Un chercheur a découvert une faiblesse dans les objets connectés de Google et certains de ses services : celle-ci permet de révéler avec une précision très élevée l'emplacement du foyer. Un patch est prévu.

La géolocalisation, c’est bien ; en garder la maîtrise, c’est mieux, surtout lorsque l’on se décide à ouvrir son foyer à toutes sortes de gadgets électroniques, qu’il s’agisse par exemple d’une enceinte intelligente ou d’un appareil multimédia ayant accès au réseau du domicile. Mais encore faut-il que les fabricants de ces appareils prennent garde à bien concevoir leurs objets connectés.

Et cela vaut aussi pour Google : l’entreprise américaine, qui propose à la fois une enceinte connectée (Google Home) et un appareil multimédia sans fil (Chromecast), s’est fait pincer par deux spécialistes de la sécurité informatique, Brian Krebs et Craig Young : leur découverte ? La possibilité de déterminer, de façon extrêmement précise, la localisation d’un utilisateur de Google Home ou du Chromecast.

Potentiellement, « des sites peuvent exécuter un simple script en arrière-plan qui recueille des données de localisation précises sur les personnes qui ont Google Home ou Chromecast installé n’importe où sur leur réseau local », met en garde Brian Krebs. « Les implications de cette situation sont assez vastes, y compris la possibilité de campagnes de chantage ou d’extorsion plus efficaces », écrit Craig Young.

Correction en vue

Pour que l’opération fonctionne, il suffit tout simplement de demander à Google d’établir la liste des réseaux sans fil à proximité, puis d’envoyer cette liste aux services de recherche de géolocalisation de la firme de Mountain View. À cela s’ajoute une dose de triangulation, par l’analyse de la puissance du signal des réseaux WiFi environnants et il est possible de déterminer une position très précise.

« Pour ma connexion Internet à domicile, la géolocalisation de l’adresse IP n’est précise qu’à environ 5 kilomètres », observe Brian Krebs. Ici, « j’ai toujours eu des emplacements à moins de 10 mètres de l’appareil ». Il note que « la seule véritable limite est que le lien [qui contient le script] a besoin de rester ouvert pendant près d’une minute avant qu’un tiers obtienne la localisation ».

Dans cette histoire, l’attitude de Google face à cette géolocalisation très fine a été fluctuante. Lentreprise américaine n’avait pas prévu de restreindre cette fonctionnalité, expliquant qu’il s’agissait d’un « comportement prévu », malgré un signalement de Craig Young en mai. Mais lorsque Bryan Krebs s’en est mêlé, le groupe a de toute évidence changé d’avis :

Un patch est prévu pour la mi-juillet.

Partager sur les réseaux sociaux