Des chercheurs de l'université de Cambridge sont capables d'espionner des utilisateurs en piratant les capteurs intégrés sur les iPhone et les smartphones Pixel fabriqués par Google. Du côté d'Apple, on a mis plusieurs mois à corriger la faille. Chez Android, on n'a pas encore réagi.

Cela vous intéressera aussi

Une équipe de chercheurs de l'université de Cambridge, au Royaume-Uni, a découvert une technique qui permet de pister l'activité des utilisateurs sur leur smartphone ou tablettetablette, aussi bien sur le webweb qu'au travers des applicationsapplications. Cette technique, baptisée SensorID, ne nécessite aucune autorisation particulière, et se base sur le calibragecalibrage d'usine des capteurscapteurs de l'appareil.

Certains constructeurs calibrent les capteurs de leurs appareils mobiles dans l'usine afin d'en améliorer la précision. Cela concerne le gyroscope et le magnétomètremagnétomètre sur les appareils mobiles Apple et sur les appareils sous AndroidAndroid, plus l'accéléromètreaccéléromètre sur ces derniers. Les chercheurs ont découvert qu'il était possible d'accéder aux informations de calibration sur tous ces appareils afin de créer un identifiant unique sans la moindre autorisation spéciale, et ce dès que l'appareil utilise une application ou qu'il visite un site web.

Une empreinte unique impossible à réinitialiser

Cet identifiant, une véritable empreinte de l'appareil, serait susceptible d'être utilisé notamment par les publicitaires afin de cibler leurs annonces. Il existe déjà certaines techniques qui créent des identifiants permettant de suivre les utilisateurs, mais SensorID présente la particularité d'être librement accessible aussi bien depuis une application que via un site web, et d'être impossible à modifier. Même une réinitialisation complète du smartphone n'affecte pas le calibrage d'usine.

À l'heure actuelle, les chercheurs n'ont pas connaissance d'une utilisation du SensorID pour pister les utilisateurs. Cependant, les informations de calibrage sont librement accessibles, et sont collectées par au moins 2.653 sites parmi les premiers 100.000 sites les plus visités dans le classement Alexa.

Pas encore exploitée par des pirates, cette faille a déjà été corrigé par Apple via une mise à jour disponible depuis mars. Côté Android, les Pixel fabriqués par Google seraient vulnérables. © SensorID

Une mise à jour pour iOS, Android toujours exposé

Apple calibrant systématiquement les capteurs des iPhoneiPhone, iPadiPad et iPodiPod Touch, tous les appareils iOSiOS récents sont concernés, à savoir les modèles d'iPhone depuis l'iPhone 5s, l'iPad AirAir et plus récent, ainsi que l'iPod Touch de 6e génération ou plus. Côté Android, cette pratique est beaucoup moins courante et concerne surtout des appareils plus haut de gamme.

Les chercheurs n'ont eu accès qu'à un petit nombre de smartphonessmartphones Android, et la plupart n'était pas compatible avec cette technique. Ils ont pu cependant créer un identifiant unique avec les Pixel 2 et 3 de GoogleGoogle, et n'ont pas indiqué quels autres modèles ont été testés. Impossible donc de savoir pour l'instant quels appareils Android sont concernés en dehors des deux PixelPixel.

Les chercheurs ont averti, dès le mois d'août 2018, Apple qui a publié un correctif au mois de mars avec la mise à jour d’iOS 12.2. Il suffit donc de s'assurer d'avoir bien mis à jour son appareil pour être protégé. Google a été averti au mois de décembre 2018 et, pour l'instant, indique mener l'enquête, mais n'a pas encore publié de correctif. Impossible donc à l'heure actuelle pour les utilisateurs Android de savoir s'ils sont affectés, ni comment résoudre cette faillefaille.