Pour gérer vos consentements :

Sécurité IT – smartphones : les gyroscopes ont des oreilles

La sécurité des smartphones a été mise à mal du 14 au 17 octobre derniers dans le cadre de la conférence Black Hat Europe 2014, organisée à Amsterdam.

Illustration avec la présentation donnée par Yan Michalevsky et Dan Boneh, de l’université de Stanford. Accompagnés par Gabi Nakibly (de la firme israélienne Rafael Advanced Defence Systems), les deux chercheurs ont exposé les résultats de leurs travaux autour… des gyroscopes. Leur constat est sans appel : ces capteurs électromagnétiques embarqués dans la plupart des terminaux mobiles présentent une certaine sensibilité au bruit ambiant et peuvent donc être exploités pour placer des utilisateurs sur écoute.

Dans leur analyse (document PDF, 48 pages), Dan Boneh, Yan Michalevsky et Gabi Nakibly distinguent deux fabricants principaux de gyroscopes : InvenSense (pour les terminaux Google Nexus) et STMicroelectronics (notamment pour les Galaxy de Samsung). Les gyroscopes d’InvenSense peuvent capter des sons d’une fréquence allant jusqu’à 8000 Hz ; ceux de STMicroelectronics sont capables d’aller jusqu’à 800 MHz. La voix humaine, qui se trouve dans la fourchette de 85 – 180 Hz pour les hommes et 165 – 255 Hz pour les femmes, entre donc largement dans cet intervalle.

Les limites imposées par les systèmes d’exploitation en termes de fréquence d’échantillonnage (200 Hz sur Android ; 100 Hz sur iOS) pourraient constituer un rempart pour les utilisateurs. D’autant plus que chaque application abaisse un peu plus ce seuil, par exemple avec les navigateurs Web : sur Android 4.4, 20 Hz pour Opera et 25 Hz pour Chrome (tous deux basés sur WebKit) ; sur iOS 7, 20 Hz pour Safari. Mais il existe ce phénomène appelé « aliasing » ou « repliement de spectre ». C’est-à-dire une distorsion due à l’évolution du signal sonore dans le temps… et dans ce cas précis, son glissement dans les fréquences basses.

Les trois chercheurs ont déterminé que les gyroscopes devenaient véritablement réactifs à partir de 70 décibels, soit l’équivalent d’une conversation à voix haute. Leurs trois axes (X, Y, Z) en font de véritables microphones omnidirectionnels. Ils sont d’autant plus vulnérables que leur exploitation ne requiert, sur Android, aucune permission particulière, alors que l’utilisateur doit donner son accord aux applications qui souhaitent utiliser le microphone.

Dans 84 % des tests réalisés sur un Nexus 4, le sexe de la personne espionnée a correctement été identifié (82 % sur un Galaxy S3). Après conversion du signal en fichier WAV à 8 KHz et suppression des silences, près d’un mot sur cinq a pu être interprété. Utiliser cette technique d’écoute sur deux appareils en même temps améliore le taux de détection, plus encore si lesdits appareils sont posés sur une surface sujette aux vibrations.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de l’électronique embarquée dans les automobiles ?

Crédit photo : Spectral-Design – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago