Plongée dans la « pieuvre » de la cybersurveillance

Une faille dans Chrome met sur écoute sans le savoir, graphique cybersurveillance de la NSA : infographie.

pieuvre

Un développeur a constaté plusieurs bugs dans le navigateur de Google. L’un d’eux permet de laisser la fonction microphone ouverte. Elle donne la possibilité à un site web malveillant d’enregistrer les conversations environnantes. Problème, Google tarde à corriger cette faille.

Tal Ater, un développeur web, a trouvé plusieurs erreurs dans Chrome quand il travaillait sur la bibliothèque JavaScript appelée « annyang » pour l’API Web Speech intégrée dans le navigateur. Or parmi ces failles, il en a trouvé une qui permet d’accéder au microphone de l’ordinateur alors que l’utilisateur pense que la fonction de reconnaissance vocale est désactivée. Il a donc créé un test où un site web peut continuer à accéder au micro du PC même si l’utilisateur estime qu’il a quitté le site. Le développeur a détaillé sur son site le modus operandi de ce bug. Pour autant, s’il a choisi la mise en avant public, c’est pour dénoncer le peu de réactivité de Google sur ce sujet.

Le développeur explique qu’il a exposé les failles à la firme de Mountain View le 13 septembre dernier. Le 19 septembre, les ingénieurs de Google ont identifié les bugs et suggérer des correctifs. Tal Ater pensait qu’après cela les ingénieurs allaient résoudre le problème en moins de deux semaines. Un mois et demi plus tard, il constate aucun changement et interpelle le géant du web, qui lui répond laconiquement que son API répond aux critères du groupe de standardisation du web (WW3C) et que « rien n’est décidé maintenant ».

Des scénarios catastrophes

Pour Google, il n’y a pas de menace et rappelle que cette fonction de reconnaissance vocale doit demander le consentement de l’utilisateur avant d’être activée. Si tel est le cas, la firme indique que lors de l’activation du microphone, un point rouge apparaît dans un onglet du navigateur. Le développeur ne conteste pas que l’attaque ne fonctionne pas si le consentement n’a pas été donné. Cependant, Tal Alter a constaté que Chrome se souvient si une personne a accordé la permission d’activer le microphone à un site utilisant le protocole HTTPS et peut donc laisser des sites écouter les internautes sans  nouvelle approbation de l’utilisateur.

Le développeur a décrit un scénario où un site web malveillant pourrait lancer un pop-up, qui resterait en arrière-plan de la navigation et enregistrer les conversations privées de l’utilisateur. Cette fenêtre peut être camouflée en publicité, elle peut aussi être mise en veille et ne s’activer à l’écoute de mots-clés, selon une vidéo de démonstration sur le site de Tal Ater.

Can you hear me

  1. Crédit Photo: D.R
  2. Des applications de smartphones « mises sur écoute » par la NSA

  3. Le Guardian révèle, lundi 27 janvier, que la National Security Agency (NSA) et son équivalent britannique, les Government Communications Headquarters (GCHQ), ont tiré parti du fait que certaines applications pour téléphone mobile compilaient de nombreuses informations personnelles sur leurs utilisateurs pour alimenter leurs bases de données. Ces services de renseignement, qui ont agi sans informer les éditeurs d’application et sans leur consentement, ont ainsi utilisé des données provenant notamment du jeu Angry Birds ou de l’application de cartographie Google Maps, montrent plusieurs documents internes de la NSA transmis par le lanceur d’alerte Edward Snowden au Guardian.

    Dans l’un des scénarios décrit par ces documents, le fait qu’un utilisateur mette en ligne une photo de profil depuis son téléphone portable suffit à l’agence à récupérer une grande quantité de données sur cet utilisateur (géolocalisation, adresse électronique, contacts…). L’un de ces documents, datant de 2008, explique que le système « fait qu’en pratique, toute personne utilisant Google Maps sur un smartphone travaille pour un système du GCHQ ». Les documents listent plusieurs applications, principalement sous Android, le système d’exploitation de Google, mais évoquent également l’utilisation des mêmes technologies pour les applications sur iPhone.

    UN SYSTÈME MIS EN PLACE À L’INSU DES ÉDITEURS

     

    Interrogé par le Guardian, Rovio, l’éditeur d’Angry Birds, a nié toute connaissance de l’existence d’un tel système de surveillance. Les documents consultés par le quotidien britannique semblent montrer que les services de renseignement ont mis en place plusieurs systèmes de détection et d’enregistrement des données à l’insu des éditeurs des applications, un pour chaque application visée, et baptisés d’après les personnages des Schtroumpfs.

    La NSA a réagi à ces révélations en suivant sa ligne habituelle : sans niernier l’existence de ces outils et la capacité de l’agence et de ses alliés à collecter de grandes quantités d’informations, elle affirme qu’il est « faux d’affirmer que les collectes d’informations de la NSA à l’étranger ciblent les communications ou les informations de citoyens américains ». Légalement, la NSA n’est pas autorisée à surveiller les actions des citoyens américains, mais rien ne lui interdit de collecter de grandes quantités d’informations sur des ressortissants d’autres pays.

    Plongée dans la « pieuvre » de la cybersurveillance de la NSA :  infographie

    Un autre document, édité par le GCHQ, détaille les types d’informations collectables à partir des données utilisées par Angry Bird, l’un des plus grands succès du jeu vidéo sur mobile avec plus d’un milliard et demi de téléchargements. Les données évoquées sont limitées mais précises : identifiant unique du téléphone, modèle, version du système d’exploitation… Ce type de données est en général collecté par les applications mobiles financées par la publicité, comme Angry Birds, qui les utilisent pour proposer des publicités ciblées à leurs utilisateurs. Même limitées, ces données peuvent être croisées avec d’autres informations recueillies dans d’autres applications pour permettre une identification poussée de l’utilisateur du téléphone.

    Protection

    Contacts

    JL GESTION SA

    Bruxelles

    JL GESTION SA
    Avenue de l’indépendance Belge 58
    1081 Bruxelles
    Tel : +32 2 412 04 10 (gestion projet – comptabilité)
    Tel: +32 2 412 04 11 (gestion projet – commercial)
    Tel: +32 2 412 04 12 (secrétariat)
    Fax : +32 2 412 04 19
    Gsm : +32 485 212 722
    Email : selossej@jlgestion.be
    Site: http://www.jlgestion.be

    Lille

    JL GESTION SA
    21 Avenue le Corbusier
    59042 Lille Cedex
    Tel : +33 3 59 81 17 85
    Fax : +33 3 59 81 17 81
    Gsm : +32 477 789 445
    Email : selossej@jlgestion.be
    Site: http://www.jlgestion.fr

Advertisements

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

You are commenting using your WordPress.com account. Déconnexion / Changer )

Twitter picture

You are commenting using your Twitter account. Déconnexion / Changer )

Photo Facebook

You are commenting using your Facebook account. Déconnexion / Changer )

Photo Google+

You are commenting using your Google+ account. Déconnexion / Changer )

Connexion à %s