Certains sites web mobiles accèdent aux capteurs de nos smartphones, sans demander …

Capture d'écran 2018-09-27 12.01.17C’est en tout cas ce que révèle une étude (intitulée « le 6ème sens du web ») réalisée par une équipe d’universitaires américains, dont les résultats seront présentés lors d’une conférence en octobre prochain à Toronto (ACM CCS 2018), rassemblant  des chercheurs, développeurs, spécialistes et utilisateurs autour du thème de la sécurité.

L’étude a été réalisée en mai 2018, sur la base d’une analyse des 100 000 premiers sites (selon le ranking réalisé par Alexa, filiale d’Amazon (à ne pas confondre avec l’assistant personnel du même nom !), spécialisée sur l’analyse de données.

Tous les utilisateurs de smartphones ont aujourd’hui l’habitude des pop up qui s’affichent lors de l’installation d’une nouvelle application, leur demandant l’autorisation d’accéder à des informations (localisation, contacts, calendrier …). Ce que révèle l’étude réalisée c’est que les sites web mobiles échappent à ces contrôles, et que tous les browsers mobiles étudiés dans l’étude (Chrome, Edge, Safari, Firefox, Brace, Focus, Dolphin, Opera Mini, UC Browser) laissent aux sites web l’accès aux capteurs de mouvement et d’orientation des smartphones des utilisateurs, sans demander la permission de ces derniers. Pour les capteurs de proximité et de lumière, seul Firefox offrait cet accès aux sites web mobiles, jusqu’en mai 2018 (dans la version 60), date à laquelle cette possibilité a été supprimé.

Ainsi sur les 100 000 sites analysées, 3 695 utilisent ces portes ouvertes pour accéder à l’un ou l’autre des capteurs :

  • capteur mouvement : 2653
  • capteur orientation : 2036
  • capteur de proximité : 186
  • capteur de lumière : 181

Si ces chiffres représentent une petite part seulement des 100 000 titres analysés, il faut noter cependant qu’en l’état actuel, tous pourraient utiliser ces ouvertures, et que les utilisateurs sont totalement démunis pour empêcher. Les chercheurs ont ainsi pu vérifier que les bloqueurs de publicité et autres solutions de contrôle sont peu efficaces vis à vis de ces intrusions.

A titre d’illustration de cette absence ce contrôle d’accès aux capteurs, l’équipe a Capture d'écran 2018-09-27 13.06.15développé une petite page web de démo en javascript (disponible ici depuis un smartphone ou une tablette), qui démontre les accès réalisés depuis cette page aux capteurs (orientation, accéléromètre, gyroscope) de l’appareil utilisé.

Enfin si l’étude note que pour une bonne part, les accès ainsi réalisés sur les capteurs sont utilisés pour la qualité du service du site (ex : modifier l’orientation d’affichage ou la dimension d’une page), ce sont environ 1200 sites qui utilisent ces possibilités pour des bénéfices moins orientés vers le confort des utilisateurs …

Le RGPD a mis en avant la nécessaire information et le consentement explicite des utilisateurs quant à l’utilisation de leurs données personnelles, mais il semble bien que certains aspects techniques échappent encore à ce cadre 😦

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.