La géolocalisation, c’est bien ; en garder la maîtrise, c’est mieux, surtout lorsque l’on se décide à ouvrir son foyer à toutes sortes de gadgets électroniques, qu’il s’agisse par exemple d’une enceinte intelligente ou d’un appareil multimédia ayant accès au réseau du domicile. Mais encore faut-il que les fabricants de ces appareils prennent garde à bien concevoir leurs objets connectés.
Et cela vaut aussi pour Google : l’entreprise américaine, qui propose à la fois une enceinte connectée (Google Home) et un appareil multimédia sans fil (Chromecast), s’est fait pincer par deux spécialistes de la sécurité informatique, Brian Krebs et Craig Young : leur découverte ? La possibilité de déterminer, de façon extrêmement précise, la localisation d’un utilisateur de Google Home ou du Chromecast.
Potentiellement, « des sites peuvent exécuter un simple script en arrière-plan qui recueille des données de localisation précises sur les personnes qui ont Google Home ou Chromecast installé n’importe où sur leur réseau local », met en garde Brian Krebs. « Les implications de cette situation sont assez vastes, y compris la possibilité de campagnes de chantage ou d’extorsion plus efficaces », écrit Craig Young.
Correction en vue
Pour que l’opération fonctionne, il suffit tout simplement de demander à Google d’établir la liste des réseaux sans fil à proximité, puis d’envoyer cette liste aux services de recherche de géolocalisation de la firme de Mountain View. À cela s’ajoute une dose de triangulation, par l’analyse de la puissance du signal des réseaux WiFi environnants et il est possible de déterminer une position très précise.
« Pour ma connexion Internet à domicile, la géolocalisation de l’adresse IP n’est précise qu’à environ 5 kilomètres », observe Brian Krebs. Ici, « j’ai toujours eu des emplacements à moins de 10 mètres de l’appareil ». Il note que « la seule véritable limite est que le lien [qui contient le script] a besoin de rester ouvert pendant près d’une minute avant qu’un tiers obtienne la localisation ».
Dans cette histoire, l’attitude de Google face à cette géolocalisation très fine a été fluctuante. Lentreprise américaine n’avait pas prévu de restreindre cette fonctionnalité, expliquant qu’il s’agissait d’un « comportement prévu », malgré un signalement de Craig Young en mai. Mais lorsque Bryan Krebs s’en est mêlé, le groupe a de toute évidence changé d’avis :
Un patch est prévu pour la mi-juillet.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !