Nouvelle menace: utiliser des ondes sonores pour pirater nos objets connectés

Cette chaussure et ce mobile sont équipés de capteurs. Des pirates pourraient s'y intéresser.
3 images
Cette chaussure et ce mobile sont équipés de capteurs. Des pirates pourraient s'y intéresser. - © MANUEL BRUQUE - BELGAIMAGE

L’univers numérique devra, bientôt compter avec une nouvelle forme de hacking: les attaques acoustiques. Une technique de piratage d’autant plus inquiétante, qu’elle ne s’attaquera plus à nos ordinateurs ou tablettes, mais à nos objets connectés. Les cibles seront les montres, les drones, les smartphones et, surtout, les appareils médicaux et les futures voitures autonomes.

Accéléromètres: le maillon  faible

Le point d’entrée ce cette nouvelle menace n’est pas une porte dérobée dans un système logiciel, ni même le recours à une attaque massive de type DDOS, mais un simple accéléromètre. Pratiquement un accéléromètre peut être comparé à un poids posé sur ressorts, qui envoie des informations à l’application concernée. Or, la grande majorité des objets mobiles en sont équipés. La plupart du temps ils en ont trois, pour permettre de situer le dispositif dans l’espace. L’illustration la plus parlante est celle d’un smartphone dont l’image s’adapte automatiquement au positionnement vertical ou horizontal du mobile. Cela permet aussi de connaître le nombre de volées d’escalier que vous montez sur une journée. Ou même de piloter un drone selon les mouvements d’un smartphone ou d’une tablette.

Et c’est là qu’intervient une équipe de chercheurs de l’université du Michigan (Collège of Engineering, University of Michigan), supportée par la National Science Foundation. Les jeunes savants ont développé un système qui permet, pour chaque accéléromètre, de déceler la longueur d’onde qui rend ce capteur sensible aux interférences acoustiques. Ces ondes sonores peuvent alors avoir exactement le même effet sur un accélérateur qu’un mouvement réel.

Perturber les informations envoyées par les capteurs vers les logiciels d’un mobile

Le danger porte donc sur la perturbation des données, mais aussi la prise de contrôles des objets connectés.

Le jeu consiste à envoyer un signal qui va amener le capteur à transmettre des informations sur des mouvements qui n’existent pas. Les universitaires (grands enfants devant l’éternel) ont ainsi réussi à faire croire à un bracelet connecté que son propriétaire marchait, alors que ce n’était pas le cas. Les amateurs de Pokemon Go devraient être ravis.

Dans un autre cas, c’est une petite voiture télécommandée par smartphones qui a répondu à d’autres commandes que celles de son propriétaire légitime. Sur leur lancée, Les chercheurs ont aussi modifié un clip vidéo YouTube pour y superposer un signal épelant le mot " noyer " (walnut, en anglais).

 

Cette arme acoustique n’est d’ailleurs pas le seul danger pour les capteurs de nos objets connectés. En 2013 déjà, le site de Futura-Sciences avait évoqué une autre vulnérabilité, mise en lumière par des chercheurs de Stanford. Selon eux, chaque accéléromètre dispose d’une signature unique, comme notre Iris ou nos empreintes digitales. Cette signature, consiste en une erreur minime de localisation dans l’espace qui est propre à chaque capteur. Il suffit donc de connaître ce taux d’erreur pour pouvoir nous suivre où que nous allions, même si notre GPS est désactivé. 

La motivation des chercheurs

L’équipe de chercheurs qui a développé ce modèle de piratage assure que leur but n’est autre que de montrer les brèches de nos systèmes pour que les constructeurs de ces capteurs les comblent. Cinq constructeurs auraient d’ailleurs déjà été mis au courant. Bien entendu, l’étape suivante réside dans la commercialisation de logiciels qui serviront de boucliers aux ondes sonores.

Et pour prouver que tout cela est vrai, les savants en herbe, (car pour la plupart ce sont de jeunes assistants), vont présenter le résultat de leurs recherches à Paris, lors d’un symposium sur la sécurité et la vie privée (European Symposium on Security and Privacy)  qui se tient les 26 et 28 avril .

Risque majeur ou petite frayeur ?

A terme, cette brèche anticipe un risque majeur. A commencer par les drones de livraison qui vont se généraliser au-dessus de nos têtes. Et surtout les voitures autonomes dont les capteurs sont les yeux. Les appareils médicaux seraient aussi des proies tentantes.

Mais pas la peine de paniquer tout de suite. Car le contrôle des capteurs exige l’utilisation d’ondes acoustiques aiguës, bruyantes et proches de l’objet convoité…. Le pirate ne passera donc pas inaperçu. Du moins pour l’instant. Mais comme on dit dans ces circonstances: le ver est dans le fruit.

Newsletter info

Recevez chaque jour toutes les infos du moment

Recevoir