Tech

Le Bluetooth, moins respectueux de la vie privée que la RFID ?

ActualitéClassé sous :Internet , technologie , bluetooth

Les périphériques Bluetooth peuvent être repérés, surveillés et suivis de manière bien plus efficace que les puces RFID qui ont pourtant davantage défrayé la chronique. Des chercheurs ont réalisé des tests...

"Fusil" Bluetooth

« Les réseaux sociaux sont partout. Il vous suffit de les découvrir à partir des multiples bases de données d'ores et déjà disponibles, ou que vos systèmes génèrent et collectent. » Vassilis Kostakos étudie les interactions homme-machine. Il aime tout particulièrement développer des systèmes ubiquitaires, engranger et analyser des données, notamment à partir des ordinateurs et téléphones qu'il a transformés en scanners Bluetooth, et installé dans la ville de Bath, en Grande-Bretagne.

Il participe également au projet collectif Crawdad d'agrégation des données sans fil à Dartmouth. Leur objectif est de comprendre, à partir de ces traces de mobilité, comment les « vrais gens, applications et outils utilisent véritablement les réseaux dans de vraies conditions, afin d'évaluer les vrais problèmes, de proposer d'éventuelles solutions et nouveaux services ».

L'été dernier, il lançait une application interfaçant Bluetooth et Facebook afin d'explorer les interactions entre les mondes réels et virtuels. Lancée depuis sur Second Life, elle permet de savoir, par exemple, qui sont les personnes, amis ou inconnus, avec qui vous passez le plus de temps pour de vrai.

Vassilis Kostakos fait aussi partie du projet de recherche CityWare, qui vise à étudier la faisabilité des systèmes ubiquitaires et des dispositifs de réalité augmentée en environnement urbain. En anglais, il appelle cela le urban computing, une expression difficilement traduisible en français : s'agit-il d'informatisation urbaine, d'urbadination (ou urbatique) ou encore, comme le propose Jean-Louis Fréchin de technologies ubiques et urbaines ?

Concrètement, Vassilis Kostakos participe ainsi à un projet de traçabilité à grande échelle combinant GPS, Bluetooth et autres capteurs afin de mesurer la réalité des déplacements des passagers dans la ville de Funchal, sur l'île de Madère. Et il s'est aussi intéressé aux modes de propagation d'un virus dans la ville, en regardant comment il se propageait de téléphones en téléphones via Bluetooth.

Le Bluetooth, plus dangereux que la RFID ?

On savait depuis longtemps Bluetooth sensible aux détournements d'usages (comme son concurrent NFC, d'ailleurs). Dans un article publié fin avril, Vassilis Kostakos se penche sur les implications, en matière de vie privée, de la technologie Bluetooth.

Pour cela, il part du constat que si, jusqu'ici, chercheurs, médias et associations de défense des libertés ou des consommateurs se sont surtout intéressés aux risques posés par la RFID, c'est bien la technologie Bluetooth qui s'est imposée au grand public et fait partie de notre vie quotidienne. L'analyse des scanners installés à Bath leur ainsi a permis d'identifier 10.000 périphériques en 6 mois, et de découvrir que 7,5% des passants avaient activé le module Bluetooth de leurs portables.

Si ces deux technologies ne visent pas les mêmes usages, les risques en matière de vie privée sont relativement similaires dans la mesure où elles sont toutes deux basées sur les notions d'identifiant unique et de mobilité. La différence est que les risques associés à la RFID sont potentiellement plus dommageables, à terme, alors que ceux liés au Bluetooth le sont dès aujourd'hui :

  • en moyenne, les puces RFID sont lisibles à 30 cm, contre 100 mètres pour le Bluetooth,
  • le volume de données contenues dans une puce est limité, alors qu'il n'existe pas de limites aux informations échangées via Bluetooth,
  • la RFID repose sur la distinction entre des puces placées sur des objets que seules, a priori, peuvent consulter les lecteurs installés par des entreprises, alors que le Bluetooth transforme tout individu en émetteur et récepteur,
  • la RFID concerne à ce jour essentiellement le seul secteur de la logistique, alors que le Bluetooth est partout,
  • il est possible, et prévu, de détruire les puces RFID, notamment au sortir des magasins, on ne peut que désactiver le Bluetooth et encore, temporairement seulement : une fois le périphérique identifié, il est possible de chercher à savoir lorsqu'il repasse à proximité même s'il est activé de manière furtive.

Vassilis Kostakos propose d'équiper les périphériques Bluetooth de molettes qui, à la manière de celles qui contrôlent le volume sonore de nos baladeurs, permettraient de limiter la puissance du signal. Il propose également de les équiper de logiciels qui, tout comme les outils de statistiques des sites web, enregistreraient qui s'est connecté à son périphérique, combien de fois, pendant combien de temps et pour y faire quoi.

« Je ne suis pas un numéro », disait Le prisonnier

Il remarque enfin que l'on n'a guère, à ce jour, recensé énormément d'attaques exploitant ces caractéristiques et fonctionnalités potentiellement dommageables. On notera cela dit que plusieurs logiciels proposent d'ores et déjà d'exploiter les vulnérabilités que l'on trouve dans certains téléphones Bluetooth ou d'en pirater les composants logiciels afin d'en usurper l'identité, d'en surveiller l'utilisation, d'accéder à des données sans autorisation, de les modifier, etc. Il existe même des fusils Bluetooth capables de capturer des données à plus de 1,5 kilomètre de distance...

Mais il y a peut-être pire pour la violation de la vie privée : la perspective de généraliser l'écoute via Bluetooth. Vassilis et son frère, Panos, chercheur spécialisé dans le terrorisme et le crime organisé, ont publié un autre article, 5 jours avant le précédent. Constatant qu'on trouve beaucoup d'étrangers dans les prisons d'Europe, et que certains s'en sont trouvés embrigadés par des militants islamistes, ils y expliquent pourquoi, et comment, il serait intéressant d'équiper les prisons, et leurs prisonniers, de périphériques Bluetooth afin de pouvoir mieux identifier leurs réseaux sociaux.

Pour leur démonstration, ils s'appuient sur les résultats des données enregistrées par Vassilis à Bath, ainsi que sur le campus universitaire qui lui sert de plateforme de test pour son application Facebook. Mais il n'est nulle part indiqué que les passants ont été informés que leurs périphériques Bluetooth et leurs déplacements étaient surveillés. De même, ceux qui installent l'application Facebook ne savent pas que leurs données sont exploitées par des universitaires, et encore moins qu'ils servent de cobayes pour un projet de prisons panoptiques Bluetooth. Pas de quoi, décidément, être rassuré.