Des ultrasons pour cibler les publicités ou identifier les utilisateurs du réseau Tor

Par:
fredericmazue

mer, 04/01/2017 - 15:12

Si la suggestion de Donald Trump de revenir aux courriers postaux pour remédier aux problèmes de sécurité fait sourire, le nouveau président des Etats-Unis a au moins raison sur un point : dans le tout ordinateur d'aujourd'hui, plus personne ne sait exactement ce qui se passe. Ou du moins personne n'est conscient de tout tout le temps.

D'autant moins que l'imagination des hackers (noirs ou blancs) ne connaît pas de limite. C'est ainsi que six chercheurs en sécurité, lors du Black Hat Europe qui s'est tenu fin 2016, ont présenté un nouveau type d'attaque que l'on pourrait baptiser attaque aux ultrasons croisée.

L'idée est simple : si les humains ne peuvent entendre les ultrasons, les micros des smartphones le peuvent. Alors il suffit dans des spots publicitaires diffusés à la radio ou à la télévision, d'émettre des ultrasons qui seront captés par le smartphone allumé qui traîne à côté de vous. Le smartphone, si bien sûr y tourne une application capable de réagir aux ultrasons, enverra alors des données à l'annonceur qui pourra ainsi faire le lien entre vos différents terminaux et vous proposer de la publicité mieux ciblée ou adaptée au contexte de l'instant.

Mais il est possible d'aller beaucoup plus loin. Selon Vasilios Mavroudis, un des six chercheurs susmentionnés, il est possible par ce moyen d'obtenir la vraie identité d'utilisateurs du réseau Tor, ce réseau en couches qui en principe permet de surfer sur le Net dans un parfait anonymat. C'est grâce au réseau Tor qu'Edward Snowden a pu contacter des journalistes au nez et à la barbe de la NSA au début de l'affaire PRISM. Mais à partir de maintenant ceux qui ce sentent des vocations à la Snowden devront éteindre leurs smartphones.

En effet, explique Vasilios Mavroudis , il suffit que des sites Web embarquent du code JavaScript - éventuellement injecté par une bonne vielle attaque XSS à la papa pour le coup - qui émettra des ultrasons au moyen de l'API HTML5. Si à ce moment un internaute surfe via Tor mais que son smartphone est allumé, celui-ci réagira aux ultrasons et enverra des informations telles que IP réelle (du smartphone) et localisation à ceux qui voudront connaître son identité. A partir de là, il suffit de soumettre l'opérateur telecom à la question pour obtenir l'identité de l'internaute. De la même façon, les autorités pourraient contraindre les annonceurs à fournir les informations qu'ils recueilleraient par ce procédé, afin d'identifier des internautes.

Il faudra peut-être un jour dresser le chien de la maison (qui lui entend les ultrasons) pour qu'il sorte de sa niche et aboie en cas de telles attaques :-)

Commentaires

en gros quand je vais sur TOR je coupe mes enceintes ?

Vous éteignez votre smarthpone aussi :)

Ou un bout de scotch sur le micro et c'est réglé

il suffira de cree une appli en javascript qui va faire couiner le smartphone des qu'il detectera un ultrason.. CQFD