Vous ne voulez pas être suivi via votre smartphone ? Il suffit de désactiver le “service de localisation”, ou quel que soit le nom que votre appareil donne au GPS, et vous pourrez ainsi disparaître des écrans radar en ligne, n’est-ce pas ?
Mais bien sûr que non ! Cela n’a jamais été totalement vrai, puisque votre téléphone continue à se connecter aux antennes relais de téléphonie mobile, et ce même lorsque le GPS est éteint. Ainsi, toute personne ayant accès à ces données peut trouver avec une certaine précision votre emplacement.
Rappelons toutefois, comme l’a signalé Lisa Vaas de Naked Security il y a quelques semaines, que les avocats de Timothy Ivory Carpenter, condamné en 2014 pour une série de vols dans le Midwest, soutiennent que les condamnations doivent être annulées. En effet, les données provenant des antennes relais et utilisées par les procureurs, ont été obtenues par les services de police sans mandat. Les arguments juridiques mis à part, le point important ici est que, comme l’a noté Vaas, le fait de savoir si son GPS était allumé ou non n’était pas véritablement pertinent :
Les données de géolocalisation … ont révélé que, sur une période de cinq mois s’étalant sur 2010 et 2011, son téléphone portable s’était connecté aux antennes relais de téléphonie mobile à proximité des endroits où les vols avaient été commis.
Mais d’autres preuves viennent s’ajouter au dossier déjà bien rempli concernant “la-disparition-définitive-de-la-protection-de-la-vie-privée“. En effet, plusieurs chercheurs du département de génie électrique de l’université de Princeton ont créé une application qu’ils appellent “PinMe”, pour montrer qu’avec seulement quelques milliers de lignes de code supplémentaires (beaucoup de jeux et d’applications contiennent des centaines de milliers de lignes de code), les utilisateurs de smartphones peuvent être suivis aussi précisément qu’avec leur GPS, même quand ce dernier est éteint !
Les chercheurs, Arsalan Mosenia, Xiaoliang Dai, Prateek Mittal et Niraj Jha, dans un article de 15 pages publié sur le site web (Paywall) de l’IEEE (Institute of Electrical and Electronics Engineers), décrivent comment leur application réalise la collecte de données, en provenance des capteurs de l’appareil, et dont l’accès n’est soumis à aucune autorisation particulière.
Comme ils l’expliquent, dans leurs tests réalisés avec un iPhone 6, iPhone 6S et Galaxy S4 i9500 :
Nous décrivons PinMe comme un nouveau mécanisme de géolocalisation des utilisateurs, qui exploite les données non-sensorielles/sensorielles stockées sur le smartphone, par exemple la pression atmosphérique et le fuseau horaire où se trouve l’appareil, ainsi que des informations publiques supplémentaires, comme par exemple des cartes d’élévation, afin de pouvoir évaluer la localisation d’un utilisateur lorsque tous les services de localisation, tels que le GPS, sont désactivés.
Toutefois, une mise en garde s’impose. En effet, Mosenia, chercheur postdoctoral aux laboratoires EDGE et INSPIRE de Princeton, a déclaré à Naked Security que lui et ses collègues n’avaient aucun moyen de vérifier si les applications commerciales effectuaient ce type de collecte de données et de suivi, “puisque leurs codes ne sont pas accessibles au public et de surcroît nous ne sommes pas en mesure de modifier/examiner ces derniers”.
Mais à travers leur “preuve de concept”, ils ont démontré que cette collecte de données était réalisable. Ce constat est plus qu’effrayant, voire carrément dangereux pour ceux pour qui la protection de la vie privée est une question de vie ou de mort.
Comme ils le soulignent, iOS et Android sont conçus pour fonctionner avec des applications tierces, dont des centaines de milliers existent sur le marché. Et tandis que les systèmes d’exploitation des smartphones sont également conçus pour protéger la plupart des données personnelles, “plusieurs types de données non sensorielles/sensorielles qui sont stockées sur le smartphone, sont soit faiblement protégés, soit sans aucune protection”.
Ces données peuvent provenir d’un gyroscope, d’un accéléromètre, d’un baromètre et d’un magnétomètre. Selon les chercheurs, les mesures de ces capteurs :
… sont accessibles par une application installée sur le smartphone, et sans l’accord de l’utilisateur. Par conséquent, une application malveillante installée sur le smartphone et s’exécutant en arrière-plan, peut capturer ces données en continu, sans éveiller le moindre soupçon.
En utilisant ce qu’ils décrivent comme des “données à priori non critiques” provenant de ces capteurs, l’application détermine d’abord ce que l’utilisateur est en train de faire : marcher, conduire une voiture, monter dans un train ou un avion. Comme l’a mentionné Christopher Loren en écrivant sur Android Authority :
Se déplacer à un rythme lent dans une direction indique que l’on marche. Aller un peu plus vite mais en pouvant tourner à 90 degrés signifie que l’on conduit. Aller encore plus vite, signifie que nous sommes dans en train ou bien dans un avion. Ces déductions sont faciles à faire en se basant sur la vitesse et la pression atmosphérique.
De plus, ces capteurs indiquent également à l’application votre vitesse, votre position par rapport au véritable nord magnétique et au niveau de la mer. Il faut quatre algorithmes pour affiner l’emplacement d’un individu dans un avion. Cette analyse est encore plus simple si vous êtes dans une voiture :
L’application connaît le fuseau horaire dans lequel vous vous trouvez en fonction des données fournies par votre téléphone. Elle accède ensuite aux données de votre baromètre et magnétomètre et les compare à celles provenant de cartes publiquement disponibles et des bulletins météo. Ensuite, elle garde une trace des mouvements que vous effectuez. A chacun de ces mouvements, les localisations potentielles se réduisent au fur et à mesure, jusqu’à ce qu’elle repère exactement où vous êtes.
Lors d’un test réalisé à Philadelphie, les chercheurs ont déclaré qu’il n’a fallu que 12 mouvements pour que l’application sache exactement où se trouvait la voiture.
Le chercheur en cryptographie et confidentialité, Bruce Schneier, CTO chez IBM Resilient, a mentionné la recherche en question sur son blog, en ajoutant que :
Cette étude est un bon exemple de la puissance de la synthèse des données, à partir de différentes sources de données. Nous passons trop de temps à nous préoccuper des systèmes de collecte de données individuelles, et pas assez sur les techniques d’analyse de ces systèmes.
Cette crainte est également partagée par d’autres experts en protection de la vie privée. “Ce constat est plutôt alarmant et sans aucun doute effrayant”, a déclaré Joseph Lorenzo Hall, chief technologist dans le “Center for Democracy & Technology” (CDT).
Les données de localisation sont des données personnelles extrêmement sensibles, surtout lorsqu’elles sont collectées sur une longue période, avec une fréquence élevée et en temps réel. Cette collecte de données peut s’avérer dangereuse pour les victimes de violence domestique ou de harcèlement, et pour les personnes ayant des métiers à risque au sein de la société, comme les forces de l’ordre, les juges, les politiciens, etc.
Rebecca Herold, CEO de The Privacy Professor, a déclaré que les applications commerciales ne se contentent pas de “collecter, stocker et partager toutes les données disponibles des appareils sur lesquels elles sont installées”, mais elles combinent ces données avec d’autres ensembles de données concernant les utilisateurs et leurs géolocalisations.
Elles disent vrai lorsqu’elles déclarent qu’elles ne collectent pas de données nominatives, mais elles combinent presque toujours ce qu’elles collectent avec d’autres ensembles de données, afin d’établir des synthèses très détaillées sur votre vie, vos activités, vos goûts et vos préférences en général, avec un accès large à différents aspects de votre vie privée.
En tant qu’individu, quelle est notre marge de manœuvre concernant ces pratiques ? Elle est plutôt très réduite, nous laissant avec pour seul levier la mise en place d’une “hygiène de sécurité” basique. La priorité, selon Herold, est de supprimer toutes les applications que vous n’utilisez plus. Restez à l’écart des applications douteuses, ou bien récupérez-les à partir de “stores” qui ont fait un minimum d’évaluations et de contrôles. Faites votre propre enquête concernant les entreprises qui les développent et les vendent.
D’une manière générale, “les utilisateurs doivent aussi régulièrement faire une pause et nettoyer le cache, la mémoire et supprimer les fichiers inutiles”, a-t-elle déclaré. “Il s’agit là de sources de données précieuses pour les applications”.
Mais ces bonnes pratiques, bien sûr, prennent du temps, et la plupart des utilisateurs sont beaucoup plus intéressés par les fonctionnalités d’une application, que par sa sécurité ou la collecte de données qu’elle met en oeuvre.
Ainsi, pendant des années, les défenseurs de la vie privée ont fait pression pour que la loi évolue, afin d’obliger les applications qui veulent utiliser les capteurs à faire une demande d’accès préalable. Cette mesure pourrait attirer autant (donc très peu) l’attention que les conditions générales d’utilisation et les politiques de confidentialité, mais au moins, elle permettrait de mettre en lumière les applications qui pratiquent la collecte de données, en donnant aux utilisateurs la possibilité de se choisir en consscience.
Les chercheurs offrent quelques recommandations pour ce secteur. Parmi elles :
- Demander aux capteurs de diminuer leur taux d’échantillonnage lorsqu’ils sont inactifs. Les applications malveillantes auront plus de difficultés pour obtenir les données dont elles ont besoin.
- Ajouter des commutateurs physiques au niveau des téléphones, permettant ainsi aux utilisateurs de désactiver les capteurs lorsqu’ils ne sont pas utilisés.
De plus, Hall a déclaré qu’il était grand temps pour le Congrès d’adopter, “une loi générale de protection des données qui mette un terme, rapidemment, à la pratique isolée de ce secteur, concernant la protection de la vie privée”. Il a déclaré que depuis des années, le CDT a mentionné que seuls les Etats-Unis et la Turquie ne disposaient pas encore de telles règles générales sur la protection de la vie privée.
Cependant la Turquie a récemment adopté une telle loi, faisant des Etats-Unis le seul pays à résister … nous sommes un pays qui continue de “refuser”, dans un monde qui a « accepté », quelque chose doit changer !
Billet inspiré de GPS is off so you can’t be tracked, right? Wrong, sur Sophos nakedsecurity.