protection des données
Le Bluetooth crypté peut être espionné
Des scientifiques de l’EPFL suggèrent le besoin en approches nouvelles dans le développement de dispositifs et d’applications portables afin d’éviter l’espionnage du trafic de données via Bluetooth.
Des logiciels malveillants peuvent détecter le volume de données et l'heure d'émission des données sur les appareils portables. | Photo: unsplash
Smartwatches, fitness trackers, moniteurs de pression cardiaque… Les appareils connectés sont omniprésents dans notre société. La recherche de Ludovic Barman, assistant doctorant au Laboratoire pour la sécurité des données à l’EPFL, montre que les communications Bluetooth cryptées entre un dispositif portable et son smartphone connecté, même si elles protègent le contenu, laissent échapper des informations sensibles au travers des métadonnées telles que les volumes de données et le moment de leur émission.
«Nous démontrons pour la première fois que les métadonnées des appareils connectés représentent une menace insidieuse pour la vie privée des utilisateurs en simulant un piratage dit d’analyse de trafic», se félicite le scientifique. Pour ce faire, avec ses collègues, il a utilisé un renifleur – un programme prisé des tiers malveillants – pour capter les données de trafic Bluetooth générées par 13 dispositifs de marques populaires. Ce volume correspond à 98 heures d’enregistrement brut.
Son étude révèle que ces métadonnées permettraient à un pirate d’identifier avec précision les dispositifs communicants et les numéros de modèle, de reconnaître les activités de l’utilisateur ou utilisatrice (suivi de la santé, exercice, enregistrement d’une injection d’insuline…), d’en extraire son profil et ses habitudes ou encore d’ouvrir des applications spécifiques sur les smartwatches.
«Aujourd’hui, chaque dispositif choisit son propre schéma de communication en utilisant des tailles de paquets très particulières, ce qui permet de le suivre avec précision. Mais en homogénéisant ces communications, on peut éviter que les métadonnées ne renseignent des tiers malveillants. Nous espérons inciter les développeurs d’appareils connectés et d’applications à concevoir de nouvelles approches pour se défendre contre les attaques par analyse de trafic sur les communications Bluetooth», conclut le chercheur.
