Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Menaces sur la vie privée : on n’a encore rien vu !

juin 2021 par Arnaud Lemaire, Directeur Technique F5 France

Les risques que font peser les usages numériques sur la vie privée peuvent sembler bien identifiés : après tout, des années de pratique du web et de sensibilisation doivent forcément avoir préparé les internautes à la protection de leur vie privée  ! Dans les faits, pourtant, ce n’est pas aussi simple. Déjà parce que les outils évoluent sans cesse, et qu’il est parfois compliqué de maîtriser une nouvelle technologie au point d’en connaître tous les réglages qui permettraient de ne pas exposer ses données personnelles par accident.

Bien sûr, le grand public a au moins entendu parler des risques les plus courants : l’utilisation de mots de passe faibles ou le partage des mots de passe, ou encore l’absence de mises à jour de sécurité. Tout cela facilite les intrusions et donc le vol de données à caractère personnel. Mais une bonne pratique numérique permet toutefois d’échapper à ces risques les plus évidents. Il existe toutefois de nombreuses autres manières de mettre sa vie privée à risque, sans le savoir, et elles sont souvent particulièrement subtiles…

La géolocalisation : Les smartphones enregistrent des métadonnées détaillées sur l’appareil et les conditions de prises de vue de chaque photo. À moins d’avoir désactivé cette option, chaque fichier JPEG contient notamment les coordonnées GPS précises du lieu où la photo a été prise. Et lorsque la photo est partagée ou mise en ligne, ces métadonnées sont partagées avec  ! C’est ainsi que les plateformes de médias sociaux peuvent classer automatiquement les photos par heure et par lieu de prise de vue. Et au fil des photos partagées sur un compte de réseau social, cela crée une trace détaillée de ses déplacements  !

Les forces de l’ordre utilisent régulièrement les métadonnées des images pour localiser des criminels. Et si, désormais, la plupart des grandes plateformes sociales suppriment enfin l’essentiel des métadonnées des photos téléchargées, il peut encore arriver qu’un défaut ou une lacune de leur site rende ces métadonnées accessibles (et toutes les photos publiées sur Internet en dehors de ces plateformes conservent leurs métadonnées de toute manière).

Risques HD : Les appareils photo numériques offrent aujourd’hui une qualité d’image incroyable, qui était il y a seulement quelques années encore hors de portée des amateurs  ! Cependant, la netteté de ces images pose un problème de sécurité : elles peuvent révéler plus d’informations que prévu. Par exemple, il est possible de profiter de la haute résolution pour identifier des personnes qui ne sont pourtant pas sur la photo à partir de leurs reflets dans les yeux des sujets ou sur une surface réfléchissante située à proximité. Il est également possible de relever d’autres détails, comme le texte sur les papiers confidentiels qui apparaissent dans le cadre (les fameux mots de passe écrits sur un post-it au second plan), ou les empreintes digitales d’une personne, même à distance. Mieux encore — et ça a été prouvé — il est possible de refaire une clé à partir d’une photo.

Le même risque s’applique dans d’autres domaines que la photo. Les enregistrements sonores de haute qualité réalisés à l’aide de microphones sensibles — comme ceux des assistants personnels intelligents — peuvent capter des conversations privées qui ne sont pas censées être enregistrées. Il est même possible d’analyser un enregistrement des sons du clavier pour reconstituer ce qui a été tapé… comme un mot de passe, par exemple  ! Et ce n’est qu’un début : à mesure que la qualité des capteurs vidéo et audio augmentera, ces risques se multiplieront.

Van Eck Phreaking : Quand en 1985 Wim van Eck a réussi à espionner l’écran d’un terminal informatique à une centaine de mètres de distance à l’aide d’un simple téléviseur et 15 dollars de matériel électronique, la communauté du renseignement était dépitée : ce type d’interception des émissions électromagnétiques résiduelles était jusqu’à présent réservé aux services de renseignement officiels, et il n’était pas envisagé qu’un particulier puisse faire de même, et surtout aussi facilement  !

Presque trente ans après, il est encore plus simple et accessible à n’importe qui d’analyser les signaux électromagnétiques afin d’engranger de l’information. Toute personne qui traite des informations sensibles sait qu’elle doit travailler dans des pièces sans fenêtre ou dans une cage de Faraday et bannir tout appareil doté d’un microphone, en raison des techniques qui utilisent des émissions radio ou des microphones pour surveiller l’écran d’un ordinateur. Il existe des techniques analogues qui peuvent utiliser le laser pour écouter une conversation à 500 mètres de distance, ou exfiltrer des données à l’aide de signaux ultrasoniques.

Bien entendu, comme toute technologie, celle-ci peut également être utilisée à des fins bénéfiques — c’est ainsi que l’application Zoom détecte les appareils Zoom physiques dans la même pièce — mais il va de soi qu’elle peut être, et est, utilisée par des acteurs malveillants pour espionner.

Scraping : la plupart des internautes s’attendent à ce que les données publiées sur Internet restent là où elles ont été déposées. Mais en réalité, des milliers d’acteurs du web extraient constamment des données en ligne afin de les conserver. Ils le font pour diverses raisons, bonnes ou mauvaises. Google, par exemple, explore constamment le Web pour créer son index de recherche, et c’est une bonne chose. Mais il existe d’autres acteurs qui utilisent des bots pour créer des attaques d’une ampleur telle qu’elles ne seraient pas possibles avec des moyens manuels. Ainsi, plus de 90 % de toutes les tentatives de connexion à de nombreuses applications Web majeures, 24 heures sur 24 et 7 jours sur 7, proviennent de bots qui cherchent à prendre le contrôle de comptes utilisateurs. Les bots sont également utilisés pour récupérer en masse des images sur les plateformes de médias sociaux, pour ensuite créer d’autres faux comptes qui sembleront ainsi plus réels. C’est l’une des raisons pour lesquelles tant de robots de médias sociaux affichent les mêmes photos de profil (il est d’ailleurs intéressant d’effectuer une recherche d’image inversée sur sa propre photo de profil… les résultats peuvent être surprenants  !)

Corrélation croisée : Des informations anodines peuvent être reliées pour en révéler davantage que ce qu’elles laisseraient supposer. Ainsi, donner son numéro de téléphone pour bénéficier des avantages d’une carte de fidélité peut sembler anodin. Mais lorsque ce numéro est recherché dans des listes de marketing de tiers, puis associé par exemple à des listes électorales ayant fait l’objet de fuites, il peut être utilisé pour identifier le lieu de résidence, un positionnement politique, des problèmes de santé, des déplacements et même l’entourage sur les médias sociaux. Et ce profil peut ensuite être revendu à l’infini. Il y a quelques années, AOL a publié ce qu’elle pensait être un ensemble de données de demandes de recherche anonymes. Mais en combinant ces informations avec plusieurs sources d’éléments d’informations personnelles identifiables, certains utilisateurs de cet ensemble de données anonymes ont pu être identifiés.

Ce ne sont là que quelques exemples d’une liste toujours plus longue de menaces contre la vie privée. Et c’est probablement déjà beaucoup pour la plupart des internautes  ! Mais les avancées de l’intelligence artificielle et de l’automatisation ne vont probablement pas en rester là, et continuer d’ouvrir aux acteurs malveillants de nouvelles perspectives.

Comme l’illustre la récupération de données en masse (scraping), d’importantes quantités de données peuvent être volées et réutilisées grâce à des robots sophistiqués. De même, des robots peuvent extraire des informations de géolocalisation de milliards de photos en ligne, et l’IA peut analyser rapidement ces ensembles de données pour détecter des modèles intéressants, tels que des empreintes digitales ou des visages exploitables.

On pensait traditionnellement que le phreaking et les techniques similaires nécessitaient une proximité physique, mais aujourd’hui, l’omniprésence de dispositifs IoT vulnérables rend possible une invasion à grande échelle de la vie privée à distance (à l’image de ce que l’on a pu voir dans The Dark Knight, lorsque Batman détourne chaque téléphone portable de Gotham pour émettre des rafales à haute fréquence afin d’effectuer une surveillance de masse pour trouver le Joker). Des équipes de recherche en sécurité ont constaté que l’ensemble de l’espace IPv4 peut être automatiquement scanné à la recherche de dispositifs vulnérables en quelques heures. Elles ont également découvert des caméras pour bébé connectées à Internet qui ont été compromises en masse, puis utilisées pour parler aux enfants à leur domicile.

Enfin, les systèmes d’apprentissage automatique portent le risque d’une corrélation croisée des informations publiques à un niveau jamais atteint encore, en identifiant des modèles que les humains ne trouveraient jamais par eux-mêmes. En bref, l’utilisation de l’automatisation et de l’IA, combinée aux problèmes de sécurité émergents, crée des pans entiers de nouvelles menaces sur la vie privée, exploitables à l’échelle d’Internet.

La prise en compte de toutes ces menaces dépasse clairement les capacités, le temps et l’énergie disponibles chez la plupart des consommateurs individuels. Une partie de la réponse incombe donc aux politiques et à la réglementation, ainsi qu’aux plateformes, aux produits et aux entreprises qui constituent le cyberespace. Ces dernières doivent mettre en œuvre les mêmes outils que ceux qui servent aux attaquants à démultiplier leurs forces. Elles doivent déployer leurs propres capacités avancées d’IA et d’automatisation au service de la défense, et non les laisser uniquement entre les mains des attaquants. Les choses ont heureusement tendance à évoluer dans le bon sens : des réglementations qui poussent au respect de la vie privée émergent, et des entreprises qui ne faisaient pas assez en la matière ont déjà été pénalisées. Dans le même temps, des entreprises comme Apple, qui abordent la conception de leurs produits sous l’angle de la protection de la vie privée, sont justement félicitées et récompensées. Si la meilleure défense à long terme consiste à s’attaquer aux menaces sur la vie privée de manière systémique, nous devons également prendre nous-mêmes un certain nombre de mesures simples qui peuvent contribuer à protéger notre propre vie privée, notamment contre les risques les plus courants aujourd’hui.




Voir les articles précédents

    

Voir les articles suivants