Des chercheurs américains et israéliens ont découvert que les gyroscopes des smartphones étaient assez sensibles pour être exploités comme microphones par des espions. Ils demandent que des mesures de sécurité supplémentaires soient prises.

Tout ce qui vibre et qui communique l'ampleur de la vibration est théoriquement exploitable comme microphone. C'est en partant de cette simple idée que des chercheurs de l'Université de Stanford et de l'entreprise d'armement israélienne Rafael ont travaillé sur une possible exploitation du gyroscope des smartphones comme micro, dans une étude qu'ils dévoileront la semaine prochaine lors de la conférence de sécurité Usenix Security

Selon les conclusions dévoilées par Wired, les chercheurs ont découvert que les gyroscopes des smartphones — qui permettent de connaître l'angle d'inclinaison — étaient assez sensibles pour vibrer sous l'effet des ondes sonores émises par la voix. Or contrairement au microphone qui nécessite une autorisation de l'utilisateur au cas par cas, aucune sécurité logicielle interdit à une application mobile ou à un site web d'obtenir l'accès en temps réel aux données du gyroscope. Il suffit donc d'utiliser les API prévues à cet effet, et les données peuvent être collectées sans obstacles.

Concrètement, les gyromètres embarqués dans les smartphones peuvent transmettre leurs données jusqu'à 200 fois par seconde, soit à une fréquence de 200 hertz. Or la voix humaine se situe généralement entre 80 et 250 Hz, ce qui permet de capter l'essentiel d'entre elles en utilisant les gyroscopes.

Une faille pour Firefox sous Android

Sans être spécialistes de la reconnaissance vocale, les chercheurs ont mis au point une expérience pour reconnaître certains mots (en l'espèce, des nombres prononcés de 0 à 10), à partir des courbes d'oscillation. lls ont réussi à identifier 65 % des chiffres prononcés par une personne dans une pièce où était situé le smartphone (on ne sait pas à quelle distance), et à identifier le sexe de la personne qui parlait dans 84 % des cas. Ils ont aussi réussi à distinguer entre cinq interlocuteurs différents, avec une certitude de 65 %.

"Si nous passions un an à bâtir une reconnaissance vocale, nous pourrions être bien meilleurs", assurent les scientifiques.

Mais leur objectif est de prévenir du danger, et d'obtenir que des mesures soient prises. Le plus simple est de limiter par défaut la précision du gyroscope. Ainsi sur iOS, il est quasiment impossible d'écouter une personne à partir du gyromètre, car Apple limite la transmission des données à 100 Hz, alors qu'Android permet d'utiliser la plénitude des 200 Hz. De même, Chrome et Safari pour Android limitent la transmission des données sur le web à seulement 20 hertz, tandis que Firefox pour Android autorise l'exploitation totale des 200 Hz.

Théoriquement, il serait donc possible d'injecter un code javascript sur une page web pour écouter tout ce que dit l'utilisateur qui la consulte sous Firefox sous Android. Ce n'est toutefois qu'une théorie.

Source : Numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.