Il fut un temps ou les paranoïaques refusaient de s’offrir un téléphone mobile de peur d’être suivis à la trace par le gouvernement, les petits hommes verts ou les illuminati. Bien entendu, ils avaient tort.

Aujourd’hui, tout le monde ou presque est équipé d’un smartphone et plus personne ne se pose la question de savoir si cela permet ou non de le suivre à la trace. Et bien entendu, nous avons tort.

Plusieurs actualités récentes ont montré comment les smartphones relèvent en continu les positions géographiques de leurs propriétaires et les transmettent a leur fabriquant.

Apple avec l’iPhone, Google avec Android et aujourd’hui Microsoft avec Windows Mobile : tous les grands éditeurs de systèmes d’exploitation pour smartphone se sont fait prendre à collecter et conserver à l’insu de leurs utilisateurs des informations qui peuvent être utilisées pour déterminer leur position géographique.

Aucun de ces éditeurs n’a pourtant comme objectif de suivre ses clients à la trace. Il s’agit pour eux de se constituer une « carte » du monde peuplée de points d’accès Wifi et de leurs coordonnées GPS afin d’offrir à terme des services de publicité personnalisée.

Ce marché est estimé à un peu plus de trois milliards de dollars aujourd’hui : on comprend ainsi mieux leur empressement à collecter autant de données sans rien dire (il y a aussi des avantages techniques à procéder ainsi, comme l’explique Apple en tentant de se dédouaner)

Mais l’enfer étant pavé de bonnes intentions, les éditeurs n’ont pas imaginé qu’il serait possible à des tiers d’exploiter cette collecte d’information à des fins moins pacifiques.

Comprenons d’abord comment fonctionne le dispositif des éditeurs. Chaque téléphone observe son environnement à intervalle régulier et note les différents points d’accès WiFi qu’il aperçoit. Il envoie à l’éditeur le nom du réseau, l’adresse MAC de son point d’accès ou encore (parfois) sa position GPS. Et il y joint en prime son adresse MAC.

Et c’est ici la faille : en connaissant l’adresse MAC du smartphone de sa victime il devient alors possible de savoir où elle se trouve en corrélant la position des différents points d’accès WiFi qu’il a récemment renvoyé.

« Ceci a condition de pouvoir accéder aux précieuses données des éditeurs« , opposeront les plus sceptiques. Certes. Mais c’est là que les éditeurs ont fait preuve de beaucoup de légèreté : chez Microsoft ou Google ces données sont parfaitement accessibles via le web à travers, par exemple, des API de recherche !

Il suffit donc de capturer l’adresse MAC du téléphone de son époux / épouse, d’un collaborateur ou d’un concurrent pour être en mesure de le suivre à la trace. Et une adresse MAC, ça se trouve facilement dans les menus de configuration du téléphone ou en sniffant le réseau Wifi à proximité de sa victime (les adresses MAC de l’interface Wifi et 3G sont probablement différentes).

Cela vous semble incroyable ? Un passionné a créé une page web pour en faire la démonstration : il suffit d’entrer l’adresse MAC d’un routeur, d’un point d’accès Wifi ou d’un téléphone Android pour savoir – peut-être – où il se trouvait récemment.

Bien entendu il ne s’agit pas là d’une science exacte : tel éditeur peut ne conserver que les coordonnées des points d’accès (mais les smartphones ou les ordinateurs portables configurés en tant que réseau WiFi ad-hoc seront alors aussi enregistrés), ou bien il ne peut mettre sa base de données à jour que peu fréquemment. Mais dans l’ensemble, le risque de divulgation d’information de localisation à partir d’une adresse MAC demeure.

A ce jour seul Google a limité l’accès à ces données, en obligeant chaque requête à inclure une autre adresse MAC située à proximité (n’importe laquelle). Ceci permet de s’assurer que la personne à l’origine de la requête se trouve physiquement sur le lieu. Mais l’auteur de la page de test ci-dessus a déjà trouvé la parade : il suffit d’exploiter une vulnérabilité de type cross-site scripting (via une page web piégée, par exemple) pour capturer la liste des adresses MAC environnantes et contourner la protection mise en place.

Dans un prochain article nous reviendrons sur une actualité passée relativement inaperçue en début d’année : comment il était possible, jusqu’à récemment, d’exploiter une vulnérabilité chez certains opérateurs téléphoniques américains, afin de localiser l’un de ses abonnés. Finalement, les paranoïaques des débuts étaient peut-être simplement un peu en avance sur leur temps !