Retourne-moi, je te dirai qui tu es

Par SwissTengu @SwissTengu @SwissTengu — 08.05.2014
On va parler smartphone aujourd'hui. Vous savez, votre pimpant iPhone5S, ou Nexus7, ou S4… Bref, l'appareil qui sert à téléphoner en tweetant sur facebook.

Ce superbe jouet, bijou de technologie, que vous ne pouvez pas ne pas changer chaque année pour la nouvelle version "plus mieux bien qu'est plus fine et légère" est, en fait, un mouchard de première catégorie. Même avec un jailbreak, même avec une ROM personnalisée.

Voici quelques petites choses pour vous en convaincre, au cas où vous penseriez "meuh nan c'est bon, j'ai SlimKat sur mon nexus4".

Les applications, royaume de la délation
Regardez le nombre d'applications installées sur votre appareil. Elles sont chouettes, hein ? Elles vous simplifient la vie, vous divertissent, vous mettent en contact avec vos proches, gèrent votre liste de course, vos documents, synchronisent le tout dans le "claaouuuudde" du fabriquant… Le top quoi.
Regardons d'un peu plus près ce qu'il se passe…

Une application, c'est un truc que vous installez sur votre appareil, et qui demande des droits. Par exemple, accéder au contenu de votre carte SD, accéder à Internet. Accéder à votre appareil photo, au micro. Empêcher l'appareil de se mettre en veille. Votre position (que ce soit "grossière" ou "précise"), votre carnet d'adresse, l'identifiant de téléphone… Bref, plein de droits. Une tonne de droits.
Et, comme les choses sont bien faites, vous ne pouvez pas choisir quels droits vous allez réellement octroyer à l'application (du moins sur un smartphone d'origine, sans jailbreak ou autres).
C'est tout ou rien. Et comme l'application est trop top-moumoute avec ses oiseaux qu'on lance sur des extra-terrestres sauteurs sur fond de chatons, vous ne pouvez pas vous en passer, donc vous acceptez. Mais qu'est-ce que cela signifie, réellement ?

Allez, prenons Angry Birds Seasons pour rire. Ce jeu simple, dont la seule interaction se fait avec les doigts sur l'écran, vous demande, entre autres, votre position (grossière), un accès complet au Net, les informations sur les réseaux Wifi que votre appareil connaît, vos différents comptes enregistrés sur le téléphone… Et quelques autres encore1.

En quoi  un jeu à la con ne se jouant même pas via le réseau demande autant d'accès ??
Simple : publicités ciblées selon votre région. Avec, pourquoi pas, retransmissions de certaines informations à des partenaires… Vous jouez à ce jeu dans un MacDo ? Bah allez, on va vous balancer de la pub en rapport, pourquoi pas des coupons MacDo, ou, pour rire, l'adresse du Burger King le plus proche ;).

Les applications demandent des informations, et, surtout, vous ne savez pas ce qu'elles en font. Ni, réellement, pourquoi ces applications ont de tels besoins.

Et, avec la suite, vous verrez que même si vous supprimez toutes les données d'une application de votre appareil, et installez un autre mouchard du même éditeur, il y a fort à parier qu'il pourra vous dire précisément que c'est VOUS. Même s'il n'accède pas à vos comptes. Même s'il n'accède pas à votre carnet d'adresses. Même si vous avez fait une remise à zéro d'usine.

Les capteurs, ces sombres délateurs
Votre gyroscope, votre GPS, votre caméra, votre flash, votre écran tactile, tous ces capteurs sont uniques. Malgré des contrôles de qualités, chaque capteur a des petits défauts. Des petites différences qui le rendent unique.
Et, vous savez quoi ? Les applications ont un accès permanent à, au moins, 3 capteurs : le gyroscope, l'accéléromètre et l'écran. Trois des capteurs pouvant donner, en fait, le plus d'informations…

Le gyroscope situe l'appareil dans l'espace : est-il à plat, retourné, renversé, vertical, à l'envers, penché… Est-ce qu'il est en déplacement ?
On arrive même à déterminer le mode de déplacement et la direction, avec l'aide de l'accéléromètre. Et, chaque fois qu'on demande une information au gyroscope, on obtient en même temps une information qui le rend unique2.
Et, si vous regardez bien… Le gyroscope est accessible par toutes les applications. C'est un droit de base. Vous installez quelque chose sur un appareil mobile, il doit bien savoir comment s'afficher. Woohoo.
Il en va de même pour l'accéléromètre.

Mais ce n'est pas tout : les interactions avec l'écran tactile vont encore plus loin : on arrive, en conjonction avec nos chers gyroscope et accéléromètre, à déterminer si c'est bien VOUS qui employez l'appareil. À votre manière de taper, de glisser le doigt, à l'inclinaison de votre appareil… Autant de détails permettant de vous identifier de manière presque certaine3

À l'heure actuelle, les applications ont les données "brute de forge" : le système d'exploitation de l'appareil ne fait pas de nivellement de l'information, il ne la rend pas moins précise. Tout le monde peut donc obtenir des informations permettant de vous identifier de manière unique. Comme on est, en général, connecté 24/7 à un réseau, qu'il soit mobile ou wifi, ces données peuvent sans autre être renvoyées sur des serveurs, qui vont les analyser et les stocker. Et permettre de vous lier de manière unique à une série d'applications, même si aucune de celles-ci ne se trouve en même temps sur le même appareil.

Et on ne parlera pas non plus de Siri et autres Android voice command qui écoutent les conversations à l'affût d'un "Ok Google" ou "Siri" pour déclencher le mode "reconnaissance vocale"… Dont le traitement est fait à distance (sauf, à priori, la détection du mot-clef démarrant la reconnaissance vocale).

Alors, toujours aussi amoureux de vos petits gadgets ? Saviez-vous seulement qu'ils permettaient de vous tracer de la sorte, même en étant prudent et conscient des risques ?

On va finir par revenir sur le bon vieux 3210 : batterie tenant facilement une semaine, solide, simple, basique.


Commentaires (0)

Ajouter un commentaire