Sortez couverts !

Imaginez, vous êtes tranquillement devant votre émission de TV favorite. La coupure pub commence et pour passer le temps vous attrapez votre smartphone sur la table basse pour lancer le jeu du moment. Une bannière de publicité s'affiche sur votre téléphone qui correspond exactement à l'émission que vous regardez ou à une des publicités qui vient de passer…

Une menace bien concrète

Bienvenue dans le monde réel : celui où des gens sont parvenus à créer le chaînon manquant qui permet de relier vos différents appareils : TV, ordinateur, téléphone, tablette, montre connectée, etc.
C'est vrai que pour un spécialiste du marketing il est très frustrant de ne pas savoir si vous regardez sa publicité, ou comment vous utilisez vos différents appareils. Très frustrant aussi de ne pas pouvoir déterminer si cet ordinateur et ce smartphone appartiennent à deux individus sans aucun lien, ou bien sont utilisés dans le même cercle familial.

Le chaînon manquant qui permet de relier tous ces appareils sans votre consentement existe, et il fonctionne.
Son mécanisme est simple : un contenu (en général une publicité) est diffusé sur un support numérique, par exemple votre TV. Ce contenu cache un message ultrason inaudible pour nos oreilles. Ce message est ensuite capté par tous les équipements à proximité qui disposent d'un micro : smartphone, tablette, ordinateur, chromecast, etc. Enfin, une application sur ces appareils décode le message et renvoie l'information via sa propre connexion internet.

Ce type de dispositif tend véritablement à coloniser l'espace privé avec de plus en plus d'appareils connectés qui écoutent en permanence leur entourage (TV connectée, assistants domestiques de Google ou Amazon…).

Mais la menace ne s'arrête pas là puisque des espaces commerciaux sont aussi progressivement investis par ces technologies. L'écoute n'a alors pas d'intérêt, par contre certains commencent à installer des émetteurs ultrasons dans leurs lieux de vente, ce qui permet de tracker tous les visiteurs disposants d'un téléphone sur lequel est installé une application compatible.

On le comprend vite, cette technologie permet de faire le lien entre deux appareils non connectés l'un à l'autre. Elle permet donc d'affirmer que, si j'envoie un code unique en ultrason via une page web, et que je reçois la confirmation de lecture via une application smartphone sur le téléphone dont le numéro est 07 17 xx yy, alors j'ai dé-anonymisé la personne qui a visité ma page web. Même si cette personne a utilisé TOR pour rester anonyme sur Internet, cette communication cachée en ultrasons entre son ordinateur et son smartphone a suffi à lever cet anonymat.

Contre-mesures

Fort heureusement, des chercheurs en sécurité informatique ont pris les choses en mains. On en sait donc maintenant beaucoup plus sur cette technologie, ses usages, et aussi ses lacunes. Comme souvent, les aspects de protection des utilisateurs n'ont pas été pris en compte, et comme le montre l'exemple de dé-anonymisation ci-dessus, les conséquences peuvent être dramatiques pour des personnes qui ont un réel besoin d'anonymat : activistes, minorités oppressées, etc.

En réaction, beaucoup d'informations sur le sujet ont commencé à circuler, certaines personnes ont développé des contre-mesures.

Il est ainsi possible de neutraliser les émissions d'ultrasons dans différents produits et logiciels, avec notamment une extension pour votre navigateur, qui permet de filtrer les fréquences ultrasoniques, et un patch pour le système de permissions d'Android permettant d'interdire aux applications de capter les ultrasons.

En attendant que ce tracking par ultrason soit régulé, et surtout sécurisé, je vous encourage à ne pas installer d'application qui demande l'accès au micro de vos appareils.

Bibliographie

Je vous encourage fortement à lire les slides de la présentation Talking Behind Your Back qui s'est déroulée en 2016 à la convention BlackHat si vous voulez en savoir plus.

Un article plus verbaux d'Arstechnica présente des informations similaires mais n'aborde pas les questions techniques.

bannière Falit Goyal CC BY-SA 3.0