Sécurité : comment le haut-parleur d’appel de votre smartphone peut être utilisé à votre insu

 
Divers chercheurs d’universités américaines ont découvert une méthode d’attaque intitulée EarSpy. Celle-ci utilise l’accéléromètre du téléphone pour déchiffrer les propos passant par le haut-parleur d’écoute du téléphone.
Xiaomi Redmi Note 10
Ce deuxième haut-parleur s’invite sur la tranche supérieur du téléphone // Source : Arnaud Gelineau pour Frandroid

Voilà une nouvelle qui a de quoi faire lever un sourcil ou deux. Selon le journal Security Week, des chercheurs ont réussi à développer une faille de sécurité qui utilise le haut-parleur supérieur de votre téléphone, celui pour entendre la personne que vous appelez, pour vous espionner.

Dans un papier publié à la veille de Noël, des chercheurs de diverses universités américaines ont démontré que l’accéléromètre du téléphone pouvait capturer les vibrations générées par le haut-parleur d’écoute. Leur méthode d’attaque porte le nom d’EarSpy. Si d’autres études avaient pu utiliser le haut-parleur principal, il s’agit d’une première, sans aucune aide d’un appareil externe qui plus est.

Moins d’autorisations demandées

Cette nouvelle attaque peut s’avérer particulièrement dangereuses et efficaces dans le sens où elle ne nécessite pas, contrairement à un malware traditionnel, d’autorisations avancées. Le téléphone et les développeurs d’apps considérant généralement que les données de vibration de l’accéléromètre sont des données brutes, peu sensibles, sans se douter qu’il est possible d’en extraire le contenu d’une conversation.

Les chercheurs ont mené leur étude sur deux smartphones, les OnePlus 7T et OnePlus 9, il s’agit donc d’une faille qui concerne Android et non iOS. Leurs conclusions les amènent à penser que les dernières générations de smartphones Android sont davantage concernés, puisque l’amélioration progressive des écouteurs d’oreille rend la captation plus facile.

Une précision affolante sur des éléments précis

Précisons tout de même que EarSpy, aussi sophistiqué qu’il soit, n’est pas capable d’extraire in extenso le contenu d’une conversation. Il est capable d’analyser la réverbération du haut-parleur vers l’accéléromètre en extrayant « les caractéristiques du domaine temps-fréquence et les spectrogrammes ».

L’analyse produite se focalise sur quelques informations sensibles : le genre, l’identité de la personne en train de parler au bout du fil et plus largement, la reconnaissance de la parole. Pour les deux premiers éléments, la précision est forte. 98% de réussite pour la détermination du genre et 92% pour identifier l’appelant. En revanche, pour ce qui est de la reconnaissance vocale pure et dure, le taux de réussite tombe à 56%, ce qui reste tout de même assez élevé en partant de simples vibrations.


Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !

Les derniers articles