Certains de ces identifiants sont bien connus, notamment les numéros de téléphone et les numéros IMEI, ou encore les adresses Mac Wi-Fi et Bluetooth. C’est pourquoi l’accès à ces données est contrôlé à l’aide d’un système de permission.
Mais les appareils iOS et Android ont beaucoup d’autres composants matériels qui pourraient, en théorie, être utilisés pour atteindre ce même but.
Dans l’étude SensorID : Sensor Calibration Fingerprinting for Smartphones, des chercheurs de l’université de Cambridge ont donné un aperçu du nouveau-né : le fingerprinting de l’étalonnage des capteurs.
Même si les capteurs ne semblent pas avoir une importance cruciale, n’oubliez pas que les smartphones d’aujourd’hui en sont remplis : accéléromètres, magnétomètres, gyroscopes, GPS, caméras, microphones, capteurs de lumière ambiante, baromètres, capteurs de proximité, etc.
Les chercheurs étudient la possibilité d’utiliser ces capteurs pour identifier des appareils utilisant des algorithmes d’apprentissage automatique depuis un certain temps, mais les chercheurs de Cambridge ont finalement résolu le problème en proposant une nouvelle preuve de concept pour les appareils iOS utilisant la technologie “M-series Motion co-processors“.
Et il existe une très bonne raison pour laquelle les capteurs sont une cible attrayante, selon les chercheurs :
L’accès à ces capteurs ne nécessite aucune autorisation spéciale et l’accès aux données est possible via une application native installée sur un appareil mais également via JavaScript lors de la visite d’un site web avec un appareil iOS et Android.
En d’autres termes, contrairement aux techniques de fingerprinting traditionnelles, personne ne peut arrêter ces capteurs, ni demander la permission de faire ce qu’ils font, ni remarquer que cela a effectivement eu lieu, rendant ainsi toutes leurs activités entièrement invisibles.
Pour les annonceurs, c’est la technique de fingerprinting d’appareil idéale : à savoir celle que personne ne remarquera !
Attaque par fingerprinting de l’étalonnage
Il s’avère que les capteurs MEMS (systèmes micro-électro-mécaniques) sont imprécis de manière très sensible, ce qui permet de les identifier les uns par rapport aux autres :
La variation naturelle au cours de la fabrication des capteurs intégrés implique que chaque capteur est unique et qu’ils peuvent donc être exploités pour créer un fingerprinting de l’appareil en question.
Pour les appareils haut de gamme (tous les appareils Apple et les smartphones Pixel 2 et 3 de Google), les fabricants tentent de compenser cela en utilisant un processus d’étalonnage appliqué à chacun d’eux.
Cela signifie que l’inexactitude au niveau de l’identification peut être déduite en connaissant le niveau de compensation appliqué au cours de ce processus.
La bonne nouvelle est que, lorsque les chercheurs ont communiqué leurs résultats à Apple en août dernier, ils ont corrigé le problème, identifié sous le nom CVE-2019-8541, dans une mise à jour pour iOS 21.2 sortie en mars 2019.
Apple a retenu la suggestion des chercheurs qui consistait à ajouter du bruit aléatoire à la sortie du convertisseur analogique-numérique et à supprimer l’accès par défaut aux capteurs de mouvement dans Safari.
Il s’agit d’une très bonne initiative car, paradoxalement, les appareils Apple iOS sont beaucoup plus sensibles au fingerprinting de l’étalonnage que la plupart des appareils Android, au niveau desquels l’étape compliquée de l’étalonnage est souvent omise pour des raisons de coût.
Cependant, les appareils Android haut de gamme qui utilisent l’étalonnage pourraient toujours être affectés, ce que Google a d’ailleurs découvert en décembre 2018 mais sans pour autant résoudre le problème, contrairement à Apple.
Des recherches comme celle-ci servent à souligner un problème récurrent. Si les annonceurs et les sites web souhaitent suivre les appareils, les techniques pour y parvenir ne manquent pas !
Il est hautement improbable de voir des individus se lancer dans cette expérience et passer à travers toutes les étapes complexes nécessaires pour traiter les données des capteurs, alors qu’il existe de nombreux autres moyens plus simples d’obtenir les mêmes résultats.
Billet inspiré de Your phone’s sensors could be used as a cookie you can’t delete, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.