Ce mercredi, un ingénieur de Google montrait les largesses de l'autorisation « Accéder à la caméra » sur iOS. Un comportement ancien, présenté comme normal, mais méconnu du grand public.

Felix Krauss, googler, a publié ce mercredi sur GitHub une démonstration concernant les iPhone : avec une application et les bonnes autorisations, il a réussi à faire du téléphone une véritable caméra de surveillance à l’insu de l’utilisateur. Cela n’étonnera pas les développeurs qui connaissent bien les permissions de l’OS, mais peut-être un peu plus le grand public qui ne maîtrise pas tout cela.

En effet, quand vous donnez à une application l’autorisation d’utiliser votre caméra, elle peut… utiliser votre caméra. Comme elle l’entend. Motherboard a repris la méthode et a vérifié les dires de l’ingénieur : son étude a permis de transformer un iPhone en véritable caméra de surveillance très discrète.

Krauss détaille qu’une fois l’autorisation donnée à un programme pour accéder aux différents capteurs de l’iPhone, le programme peut accéder à la caméra frontale et dorsale, enregistrer à tout moment dès lors que l’application est lancée et au premier plan (donc utilisée), prendre des photos et vidéos sans notifier l’utilisateur et même pratiquer de la reconnaissance faciale.

Le googler a développé cette expérience sur son temps personnel pour inciter ses contemporains à la méfiance lorsqu’ils acceptent des permissions d’applications. Pour prouver ses affirmations, Krauss a développé une application appelée watch.user et l’a partagé avec Motherboard, l’application a alors pu prendre des photos du journaliste et lancer en parallèle un moteur de reconnaissance faciale, sans donner d’indications à l’utilisateur quant à cette utilisation des capteurs.

Il ne s’agit pas d’une faille de sécurité, mais bien de l’étendue de la permission donnée par l’utilisateur à une application sur iOS. La méthode de Krauss montre un danger théorique et rien n’indique que des applications pratiquent un tel espionnage qui serait a priori chassé par Apple sur l’App Store. Néanmoins des applications utilisent cette possibilité donnée par Apple comme Stealth Cam, une application payante qui prend à intervalle régulier des photos discrètes — c’est exactement ce qu’elle dit qu’elle fait.

Et sur Android ?

Et sur Android alors ? Nous avons contacté deux développeurs qui sont arrivés à la même conclusion : si vous donnez l’autorisation à une app d’utiliser la caméra, elle pourra procéder plus ou moins de la même manière, le plus discrètement du monde. Du moins « rien ne l’empêche ». On trouve cet usage, par exemple, sur les Galaxy S de Samsung : si vous configurez l’option Message SOS, quand vous appuyez 3 fois sur le bouton Power, l’appareil prend une photo avec la caméra à l’avant et à l’arrière et l’envoie à un destinataire, le tout avec l’écran éteint.

Google a bien amélioré les protections liées aux autorisations de caméra et a rendu le discours autour de celles-ci bien plus clair.

Ne donnez aucune autorisation à une application qui n’a a priori aucun besoin de la fonctionnalité évoquée

Encore une fois, il faudrait donc, pour que la méthode soit répliquée et utilisée dans une attaque, qu’une application vous demande ouvertement l’autorisation de prendre des photos et qu’elle le fasse sans vous montrer l’interface de photo. Cela signifierait aussi qu’elle ait à passer le checkpoint d’Apple ou celui de Google pour atterrir sur l’un des deux magasins, ce qui semble bien improbable.

Moralité : non, un iPhone ne vous espionne pas au quotidien. Cela dit, connaître l’étendue des possibilités technique d’une autorisation n’est jamais un savoir superflu. Ne donnez, de toutes manières, aucune autorisation à une application qui n’a a priori aucun besoin de la fonctionnalité évoquée.

Merci à Antoine et Steeve Argentin pour les précisions sur Android.

Partager sur les réseaux sociaux