Avec Waze, les trajets effectués par les utilisateurs ne sont pas si confidentiels que cela. C’est ce qu’a remarqué une équipe de chercheurs en sécurité informatique de l’université californienne de Santa Barbara, en s’intéressant au fonctionnement de l’application mobile spécialisée dans la navigation par GPS. En effet, les experts ont mis au jour une vulnérabilité dans le logiciel pour le moins préoccupante pour la vie privée des usagers.
Décrite en détail sur Fusion, cette faille permet à des tiers de suivre en temps réel les trajets de n’importe quel utilisateur. Pour le démontrer, les auteurs de cette trouvaille ont suivi pendant trois jours les déplacements de la journaliste américaine à l’origine du papier sur Fusion, y compris lorsqu’elle empruntait les transports en commun (le bus) ou passait par un taxi. Les seuls instants où la filature numérique ont fait défaut furent ceux des trajets en métro, à cause de la perte du signal.
Pour parvenir à ce résultat, les experts ont dû se placer sur la trajectoire de la liaison entre le smartphone de l’utilisatrice et les serveurs de Waze. Malgré l’existence d’une connexion sécurisée afin d’empêcher que les communications ne soient lues en cas d’interception, les chercheurs sont quand même parvenus à analyser les données transitant d’un point à l’autre et ainsi connaître avec précision les déplacements de la journaliste. Une méthode qui pourrait être répétée pour n’importe quel autre membre.
Comme Waze fonctionne de façon communautaire, les utilisateurs se prévenant les uns les autres quand un évènement particulier survient sur la voie publique (accident, bouchon, police, danger…), les chercheurs ont pu tromper les serveurs de Waze en générant de faux embouteillages et suivre certains utilisateurs afin de connaître leurs faits et gestes sur la route. Tout cela, en utilisant des « voitures fantômes » par milliers afin de quadriller une zone en particulier, comme un quartier.
La découverte de l’équipe dirigée par Ben Zhao, professeur de science informatique au sein de la faculté, a fait l’objet d’une notification à Google l’an dernier — la firme de Mountain View possède l’application de navigation GPS depuis 2013. Une mise à jour a été proposée en début d’année, officiellement pour économiser de la batterie en évitant que des données GPS ne soient diffusées aux autres automobilistes lorsque l’application se trouve en arrière-plan.
La vulnérabilité reste toutefois activable quand l’application est en cours d’utilisation. Il y a une parade provisoire que les utilisateurs peuvent employer : passer par le mode invisible dans les réglages de son profil. Seul problème, il faut systématiquement activer le mode invisible à chaque fois que l’application est relancée. L’option est en effet désactivée quand vous quittez l’application.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
