Des chercheurs de l'université de Stanford et du groupe Rafael (l'autorité israélienne pour le développement d'armes et de technologie militaire) ont trouvé un moyen de transformer le gyroscope des Smartphone (le senseur qui utilise la gravité pour orienter l'appareil) en un micro permettant de le mettre sur écoute. Le groupe a crée une application appelée Gyrophone qui analyse les ondes acoustiques que le gyroscope recueille. Sur les téléphones Android, il est impossible de refuser à une application l'accès au senseur.
Comme l'explique Wired, les gyroscopes dans les Smartphones ont une petite plaque à l'intérieur qui bouge quand l'appareil bouge. Mais cette plaque vibre également, et les chercheurs ont utilisé une fonctionnalité d'Android pour mesurer les vibrations à 200 hertz, 200 fois par seconde, soit assez pour capter les voix humaines. Les chercheurs se sont rendus compte qu'en utilisant leur programme de reconnaissance vocale sur un flux provenant du gyroscope, ils pouvaient identifier correctement 65% des numéros prononcés par une personne se trouvant dans le même pièce que le Smartphone.
La clarté n'est pas optimale, mais la technique n'aurait besoin que d'un peu d'amélioration pour devenir un problème sérieux pour tout personne donnant son numéro de carte de crédit au téléphone. Et elle pourrait être utilisée dans d'autres buts. Le programme de reconnaissance vocale des chercheurs leur permet déjà de déterminer le sexe du locuteur 84% du temps.
Le professeur de science informatique de Stanford Dan Boneh, qui a particpé aux travaux, a expliqué à Wired:
«C'est en fait assez dangereux d'ouvrir l'accès au hardware comme cela sans aucune protection. [...] il y a des informations acoustiques qui sortent du gyroscope. Si nous passions une année à construire une reconnaissance vocale optimale, nous pourrions devenir bien meilleurs à ça. Mais on a montré que c'était possible.»
C'est une chose de télécharger une application non vérifiée. Mais Wired souligne que vous pourriez aussi être vulnérable en naviguant sur des pages Internet non-sécurisées avec Firefox. Safari et Chrome limitent la lecture depuis le gyroscope à 20 hertz, mais Firefox la permet à 200 hertz.
Les appareils iOS sont légèrement mieux protégés contre les attaque contre leur gyroscope. iOS permet à toutes les applications d'accéder au gyroscope sans demander la permission de l'utilisateur, mais celles-ci ne peuvent obtenir que les lectures à 100 herz, ce qui réduit les chances que l'on puisse entendre quoi que ce soit.
Les travaux seront présentés à la conférence sur la sécurité Usenix la semaine prochaine et pourraient encourager Google à faire des changements.
