Les mouvements d'un smartphone posent un problème de sécurité

Apple s'est attaquée en début d'année dernière à une faille de sécurité dans iOS pour le moins originale puisqu'elle utilisait les différents capteurs de mouvements de l'iPhone. Les chercheurs à l'origine de la découverte n'en ont publié les détails que cette semaine.

Une équipe de l'université de Newcastle emmenée par le Dr. Maryam Mehrnezhad a pu démontrer que l'on pouvait deviner un code PIN à quatre chiffres tapé par un utilisateur en analysant les mouvements du téléphone. Un code PIN qui serait utilisé pour déverrouiller son smartphone ou s'identifier auprès d'un service en ligne.

La procédure a d'abord consisté à inviter l'utilisateur à cliquer sur un lien - du phishing très classique — pour ouvrir une page contenant un code JavaScript. Cette page restera en arrière-plan (selon les interfaces des navigateurs il y a différents moyens de rendre sa présence discrète). Ce code saura ensuite intercepter les informations que vous tapez dans une autre page affichée au premier plan.

La page web masquée contenant le code malveillant peut solliciter les différents capteurs de mouvement du téléphone pour repérer quels endroits à l'écran sont tapés. Le taux de réussite était remarquable : de l'ordre de 74 % au premier essai puis 86 %, 94 % et 100 % au second, troisième et cinquième essai. Mieux, le programme pouvait fonctionner même après le verrouillage/déverrouillage du téléphone, et intercepter le code PIN utilisé à cet effet.

Pour apprendre à détecter les zones tapées, le système s'appuie sur un moteur que plusieurs cobayes ont préalablement alimenté en tapotant eux-même différentes combinaisons. Ainsi la reconnaissance a pu être optimisée et perfectionnée pour affronter différents cas de figure, comme la manière dont le téléphone bougeait.

Pour les auteurs de cette étude, cette capacité à utiliser les capteurs de mouvement est lourde d'implications. Ces capteurs sont devenus communs et pourtant les utilisateurs, dans leur grande majorité, en ignorent l'existence et le rôle. On en trouve dans tous les produits mobiles aujourd'hui jusqu'aux bracelets connectés.

Tapoter, faire défiler un contenu et tenir son téléphone… toutes ces actions laissent une trace dessinée par ces capteurs. Une signature particulière à chaque fois dont la collecte permettrait de recomposer assez précisément l'activité d'une personne au fil d'une journée, redoute Maryam Mehrnezhad.

Ensuite, si des correctifs ont été apportés par les principaux éditeurs de navigateurs, le problème n'est pas complètement réglé. Les systèmes d'exploitation ne demandent jamais à l'utilisateur l'autorisation d'utiliser les capteurs de mouvements. La liste des autorisations réclamées est déjà longue et c'en serait une de plus. Il faudrait aussi le faire au cas par cas. Après tout, une page web peut contenir un jeu qui a besoin de ces capteurs.

Il y a un an, Mozilla avait apporté un correctif dans Firefox sur mobiles pour éviter cette collecte. Apple l'a fait en janvier 2016 avec iOS 9.3, en modifiant WebKit pour qu'une vue web masquée ne puisse obtenir les mesures des capteurs. Quant à Google, il a déclaré à Popular Science avoir connaissance de ce risque dans Chrome mais aucun correctif n'a encore été mis au point, il y travaille…