Quand vous installez une application sur le Google Play, elle vous demande l’autorisation d’utiliser votre microphone, si nécessaire. Et les capteurs ? Pas besoin d’autorisations. Pourtant, des chercheurs ont trouvé un moyen de transformer votre gyroscope en microphone.

gyroscrope-microphone-2014-08-15-02

Le gyroscope à 3 axes présent dans nos smartphones et nos tablettes Android permet à nos smartphones de connaître leur orientation. Il mesure trois degrés de liberté. Quand les accéléromètres mesurent les mouvements de translation, les gyroscopes mesurent les mouvements de rotation.

 

Les forces fictives de Coriolis

Le gyroscope repose sur une observation des forces fictives de Coriolis, il s’agit d’un effet qui se manifeste par la déviation d’un corps en mouvement évoluant dans un milieu en rotation. Cette force est dite fictive, parce qu’elle n’est pas le résultat de l’action d’un corps sur un autre, mais elle permet de comprendre et interpréter les mouvements des parties mécaniques lorsque le smartphone est en rotation.

Capture d’écran 2014-08-15 à 18.11.38

 

Le gyroscope à vibration

Il existe plusieurs technologies de gyroscope (le modèle à poutre, le gyroscope optique, etc.), mais la plus commune est appelée gyroscope à vibration. Ces gyroscopes transmettent les données 200 fois par seconde, soit une fréquence de 200 Hz. Les vibrations de nos voix se situent dans une gamme de 80 à 250 Hz. On peut donc se servir du gyroscope pour « écouter ».

C’est ce qu’ont découvert une équipe de chercheurs en sécurité de l’Université de Stanford. Sur Android, il est possible d’utiliser la plénitude des 200 Hz. Chrome, par exemple, limite la transmission des données à 20 Hz, alors que Firefox peut monter potentiellement à 200 Hz. On imagine que des hackers malins pourraient donc développer un programme en JavaScript pour exploiter cette faille sur Firefox Mobile. En revanche, le capteur de l’iPhone utilise uniquement les fréquences inférieures à 100 Hz.

Les risques sont cependant limités, car il s’agit d’une théorie, et l’identification des mots reste très difficile d’après les premiers tests réalisés par les chercheurs américains. En effet, les 200 Hz permettrait au mieux d’entendre le grave de la voix, rien d’intelligible. Ils livreront un document la semaine prochaine lors de la conférence Usenix Security, mais heureusement, Google est déjà en train de corriger cette faille.