Bonne nouvelle, votre téléphone vous flique peut-être par ultrasons

Notre fascinante époque nous a déjà offert l'installation discrète d'applications capables d'utiliser le micro et la caméra de nos téléphones sans qu'on le souhaite – ou qu'on s'en rende compte, d'ailleurs -, l'enregistrement et le stockage de nos commandes vocales et, de manière générale, l'observation assidue de toutes nos activités en ligne pour mieux confectionner un costume publicitaire à nos mensurations de consommateur, mais ça ne suffit apparemment pas.

L'idylle du marketing et de la technologie a mis au monde, il y a quelques années, un nouveau et prodigieux dispositif de flicage du consommateur : le suivi ultrasonique inter-appareils, ou ultrasonic cross-device tracking. Le fonctionnement est élémentaire : votre télévision, votre page web ou un panneau publicitaire émet des signaux ultra-sons, d'une à trois secondes et d'une fréquence de 18 à 19,95 kHz, dans lesquels est encodé un message. Inaudibles à l'oreille humaine, ces signaux sont captés par le micro de votre téléphone lorsque vous passez à proximité. Le téléphone décode le message, l'enregistre, et sait ce que vous venez de voir. Par exemple, une publicité télévisée peut envoyer un signal durant lequel une fréquence équivaut à une lettre, ce que l'on appelle une empreinte.

The Register explique ainsi que les publicités émettent des empreintes de deux lettres, tandis que les publicités sonores, notamment sur Internet, transmettent des empreintes de cinq lettres. Ces empreintes, une fois décodées par l'appareil, se transforment en commandes, par exemple afficher un lien vers la page du produit ou simplement sa photo. A la longue, votre appareil enregistre aussi toutes les publicités et les magasins devant lesquels vous êtes passé, les pages web que vous avez consultées, le nombre et type d'appareils que vous utilisez chez vous, leur état d'obsolescence, les endroits où vous vous rendez, bref, tout ce qui peut potentiellement vous faire dépenser un peu plus de blé dans des objets dont vous n'avez pas spécialement l'utilité. Et en plus, ça énerve les chiens.

Rien de nouveau sous le soleil des objets connectés, en somme : le Wifi, le Bluetooth ou la NFC servent déjà de moyen de communication entre nos téléphones et les objets, publicités et enseignes environnants, sans que personne ou presque ne s'en émeuve. La différence, explique Wired, tient à la relative discrétion avec laquelle la technologie de communication par ultrason se propage dans le secteur commercial depuis quelques années, en proposant des systèmes d'authentification (pour remplacer les badges d'accès, par exemple) ou de transfert de données sécurisé entre deux appareils.

Le Journal du Net cite ainsi l'exemple de l'entreprise française CopSonic, qui développe actuellement de tels systèmes en partenariat avec 30 entreprises et cherche à lever 3 millions d'euros, en pariant sur le fait que la technologie est plus simple à implanter que le Bluetooth –un simple micro suffit à capter le signal, et tous les téléphones en possèdent un. La communication fonctionne sur une portée « de quelques mètres » et peu importe le bruit ambiant (ou presque : à une centaine de décibels, soit l'équivalent d'une boîte de nuit, ça devient compliqué).

Dans son article, Wired évoque quant à lui la compagnie indienne SilverPush, ex-leader du marché avec son logiciel Prism (oui, comme l'outil de surveillance de la NSA) qui, une fois intégré dans une application mobile, une page web ou une publicité télévisée, permettait à celle-ci de communiquer avec les objets environnants équipés du même code. Dans un monde où chaque consommateur possède désormais presque 4 appareils connectés et passe de l'un à l'autre 21 fois par heure en moyenne, la communication ultrasonique est le meilleur moyen pour les publicitaires de continuer à nous étudier sans se perdre dans nos activités simultanées. Le tout sans jamais se présenter officiellement à l'utilisateur : c'est l'application-client qui réclame l'autorisation d'utiliser le micro du téléphone à volonté, pas le logiciel de tracking.

En attendant une régulation, des bloqueurs artisanaux

Et c'est là que le bât blesse. En 2015, cette trop grande discrétion avait alerté le Center for Democracy and Technology (CDT), une association à but non-lucratif américaine de défense de la vie privée. Dans un commentaire exhaustif adressé en octobre 2015 à la Federal Trade Commision (FTC), l'association mettait en garde contre l'absence totale de régulation autour de cette technologie et le potentiel malveillant qu'elle recèle. En imaginant des situations très concrètes dans la vie des consommateurs du futur. « Par exemple », écrit le CDT, « une entreprise pourrait constater qu'un utilisateur a effectué une recherche sur les MST sur son ordinateur, a cherché l'adresse d'une agence du planning familial sur son téléphone, est allé à la pharmacie et est ensuite retourné dans son appartement.(…) La combinaison d'informations [récupérées sur] différents appareils ne soulève pas uniquement de sérieuses questions sur la vie privée mais permet également à des entreprises d'émettre des hypothèses au sujet des individus, qui peuvent s'avérer fausses et potentiellement nocives. »

Dans son rapport, le CDT rappelait ensuite qu'en avril 2015, SilverPush se targuait d'être implanté dans 67 applications mobiles, soit 18 millions de téléphones – et c'est loin d'être le seul acteur du marché. Vous êtes mal à l'aise, maintenant ? C'est le but. De fait, le rapport du CDT a tellement fait flipper la FTC qu'en mars 2016, l'organisme de régulation américain a envoyé une lettre-type à 12 développeurs d'applications mobiles équipées du code SilverPush pour leur conseiller de tenir leurs utilisateurs au courant. En leur rappelant poliment, au passage, que surveiller les habitudes de consommation des gens sans leur consentement express violait le Federal Trade Commission Act. Conséquence immédiate : la semaine suivante, SilverPush annonçait à Forbes qu'elle se retirait du lucratif secteur de la communication ultrasonique. Tant mieux pour ses concurrents -que la FTC n'a pas encore explicitement visés- comme Shopkick, Flurry (achetée par Yahoo), Drawbridge, InMobi, Velti, SessionM et tant d'autres, qui peuvent toujours agir comme bon leur semble dans un vide juridique quasi-total.

Lassées d'attendre la naissance d'un cadre juridique pour entourer correctement la croissance de cette technologie, des équipes de chercheurs ont pris les devants et développé leurs propres outils. A la conférence de cybersécurité Black Hat Europe de Londres, début novembre, une équipe internationale basée à l'University of California de Santa Barbara a ainsi présenté un patch Android et une extension Chrome qui redonnent à l'utilisateur un contrôle sur ces transmissions ultrasoniques. Côté Android, le patch force les applications à demander explicitement la permission d'utiliser le microphone pour recevoir ces signaux inaudibles, et permet à l'utilisateur de choisir de bloquer la réception de tous ces signaux. Côté Chrome, l'extension agit grosso modo comme un bloqueur de pub : lorsque la page se charge, l'extension scanne les différents composants audio et empêche les générateurs d'ultrasons de s'exécuter.

Du bricolage efficace, mais du bricolage quand même, qui ne doit pas faire oublier la nécessité d'une régulation. Car pour Vasilios Mavroudis, interrogé par Wired, la traque des habitudes de consommation n'est même pas la pire des inquiétudes. « Je ne pense pas que ces entreprises aient de mauvaises intentions », explique le chercheur, « mais la manière dont cette chose est actuellement implémentée est très opaque pour les utilisateurs. » En cause, le problème des « super-privilèges » : concrètement, une application n'a absolument pas besoin d'accaparer tout votre micro pour recevoir des messages ultrasoniques mais faute de loi, elle se le permet, et peut donc potentiellement écouter tout ce que vous faites. Enfin, le protocole de communication ultrasonique semble particulièrement vulnérable : en théorie, il est tout à fait possible, et même plutôt facile, de créer de fausses « balises ultrasoniques » qui envoient des malwares depuis des enceintes directement dans votre téléphone, d'autant que votre appareil ne vous demande jamais votre permission pour ouvrir et décoder le message.

Ce serait alors la première fois depuis Stuxnet, écrit New Scientist, qu'une génération de virus parvient à franchir l'air gap, l'absence de connexion électronique qui protège les stockages de données sensibles. Même si la technologie ultrasonique ne permet pas de transmettre plus de quelques bits de données à la fois, l'absence de standards pour régir la construction et le fonctionnement de ces balises laisse le champ totalement libre à ceux qui voudraient s'en servir comme outil de pénétration. Pour identifier, par exemple, les utilisateurs du réseau Tor, ou espionner des réunions de dissidents dans des régimes autoritaires, alors même que tous les portables seraient coupés. Si la technologie continue de fleurir en l'absence de réglementation, il faudra peut-être bientôt ajouter l'isolation sonore aux dispositifs de protection de la vie privée en ligne.