Il a été reconnu depuis des années que les réseaux Wi-Fi sont d’excellents moyens pour localiser des individus, notamment savoir où ils vivent, avec une précision de quelques mètres.
Étant donné que la recherche par localisation de Google Maps est l’un des principaux moyens de rassembler ce type de données de géolocalisation, on peut supposer que l’entreprise aurait apporté un soin tout particulier afin de s’assurer que ces dernières ne puissent pas faire l’objet de fuite ou divulgation.
Pas vraiment, selon Craig Young, expert chez Tripwire, qui a découvert que deux de ses produits, le dongle Chromecast streaming et Home Speaker, présentent des faiblesses de conception qui pourraient être exploitées pour permettre à des cybercriminels malveillants de mettre la main sur les données de géolocalisations d’utilisateurs.
Il s’avère que l’application Home, utilisée pour configurer ces appareils, a défini le nom de l’appareil et a spécifié sa connexion Wi-Fi en utilisant un backchannel local non sécurisé, sans aucune exigence en matière d’authentification, par exemple en demandant de se connecter à un compte Google, par exemple.
Le système d’exploitation n’a pas d’importance. En effet, sa preuve de concept a fonctionné sous Windows, macOS, Linux, tout en utilisant Chrome ou Firefox.
Le résultat final est qu’un cybercriminel distant pouvait inciter quelqu’un à visiter un site web et utiliser le manque d’authentification pour lancer une attaque par DNS rebinding, afin d’interroger les équipements en question, et ce tant que la page était maintenue ouverte pendant une minute ou deux.
Cette attaque permettait l’acquisition de données de géolocalisation précises à partir de celles du Wi-Fi qui, contrairement à ce que la plupart des gens pensent, peut être aussi précise et généralement plus rapide que la collecte de la même information par GPS.
Attendez, vous pouvez répéter ? Le Wi-Fi permet une meilleure localisation d’individus que le GPS ? Étonnamment, oui, c’est pourquoi cette méthode est devenue si stratégique pour de nombreuses entreprises, et pas seulement Google !
Le Wi-Fi est capable d’effectuer une telle localisation via le SSID (Service Set Identifier) qui est le nom du réseau Wi-Fi, ainsi qu’en spécifiant l’adresse MAC matérielle et unique du routeur.
Chaque fois qu’un équipement tel qu’un téléphone Android doté d’un GPS de haute précision se connecte à ce routeur, Google associe les identifiants qu’il possède déjà (le SSID et le MAC) à cet emplacement.
En analysant la puissance du signal du SSID, il devient possible, au fil du temps, de savoir où ce routeur se situe avec une certaine précision.
Cette possibilité est géniale dans les zones urbaines, car Google peut alimenter, en données de géolocalisation précises et basées sur l’analyse du Wi-Fi, d’autres appareils dont le GPS est éteint ou qui ne peuvent pas atteindre le réseau sans fil.
Vous pouvez le tester en ouvrant Google Maps en mode de navigation privée sur un smartphone avec le GPS désactivé et en cliquant sur l’icône “Ma position”, symbolisé par une cible, dans le coin inférieur droit.
Young a déclaré :
Maps a été en mesure de localiser mon appareil dans un rayon de 10 mètres.
Mais cette prouesse signifie également qu’un cybercriminel distant pourrait faire de même, en utilisant les appareils Chromecast ou Home pour accéder aux informations dont il a besoin.
Il n’est pas difficile d’imaginer pourquoi un cybercriminel voudrait savoir où vous vivez, a-t-il déclaré sur le site internet de Brian Krebs.
Les implications d’une telle possibilité de localisation sont assez larges, y compris des tentatives de chantage ou d’extorsion bien plus efficaces. Les menaces concernant la divulgation de photos compromettantes ou de secrets à des amis et à la famille pourraient utiliser ces données pour donner davantage de crédibilité aux avertissements et augmenter ainsi les chances de succès.
Ce qui est un peu troublant, c’est qu’après avoir signalé le problème à Google, ce dernier l’a tout d’abord fermé avec un message “Status: Will not Fix (Intended Behavior)“.
Quand Krebs les a contactés, l’entreprise a soudainement changé d’avis, déclarant qu’elle allait corriger cette vulnérabilité au niveau de ses appareils pour la mi-juillet.
Il n’existe pas vraiment de solution à court terme pour ce problème, à part de déconnecter ces périphériques jusqu’à ce qu’un nouveau logiciel soit disponible. Même la désactivation de la diffusion du SSID ne serait pas suffisante et compliquerait plutôt la vie des utilisateurs du routeur.
Avec les nombreux avertissements concernant la sécurité médiocre des objets connectés (IoT), il est toujours surprenant que Google permette à ses appareils d’être interceptés par le DNS rebinding, qui repose essentiellement sur l’attaque d’un réseau privé en utilisant le navigateur comme proxy (dans la même veine, rappelez-vous du Chromecast Rickrolling de 2014 !).
Billet inspiré de Google Chromecast and Home Speaker can leak location data to websites, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.