Clé à emporter
- Les chercheurs démontrent que les signaux Bluetooth peuvent être identifiés de manière unique grâce à de minuscules imperfections dans les puces.
- Cependant, le processus est mieux adapté pour suivre des groupes de personnes plutôt que des individus, suggèrent des experts.
- Ils suggèrent qu'il devrait être utilisé comme un autre exemple pour faire pression pour des réglementations strictes afin de limiter le suivi.
Les chercheurs ont découvert une autre faille Bluetooth, qui pourrait présenter un risque pour votre vie privée si seulement elle était facile à militariser.
Lors de la récente conférence IEEE sur la sécurité et la confidentialité, des chercheurs de l'Université de Californie à San Diego ont présenté leurs conclusions sur les puces Bluetooth présentant des imperfections matérielles uniques pouvant être détectées par des empreintes digitales. Cela permet théoriquement aux attaquants de suivre les utilisateurs via les puces Bluetooth intégrées à leurs gadgets intelligents, bien que les chercheurs admettent eux-mêmes que le processus nécessite une quantité considérable de travail et une bonne dose de chance.
"Le "suivi" des appareils des utilisateurs qu'ils décrivent est une autre escalade dans la course aux armements en cours entre les courtiers en données et les fabricants d'appareils soucieux de la confidentialité", a déclaré Evan Krueger, responsable de l'ingénierie chez Token, à Lifewire par e-mail. "Il est peu probable que cette technique soit utilisée pour une attaque ciblée, comme le harcèlement ou la violence entre partenaires intimes de la manière dont les gens ont vu les Apple AirTags utilisés récemment."
Forensics Bluetooth
Les chercheurs affirment que ces derniers temps, les appareils mobiles, y compris les smartphones et les montres intelligentes, sont devenus des balises de suivi sans fil, transmettant constamment des signaux pour des applications telles que la recherche de contacts ou la recherche d'appareils perdus.
Selon les chercheurs, nos appareils intelligents émettent constamment des centaines de balises par minute. Lors de leurs tests avec plusieurs appareils intelligents, ils ont cadencé l'iPhone 10, envoyant plus de 800 signaux par minute, tandis que l'Apple Watch 4 crache près de 600 balises toutes les 60 secondes.
"Ces applications [Bluetooth] utilisent l'anonymat cryptographique qui limite la capacité d'un adversaire à utiliser ces balises pour traquer un utilisateur", notent les chercheurs. "Cependant, les attaquants peuvent contourner ces défenses en prenant les empreintes digitales des imperfections uniques de la couche physique dans les transmissions d'appareils spécifiques."
La recherche est remarquable car elle a aidé à démontrer que les signaux Bluetooth ont une empreinte digitale distincte et traçable.
Cependant, le processus exact d'identification du signal unique d'un appareil prend du temps et n'est pas toujours garanti car toutes les puces Bluetooth n'ont pas la même capacité et la même portée.
Tir à la corde
"Sur la base des recherches, cette technique ne semble pas susceptible d'être utilisée dans le monde réel sans quelques itérations pour simplifier son utilisation et la rendre plus stable", Matt Psencik, directeur, spécialiste de la sécurité des terminaux, chez Tanium, a déclaré à Lifewire par e-mail, après avoir parcouru le journal.
Psencik a illustré son argument en disant qu'il vient d'utiliser une application BluetoothLE Scanner qui a capté 165 appareils Bluetooth près de lui alors qu'il se trouvait au troisième étage d'un immeuble. "Dans cet esprit, utiliser cette méthode pour suivre quelqu'un dans des endroits bondés serait un exploit mieux accompli avec le suivi visuel classique de la ligne de mire", a déclaré Psencik.
Il a noté que bien que les chercheurs aient identifié une faille dans Bluetooth, leur mécanisme de suivi générerait beaucoup de données avec peu de résultats.
Krueger a accepté, disant que plutôt qu'un exploit pour suivre des personnes individuelles, le travail des chercheurs intéressera probablement les sociétés de courtage de données qui tentent de surveiller les gens en masse et de vendre ces données, ou d'y accéder, à des fins publicitaires fins.
"Alors qu'un détaillant peut considérer le suivi des clients via les empreintes digitales Bluetooth lorsqu'ils se déplacent dans leur magasin comme inoffensif pour les clients et bénéfique pour l'entreprise, les conséquences d'une surveillance sans entraves sont en effet inquiétantes", estime Krueger.
Expliquant la gravité de la situation, Krueger a déclaré que les gens sont assez handicapés pour lutter directement contre ce type de suivi, compte tenu du niveau de sophistication employé par ces techniques d'empreintes digitales et de l'omniprésence du balisage Bluetooth dans des produits devenus essentiels à notre vie quotidienne.
La seule option dont disposent les gens est de rechercher des produits et services ayant fait leurs preuves en matière de respect de la vie privée des utilisateurs, auprès d'entreprises qui ont exprimé leur soutien à une législation visant à limiter le suivi ciblé généralisé des personnes, comme décrit dans le document.
"Ceux-ci peuvent sembler être de petites étapes ou même sans conséquence pour un individu", a reconnu Krueger, "mais il s'agit d'un problème d'action collective, et il ne peut être résolu que par une pression soutenue et cumulative du marché et de la réglementation."
