AccueilActualités informatiqueAttention, le portable écoute : Des applications pour smartphone comme mouchard

Attention, le portable écoute : Des applications pour smartphone comme mouchard

Marc
By Marc

Pause café : vous discutez d’un certain sujet avec un collègue et peu de temps après, des annonces publicitaires apparaissent sur Facebook, Google ou Instagram, qui correspondent étonnamment bien à ce sujet. Chez c’t, des lecteurs qui ont fait des observations similaires se manifestent régulièrement.

On soupçonne souvent les applications pour smartphones d’allumer les microphones sans qu’on le leur demande, afin d’écouter secrètement les conversations et les appels téléphoniques. Le jeune « AI + Automation Lab » de la radio bavaroise (BR) a enquêté sur ce soupçon. Pour le format YouTube « PULS Reportage », les journalistes ont essayé de faire sortir de leur réserve, entre autres, les applications d’Instagram, TikTok avec des conversations fictives : Alors que plusieurs smartphones équipés d’applications de médias sociaux pertinentes se trouvaient à portée de voix, les collaborateurs de la BR discutaient par exemple de nourriture pour chiens et de briques Lego.

Ils ont ensuite vérifié si des publicités sur les sujets abordés apparaissaient dans les comptes de médias sociaux concernés. Effectivement, dans un cas, des publicités Lego sont apparues sur Instagram, mais seulement quatre jours plus tard. Comme Lego diffuse généralement beaucoup de publicité en ligne sur les réseaux sociaux, il est fort probable qu’il s’agisse d’un coup de chance.

Eine weitere Test-App zeigte, dass sich Gesprächsinhalte prinzipiell auch über den Beschleunigungssensor erfassen lassen., Bild: BR / PULS Reportage

Une autre application de test a montré qu’il était en principe possible de saisir le contenu des conversations via le capteur d’accélération.

(Image : Image : BR / PULS Reportage)

L’équipe de BR a également vérifié si une application pouvait techniquement être en mesure de capter le microphone du smartphone à l’insu de tous. Pour ce faire, l’équipe a développé une application test pour Android et iOS, qui devait enregistrer secrètement les conversations en arrière-plan. Cette application a été installée sur un iPhone 12 (iOS 14.7.1) et sur un Samsung Galaxy A22 5G avec Android 11.

Sommaire

Les chats comme auxiliaires d’espionnage

L’application demandait à l’utilisateur le droit d’accéder au microphone via les API du système d’exploitation. Elle a même fourni une raison plausible pour cela : l’application était inspirée d’un réseau social et offrait la possibilité de commenter des photos de chats par enregistrement vocal. Mais sa véritable fonction était de transmettre le plus longtemps possible des enregistrements audio à un serveur sur le réseau, sans que l’utilisateur n’en ait connaissance.

Lorsque l’application était active sur l’iPhone et que l’enregistrement était en cours, un point jaune dans la barre d’état signalait l’accès au micro. Il s’agit de l’indicateur de confidentialité introduit avec iOS 14. Lors du passage à une autre application, l’enregistrement continuait certes à fonctionner en arrière-plan, mais le système d’exploitation renforçait son avertissement et signalait l’accès par un symbole de microphone sur fond rouge. Si le téléphone portable était verrouillé, l’enregistrement s’arrêtait. Il n’était pas possible d’écouter en cachette.

Écran éteint, micro allumé

Avec le smartphone Android 11, l’équipe de BR a fait un grand pas en avant : l’application de test a continué à enregistrer les conversations même lorsque l’écran était éteint. Une astuce a été nécessaire pour cela, comme le raconte Rebecca Ciesielski à c’t : « Nous avons découvert que les développeurs d’applications Android peuvent utiliser une astuce simple pour écouter très longtemps – au moins une heure – sans être remarqués. Pour cela, il leur suffit d’afficher une notification ».

Une telle notification aurait très probablement révélé l’attaque à l’écoute. Mais l’équipe a également trouvé une solution pour cela : « La notification peut être programmée sans problème de manière à ce qu’elle ne s’affiche que lorsque l’écran est éteint, c’est-à-dire que les utilisateurs ne peuvent pas la voir. Dès que quelqu’un allume l’écran, le message disparaît également », explique Ciesielski. L’application n’écoute alors que lorsque le smartphone n’est pas utilisé, mais c’est de toute façon à ce moment-là que les conversations les plus intéressantes ont lieu.

Das BR-Team entwickelte eine Test-App, die Gespräche bei ausgeschaltetem Display belauschen kann. Die App schafft es sogar in den Play Store., Bild: BR

L’équipe de BR a développé une application test capable d’écouter les conversations lorsque l’écran est éteint. L’application parvient même à se faire une place dans le Play Store.

(Image : Image : BR)

Pendant que l’application Android est utilisée, de telles astuces ne sont pas nécessaires : Si l’utilisateur a autorisé l’accès au microphone, l’application active peut l’utiliser à tout moment. Jusqu’à Android 11 inclus, il n’y a pas d’indicateur visuel. Ce n’est qu’avec Android 12 que Google s’aligne sur Apple et affiche un point de couleur dans le coin supérieur droit de l’écran.

Interrogé par BR, Google a expliqué que toute personne abusant de données sensibles et enfreignant les directives relatives aux applications serait bloquée. Mais les contrôles de Google empêchent-ils les applications d’écoute de se retrouver dans le Play Store ? Pour le savoir, l’équipe de BR a essayé de placer l’application d’espionnage créée à des fins expérimentales sur Google Play. Cela a réussi du premier coup, après quoi les journalistes ont immédiatement supprimé l’application.

Des vibrations révélatrices

Les microphones ne sont pas les seuls moyens d’écouter les conversations. Des chercheurs américains ont par exemple démontré que les capteurs d’accélération (accéléromètres) intégrés dans les smartphones sont parfois si sensibles qu’ils détectent également les vibrations acoustiques, comme un microphone (PDF).

Les tests effectués par l’équipe de BR ont montré que les conversations dans la pièce n’entraînaient certes pas de vibrations notables, mais que les appels téléphoniques passés via la fonction mains libres du smartphone Android en provoquaient. Pour en savoir plus, consultez l’article de fond du BR AI + Automation Lab (en anglais).

Les chercheurs américains sont allés encore plus loin : grâce à un modèle d’IA, ils ont réussi à identifier des mots et des chiffres isolés dans les données des capteurs. De telles attaques sont appelées attaques par canal latéral (side-channel attack). Elles sont particulièrement problématiques, car elles contournent souvent les concepts de protection existants : Alors que l’accès au micro est protégé par le système d’exploitation, les applications peuvent généralement accéder aux capteurs sans aucune restriction.

Confidentialité de la parole

Mais les apps des grands groupes Internet sont installées des milliards de fois dans le monde entier – et sont donc soumises à une énorme surveillance. Si un seul des utilisateurs prenait une app en flagrant délit d’écoute, le fournisseur de l’app aurait de gros problèmes.

Cela aurait également des conséquences juridiques. Par exemple, selon le § 201 du code pénal allemand, les paroles prononcées sont particulièrement protégées (« violation de la confidentialité des paroles »). Toute personne qui enregistre sans autorisation des paroles prononcées en privé peut encourir jusqu’à trois ans de prison ou une amende.

Il est cependant indéniable que les annonces publicitaires et les propositions d’actualités sur Google, Facebook touchent parfois des sujets dont on parlait encore en privé quelques minutes auparavant. Comment cela serait-il possible sans espionner durablement l’utilisateur ?

L’équipe BR propose des théories à ce sujet : L’une d’entre elles est celle des « Ad Targeting Groups », c’est-à-dire des groupes de ciblage publicitaire composés d’utilisateurs ayant des intérêts similaires. Si un membre du groupe recherche un certain produit, il y a de fortes chances que les autres membres s’y intéressent également.

Des données, partout des données

Une autre théorie est l’exploitation des données de localisation telles que les coordonnées GPS ou les appareils WLAN et Bluetooth à portée. Si deux utilisateurs restent longtemps au même endroit, il peut être utile pour les entreprises d’afficher à l’utilisateur B les produits que l’utilisateur A a recherchés à ce moment-là. Ce principe pourrait être étendu à l’aide d’autres métadonnées, telles que les données de connexion des appels WhatsApp.

Il ne faut pas non plus sous-estimer les trésors de données que l’on livre gratuitement à Facebook, Google Co : Si l’on ne se protège pas, les entreprises publicitaires regardent presque continuellement par-dessus l’épaule lors de la navigation grâce au Third-Party-Tracking. Avec toutes ces données, un jumeau numérique est créé sur les serveurs de l’industrie publicitaire, qui vit quelques jours dans le futur et sait déjà aujourd’hui ce qui pourrait intéresser l’utilisateur après-demain.

Distorsion cognitive

Un effet psychologique pourrait également contribuer à expliquer le phénomène : dès que l’on s’intéresse à une certaine chose, on la rencontre soudain partout. Un exemple simple : Si l’on décide d’acheter un vélo rouge, on remarque soudain des vélos rouges à chaque coin de rue.

Cette distorsion cognitive est appelée illusion de fréquence. Appliquée à la publicité en ligne, elle signifierait que l’on remarque à peine les publicités qui ne sont pas intéressantes à ce moment-là, mais que l’on remarque d’autant plus les publicités sur des sujets dont on s’est occupé récemment.

Les expériences de BR montrent qu’il est tout à fait possible techniquement que les applications pour smartphones écoutent les conversations dans certaines conditions – et ce même en secret. Il n’est toutefois toujours pas prouvé que les géants de l’Internet en font effectivement usage pour diffuser des publicités adaptées. C’est d’ailleurs peu probable, car les groupes ne dépendent pas de l’enregistrement des conversations. Les utilisateurs fournissent de toute façon déjà toutes sortes de données qui permettent de déduire les intérêts individuels.

Si l’on veut éviter que les entreprises publicitaires ne devinent avec précision les préférences personnelles, il faut réduire son empreinte numérique : Cela implique non seulement de remettre en question avec scepticisme les droits d’accès demandés par les apps et de ne les accepter que de manière ciblée, mais aussi d’éviter autant que possible les métadonnées et les traces de suivi.

c’t édition 6/2022

La Raspberry Pi Foundation fête le 10e anniversaire de son ordinateur de bricolage, nous nous joignons à la fête ! Ce qui l’est moins, c’est l’état de la numérisation dans l’administration. Nous avons vérifié quelles démarches administratives pouvaient déjà être effectuées par voie numérique. Nous avons également testé des écrans surdimensionnés, des UPS pour la maison et des applications Launcher pour la voiture, et nous donnons des conseils pour économiser des impôts.

  • Joyeux anniversaire Raspi !

  • La tâche herculéenne de l’administration numérique

  • Moniteurs trop larges

  • UPS pour la maison

  • c’t révèle la situation : L’informatique médicale n’est pas conforme au RGPD

  • Attention : le téléphone portable écoute

  • Faire des économies d’impôts : Amortir l’informatique plus rapidement

  • Utiliser son téléphone portable en toute sécurité en voiture : Applications de lancement

  • Lecteur de streaming vidéo pour Netflix Co.

  • c’t 6/2022 à télécharger

Plus d'articles

Découvrez l'essentiel de l'actualité informatique : innovations, cybersécurité, et tendances technologiques. Restez informé des évolutions majeures et des opportunités dans ce domaine en constante évolution.

Les plus lues

Sujet du moment

Copyright © Lemedia05.com

Mentions légales

Contactez nous