Ouvrir le menu principal

iGeneration

Recherche

Les mouvements d'un smartphone posent un problème de sécurité

Florian Innocente

mercredi 12 avril 2017 à 18:00 • 9

iPhone

Apple s'est attaquée en début d'année dernière à une faille de sécurité dans iOS pour le moins originale puisqu'elle utilisait les différents capteurs de mouvements de l'iPhone. Les chercheurs à l'origine de la découverte n'en ont publié les détails que cette semaine.

Une équipe de l'université de Newcastle emmenée par le Dr. Maryam Mehrnezhad a pu démontrer que l'on pouvait deviner un code PIN à quatre chiffres tapé par un utilisateur en analysant les mouvements du téléphone. Un code PIN qui serait utilisé pour déverrouiller son smartphone ou s'identifier auprès d'un service en ligne.

La procédure a d'abord consisté à inviter l'utilisateur à cliquer sur un lien - du phishing très classique — pour ouvrir une page contenant un code JavaScript. Cette page restera en arrière-plan (selon les interfaces des navigateurs il y a différents moyens de rendre sa présence discrète). Ce code saura ensuite intercepter les informations que vous tapez dans une autre page affichée au premier plan.

La page web masquée contenant le code malveillant peut solliciter les différents capteurs de mouvement du téléphone pour repérer quels endroits à l'écran sont tapés. Le taux de réussite était remarquable : de l'ordre de 74 % au premier essai puis 86 %, 94 % et 100 % au second, troisième et cinquième essai. Mieux, le programme pouvait fonctionner même après le verrouillage/déverrouillage du téléphone, et intercepter le code PIN utilisé à cet effet.

Pour apprendre à détecter les zones tapées, le système s'appuie sur un moteur que plusieurs cobayes ont préalablement alimenté en tapotant eux-même différentes combinaisons. Ainsi la reconnaissance a pu être optimisée et perfectionnée pour affronter différents cas de figure, comme la manière dont le téléphone bougeait.

Pour les auteurs de cette étude, cette capacité à utiliser les capteurs de mouvement est lourde d'implications. Ces capteurs sont devenus communs et pourtant les utilisateurs, dans leur grande majorité, en ignorent l'existence et le rôle. On en trouve dans tous les produits mobiles aujourd'hui jusqu'aux bracelets connectés.

Tapoter, faire défiler un contenu et tenir son téléphone… toutes ces actions laissent une trace dessinée par ces capteurs. Une signature particulière à chaque fois dont la collecte permettrait de recomposer assez précisément l'activité d'une personne au fil d'une journée, redoute Maryam Mehrnezhad.

Ensuite, si des correctifs ont été apportés par les principaux éditeurs de navigateurs, le problème n'est pas complètement réglé. Les systèmes d'exploitation ne demandent jamais à l'utilisateur l'autorisation d'utiliser les capteurs de mouvements. La liste des autorisations réclamées est déjà longue et c'en serait une de plus. Il faudrait aussi le faire au cas par cas. Après tout, une page web peut contenir un jeu qui a besoin de ces capteurs.

Il y a un an, Mozilla avait apporté un correctif dans Firefox sur mobiles pour éviter cette collecte. Apple l'a fait en janvier 2016 avec iOS 9.3, en modifiant WebKit pour qu'une vue web masquée ne puisse obtenir les mesures des capteurs. Quant à Google, il a déclaré à Popular Science avoir connaissance de ce risque dans Chrome mais aucun correctif n'a encore été mis au point, il y travaille…

Cliquer pour agrandir

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Corning présente le Gorilla Glass Ceramic, encore plus résistant que le Gorilla Glass standard

04/04/2025 à 21:00

• 6


App Store : cinq VPN liés à une entreprise chinoise pourtant sur liste noire aux USA

04/04/2025 à 20:30

• 1


Grâce à la Nintendo Switch 2, les cartes (micro)SD Express arrivent enfin

04/04/2025 à 19:30

• 6


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

04/04/2025 à 17:33

• 41


Google propose des jeux pour Android Auto

04/04/2025 à 16:15

• 0


Qualcomm abandonne la 5G mmWave avec son Snapdragon 8s Gen 4, comme Apple avec son modem C1

04/04/2025 à 15:30

• 3


iOS 18.4 : les navigateurs tiers peuvent désormais installer des extensions

04/04/2025 à 13:50

• 11


Silence : une application pour bloquer les appels indésirables sans abonnement

04/04/2025 à 12:30

• 83


Certains utilisateurs rencontrent des difficultés avec CarPlay depuis leur passage à iOS 18.4

04/04/2025 à 11:00

• 35


Test de l’iPhone 16e : pour tout le monde, ou presque

04/04/2025 à 09:26

• 32


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

04/04/2025 à 09:25

• 73


Guerre commerciale : le cours de l’action Apple en compote

04/04/2025 à 08:44

• 119


Tentant d’éviter les taxes, Sonos mise sur le mauvais cheval

03/04/2025 à 22:30

• 36


Test d'une prison pour smartphone, pour ceux qui n'arrivent pas à abandonner leur iPhone

03/04/2025 à 20:30

• 6


Orange Téléphone donne maintenant le nom du spammeur qui vous appelle

03/04/2025 à 20:15

• 34


L'Arcep observe une inflation des appels indésirables et abusifs chez les abonnés

03/04/2025 à 17:30

• 43