 %)

13/12/2024 à 17:47

• 4


Le service de paiement Wero affiche déjà 8 millions de transactions pour 14 millions d'utilisateurs

13/12/2024 à 17:00

• 29


AirTag : United traquera les bagages perdus avec le partage de position d'iOS 18.2

13/12/2024 à 16:00

• 23


Resident Evil : Capcom supprime la connexion internet obligatoire et lance une série de promos

13/12/2024 à 11:43

• 18


USB-C : Apple va arrêter la vente des iPhone SE et iPhone 14 dans l'Union européenne

13/12/2024 à 10:23

• 45


Apple sortirait des nouvelles versions de l’Apple TV et du HomePod mini en 2025

13/12/2024 à 07:53

• 18


L’Apple TV serait le premier produit à étrenner la puce Wi-Fi de la pomme

12/12/2024 à 21:15

• 46


Avez-vous personnalisé les boutons de l'écran verrouillé d'iOS 18 ?

12/12/2024 à 18:15

• 85


La sortie morcelée d’iOS 18 ralentirait le développement d’iOS 19

12/12/2024 à 17:30

• 51