Nous sommes habitués aux publicités en ligne provenant de marques ou d’enseignes commerciales connues qui nous suivent sans arrêt, lors d’une brève visite sur une boutique de tongs en ligne, sur Facebook ou sur Slashdot, et pour finir avec ce constat “voulez-vous dégager de ma vue, annonceurs de malheur qui interrompez mon flirt avec mes chaussures en caoutchouc ? “.
C’est plus ennuyeux qu’effrayant. Qui le prend vraiment personnellement ? Après tout, nous avons affaire à des sociétés sans âme derrière ces publicités en ligne, n’est-ce pas ? Il est vrai que le suivi mis en place par des annonceurs devient de plus en plus intrusif, et ce en permanence, mais il ne s’agit pas non plus du suivi de notre géolocalisation, ni de l’exploitation de notre vie privée en scrutant où nous allons et les applications que nous utilisons, n’est-ce pas ?
Peut-être pas, mais c’est en fait tout à fait faisable, par des harceleurs aussi facilement que par des entreprises.
Des experts se sont assignés la tâche de traquer des individus en utilisant un réseau publicitaire, afin de suivre les internautes et extraire des informations à leur sujet, y compris leur géolocalisation. Ils ont réussi. Cela leur a coûté environ 850€. C’est tout ce dont un cybercriminel a besoin, en plus d’un site web pour des publicités en ligne vers lesquelles rediriger les internautes.
Dans un article (PDF) publié par le “Security & Privacy Lab” de la “School of Computer Science & Engineering Paul G. Allen” de l’Université de Washington, des chercheurs décrivent comment une personne peut utiliser un système de publicités en ligne ciblé, pour mettre en place une surveillance physique et numérique de potentilles victimes, lesquelles utilisent des applications pour smartphones avec publicités intégrées.
Quel système de publicités en ligne ciblé est concerné ? Tous, à peu près. Selon la FAQ mis en place par l’équipe dans le cadre de leurs travaux :
Nos résultats, issus de tests réalisés avec un réseau de publicité et d’études menées sur beaucoup d’autres, indiquent un problème à grande échelle, concernant le secteur tout entier. Nous avons donc choisi de ne pas se concentrer sur le réseau publicitaire spécifique par lequel nous avions acheté nos annonces.
Les experts ont acheté des publicités en ligne ciblées après d’un fournisseur de type DSP (Demand Site Platform), autrement dit une plateforme publicitaire comme AdRoll, Choozle, MediaMath, MightyHive, Tapad, Google AdWords, Facebook, MediaMath ou Centro. C’est cet achat qui a coûté 850€ : il s’agissait d’un dépôt auprès de la DSP.
Toutes ces plateformes permettent aux annonceurs de diffuser des annonces ciblées auprès des particuliers. Mais cette diffusion est à double sens : elles permettent également de récupérer une quantité de données incroyable concernant l’équipement ciblé, y compris le moment où l’annonce a été visionnée. De plus, toutes les DSP examinées par les experts, sauf une, permettaient un ciblage basé sur la localisation, qu’il soit classique (limité à la ville et au code postal) ou plus précis.
Soixante pour cent des DSP utilisent ce que l’on appelle le ciblage géographique “hyperlocal”. La DSP qu’ils avaient choisi pouvait se rapprocher de leurs cibles de surveillance, atteignant une précision de 4 à 11 mètres, selon la latitude.
Les experts ont utilisé dix smartphones Android Moto-G et ont concocté des comptes “nouveaux utilisateurs” affectés à de fausses utilisatrices de 27 ans. Ils ont connecté les appareils aux réseaux Wi-Fi locaux, téléchargé les applications qui afficheront ensuite les annonces, et également téléchargé des applications pour récupérer le réseau et les données GPS des appareils.
L’application sur laquelle ils se sont concentrés était la plus populaire que les chercheurs pouvaient utiliser pour diffuser des annonces via leur DSP : à savoir Talkatone, une application d’appel et de SMS gratuit. Ensuite, ils ont acheté des publicités en ligne ciblés géographiquement, dans un périmètre couvrant une zone de 8 km2 autour de Seattle, qui s’afficheront ensuite via Talkatone.
Chaque fois que l’un des téléphones ciblés ouvrait Talkatone à proximité de l’une des coordonnées définies par la zone des annonces publicitaires, l’annonce apparaissait, les experts devaient s’acquitter d’un montant de 2 cents, et la DSP envoyait par la suite la confirmation concernant le lieu, le moment et sur quel téléphone l’annonce avait été affichée.
Avec cette méthode, ils ont constaté qu’ils étaient en mesure de suivre la localisation de leurs téléphones de test dans un rayon d’environ 800 mètres, et ce à chaque fois que l’utilisateur laissait une application ouverte à un endroit précis pendant environ quatre minutes, ou s’ils l’ouvraient deux fois à un même endroit durant ce même laps de temps.
Au cours d’une semaine, les chercheurs de l’Université de Washington ont découvert qu’ils pouvaient facilement identifier l’adresse personnelle et professionnelle d’une cible, en fonction de l’endroit où elle s’était arrêtée. Ils pouvaient également, bien sûr, détecter les applications sur lesquelles les publicités en ligne avaient été diffusées.
Certaines de ces applications pouvaient être sensibles. Les chercheurs ont seulement testé l’application de rencontre gay Grindr, mais ce type de surveillance, qu’ils ont appellé ADINT similaire au SIGINT dans le domaine du renseignement électromagnétique (signals intelligence), peut être réalisé avec une quantité d’autres applications sensibles, y compris d’autres applications de rencontre en ligne, des applications torrent ou celles en lien avec les religions, telles que Quran Reciters.
Pour que cette méthode de suivi fonctionne, la cible doit avoir une application particulière ouverte sur son téléphone au moment où elle est suivie. Sinon, l’annonce ne s’affichera pas. Les espions achetant des publicités en ligne doivent également connaître l’identifiant publicitaire unique d’un téléphone, connu sous le nom de Mobile Advertising ID (MAID).
Mais les chercheurs disent que ces limitations sont simples à contourner. En effet, pour surmonter cette première limitation, il suffit d’acheter des annonces parmi une gamme d’applications populaires, ce qui augmente au moins les chances qu’une cible potentielle ait une de ces applications ouvertes, une fois dans la zone définie.
Il existe également plusieurs façons d’obtenir le MAID d’un téléphone : un cybercriminel peut obtenir l’identifiant si une cible clique sur l’une des précédentes publicités affichées. Ce dernier peut également être potentiellement exfiltré via JavaScript ou encore il peut être acheté en ligne.
Wired a livré quelques attaques théoriques potentielles :
Une personne malveillante ciblant un foyer pourrait, par exemple, obtenir le MAID d’un conjoint à partir du réseau domestique, puis l’utiliser pour le ou la suivre de près, en plaçant des annonces dans des applications qu’il ou elle utilise fréquemment. Une personne sur un ordinateur portable, à la table voisine dans un Starbucks, pourrait voler votre MAID lorsque vous connectez votre téléphone au Wi-Fi, ou alors un collègue pourrait faire la même chose au bureau, et pourrait ensuite recevoir des pings périodiques concernant votre localisation à chaque fois que vous visualiser une annonce mise en ligne au préalable. Un annonceur peut également utiliser des annonces à contenu actif pour rassembler les identifiants MAID des personnes à un endroit précis, comme une manifestation par exemple, ou encore les utilisateurs d’une application potentiellement sensible comme celles de rencontres gay ou religieuses, ainsi que d’autres données démographiques fournies par les réseaux publicitaires, leur permettant finalement de suivre les mouvements de leurs cibles.
Si quelqu’un a 850€ à dépenser pour vous espionner, il aura probablement de bien meilleures options. Néanmoins, des travaux universitaires comme ceux-là ont pour objectif de sensibiliser et de rendre plus vigilant, et à juste titre d’ailleurs, mais n’a pas pour but d’affiner ou d’optimiser l’attaque, afin de la rendre plus opérationnelle.
Ils ont réussi à signaler une faille que d’autres pourraient très bien exploiter ou utiliser de diverses manières.
Donc, si vous êtes concerné, comment pouvez-vous vous protéger ? Les chercheurs déclarent que si la protection de votre vie privée est importante, vous devriez réinitialiser votre MAID. Voici comment le faire sur un iPhone, et comment le faire sur Android. De plus, vous pouvez désactiver l’accès de certaines applications à votre localisation au niveau de votre téléphone : voici la marche à suivre pour un iPhone, et sur Android.
Wired a encore une autre option : penser à dépenser un peu d’argent pour avoir une expérience premium, sans publicité !
Billet inspiré de How individuals can use online ad buying to spy on you, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.