Test : Est-il facile d’espionner l’utilisateur d’une montre connectée ?

Nous étudions comment les données du détecteur de mouvements des montres connectées peuvent être interceptées pour surveiller les gens et voler leurs informations.

Est-il possible d’utiliser la montre connectée d’un utilisateur pour l’espionner ? Bien sûr, et nous savons déjà comment le faire de différentes façons. Cependant, voici une autre méthode : une application espion installée sur le smartphone peut envoyer les données du capteur sensoriel intégré (à savoir l’accéléromètre et le gyroscope) à un serveur à distance, et les données peuvent être utilisées pour reconstituer les actions de l’utilisateur : assis, en train de marcher, de taper à l’ordinateur, etc.

À quel point cette menace est-elle importante en pratique ? Quelles données peuvent réellement être dérobées ? Nous avons décidé de mener l’enquête.

Test : Les mouvements d’une montre connectée peuvent révéler un mot de passe ?

Pour commencer, nous avons choisi une montre connectée Android, créé une application de base pour traiter et transmettre les données de l’accéléromètre, et analysé ce que nous pouvions tirer de ces données. Veuillez lire notre rapport complet pour obtenir plus d’informations.

En effet, ces données peuvent être utilisées pour calculer si l’utilisateur est en mouvement ou assis. De plus, il est possible d’aller plus loin, et de savoir si la personne se promène, ou si elle change de rames de métro, puisque les courbes de l’accéléromètre sont légèrement différentes. Les traqueurs fitness utilisent cette même méthode pour savoir si la personne marche ou fait du vélo, par exemple.

Il est également facile de savoir quand une personne est en train de taper à l’ordinateur. Cependant, il est plus beaucoup difficile de découvrir ce que la personne est en train de taper. Chaque personne tape différemment à l’ordinateur : l’utilisation des dix doigts, d’un ou de deux doigts, ou une technique entre les deux. Pour faire simple, si différentes personnes tapent la même phrase à l’ordinateur, les signaux de l’accéléromètre pourraient être très différents. Cependant, si une personne saisit plusieurs fois d’affilée un mot de passe, alors vous obtiendrez des graphiques assez similaires.

Par conséquent, un réseau neuronal entraîné à reconnaître comment une personne en particulier saisit du texte, pourrait découvrir ce que la personne tape à l’ordinateur. S’il se trouve que ce réseau neuronal est formé sur votre méthode en particulier, alors les données de l’accéléromètre de la montre connectée que vous avez au poignet pourraient être utilisés pour reconnaître le mot de passe en utilisant les mouvements de vos mains.

Cependant, le réseau neuronal devrait longtemps vous suivre au cours de ce processus de formation. Les processeurs de ces nouveaux gadgets portables modernes ne sont pas assez puissants pour directement exécuter un réseau neuronal. C’est pourquoi les données doivent être envoyées à un serveur.

C’est là où les ennuis commencent pour un espion en devenir : le téléchargement permanent des lectures de l’accéléromètre utilise beaucoup de trafic Internet et vide la batterie de la montre connectée en seulement quelques heures ; dans notre cas six pour être précis. Il est facile de détecter ces deux signes révélateurs qui avertissent l’utilisateur qu’il y a un souci. Cependant, ces deux effets peuvent facilement être minimisés en ramassant les données de manière sélective ; par exemple, lorsque la cible arrive au travail, puisqu’il s’agit du moment opportun pour saisir un mot de passe.

En résumé, il est possible d’utiliser votre montre connectée pour savoir ce que vous tapez à l’ordinateur, mais c’est difficile, et les reconstructions exactes reposent sur la répétition du texte. Dans notre test, nous avons pu récupérer le mot de passe d’un ordinateur avec une précision de 96 %, et un code saisi à un distributeur automatique avec une précision de 87%.

Ce pourrait être pire

Cependant, de telles données ne sont pas vraiment utiles pour les cybercriminels. Ils ont encore besoin d’accéder à votre ordinateur ou à votre carte de crédit pour les utiliser. Il est beaucoup plus compliqué de déterminer le numéro d’une carte de crédit ou le cryptogramme visuel.

Nous vous expliquons pourquoi. Si l’on reprend l’exemple du lieu de travail, il est fort probable que la première chose que le propriétaire de la montre connectée tape à l’ordinateur soit son mot de passe pour ouvrir la session. Sachant ceci, le graphique de l’accéléromètre montre d’abord de la marche, puis de l’écriture. Il est possible de récupérer le mot de passe en utilisant les données obtenues au cours de cette courte période.

Cependant, la personne ne va pas saisir le numéro de sa carte de crédit juste après s’être assise, ni se lever et partir immédiatement juste après avoir saisi ces données. De plus, personne ne va fournir ces informations plusieurs fois d’affilée en peu de temps.

Pour dérober les informations générées par une montre connectée, les pirates informatiques ont besoin d’activités prévisibles suivies par des saisies de données répétitives. D’ailleurs, ce dernier point est une des raisons qui expliquent pourquoi vous ne devriez pas utiliser le même mot de passe pour plusieurs services.

Qui devrait s’inquiéter au sujet des montres connectées ?

Notre recherche a montré que les données obtenues à partir du capteur d’accélération d’une montre connectée peuvent être utilisées pour récupérer des informations sur l’utilisateur : mouvements, habitudes et certaines informations saisies, comme le mot de passe d’un ordinateur portable, par exemple.

Il est assez simple d’infecter une montre connectée par un malware qui dérobe les données et permet aux cybercriminels de les récupérer. Ils n’ont qu’à créer une application (disons, par exemple, un cadran à la mode ou un traqueur fitness), ajouter une fonction pour lire les données de l’accéléromètre, et la mettre en ligne sur Google Play. En théorie, cette application va passer le dépistage de malware puisqu’en apparence il n’y a rien de malveillant dans ce qu’elle fait.

Devriez-vous vous inquiéter de savoir si quelqu’un utilise cette technique pour vous espionner ? Seulement si cette personne a une très bonne raison pour vous espionner à vous en particulier. Les escrocs informatiques cherchent plutôt des techniques de collecte de données simples, et ici ils n’ont pas grand-chose à y gagner.

Cependant, si le mot de passe de votre ordinateur, ou votre trajet pour vous rendre au travail, est important pour quelqu’un, alors la montre connectée est un outil de traçage viable. Dans ce cas, voici nos conseils :

  • Soyez attentif si votre montre connectée consomme beaucoup trop de trafic Internet et si votre batterie de vide rapidement.
  • Ne donnez pas trop d’autorisations aux applications. Faites particulièrement attention aux applications qui veulent récupérer les informations sur vos comptes et vos coordonnées géographiques. Sans ces données, les intrus vont avoir du mal à vérifier qu’ils ont infecté votre montre connectée.
  • Installez une solution de sécurité sur votre smartphone pour vous aider à détecter les logiciels espions avant qu’ils commencent à vous espionner.
Conseils