{"id":21899,"date":"2024-05-29T10:59:21","date_gmt":"2024-05-29T08:59:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21899"},"modified":"2024-05-29T10:59:21","modified_gmt":"2024-05-29T08:59:21","slug":"prevent-android-keylogging-and-ime-spying","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/prevent-android-keylogging-and-ime-spying\/21899\/","title":{"rendered":"Que r\u00e9v\u00e8le votre clavier Android \u00e0 un inconnu ?"},"content":{"rendered":"

\u00ab\u00a0Des pirates informatiques peuvent espionner chaque frappe de clavier sur des smartphones Honor, OPPO, Samsung, Vivo et Xiaomi via Internet\u00a0\u00bb ; ces derni\u00e8res semaines, des gros titres alarmants comme celui-ci font le tour des m\u00e9dias. Ils trouvent leur origine dans une \u00e9tude relativement s\u00e9rieuse portant sur les vuln\u00e9rabilit\u00e9s du chiffrement des donn\u00e9es transmises par les claviers<\/a>. Des pirates informatiques qui sont en mesure d\u2019observer votre trafic r\u00e9seau, par exemple via un routeur domestique infect\u00e9<\/a>, peuvent en effet intercepter chaque frappe de votre clavier et d\u00e9couvrir tous vos mots de passe et tous vos secrets. Ne vous empressez toutefois pas de troquer votre t\u00e9l\u00e9phone Android contre un iPhone : seule la saisie du chinois \u00e0 l\u2019aide du syst\u00e8me pinyin est concern\u00e9e, sous r\u00e9serve que la fonction \u00ab\u00a0pr\u00e9diction dans le cloud\u00a0\u00bb soit activ\u00e9e. Cependant, nous avons jug\u00e9 utile d\u2019\u00e9tudier la situation pour d\u2019autres langues et pour les claviers d\u2019autres fabricants.<\/p>\n

Pourquoi de nombreux claviers pinyin sont-ils vuln\u00e9rables aux \u00e9coutes clandestines\u00a0?<\/h2>\n

Le syst\u00e8me d\u2019\u00e9criture pinyin<\/a>, \u00e9galement appel\u00e9 alphabet phon\u00e9tique chinois, permet aux utilisateurs d\u2019\u00e9crire des mots chinois en utilisant des lettres latines et des signes diacritiques. Il s\u2019agit du syst\u00e8me officiel de romanisation de la langue chinoise, adopt\u00e9 entre autres par l\u2019ONU. Dessiner des caract\u00e8res chinois sur un smartphone n\u2019est pas tr\u00e8s pratique, et c\u2019est pour cette raison que la m\u00e9thode de saisie pinyin est tr\u00e8s populaire et est utilis\u00e9e, d\u2019apr\u00e8s certaines estimations, par plus d\u2019un milliard de personnes. \u00c0 l\u2019inverse de nombreuses autres langues, la pr\u00e9diction des mots chinois, en particulier en pinyin, est difficile \u00e0 mettre directement en \u0153uvre sur un smartphone, car il s\u2019agit d\u2019une t\u00e2che complexe sur le plan informatique. Par cons\u00e9quent, la quasi-totalit\u00e9 des claviers (ou plus pr\u00e9cis\u00e9ment, les m\u00e9thodes de saisie ou IME) utilisent la \u00ab\u00a0pr\u00e9diction dans le cloud\u00a0\u00bb, ce qui signifie qu\u2019ils envoient instantan\u00e9ment les caract\u00e8res pinyin saisis par l\u2019utilisateur \u00e0 un serveur et qu\u2019ils re\u00e7oivent en retour des suggestions de compl\u00e9tion de mots. Parfois, la fonction \u00ab\u00a0cloud\u00a0\u00bb peut \u00eatre d\u00e9sactiv\u00e9e, mais cette d\u00e9sactivation r\u00e9duit la vitesse et la qualit\u00e9 de la saisie en chinois.<\/p>\n

\"Pour<\/a>

Pour pr\u00e9dire le texte saisi en pinyin, le clavier envoie des donn\u00e9es au serveur.<\/p><\/div>\n

Bien entendu, tous les caract\u00e8res que vous saisissez sont accessibles aux d\u00e9veloppeurs de claviers gr\u00e2ce au syst\u00e8me de \u00ab\u00a0pr\u00e9diction dans le cloud\u00a0\u00bb. Mais ce n\u2019est pas tout ! L\u2019\u00e9change de donn\u00e9es caract\u00e8re par caract\u00e8re n\u00e9cessite un chiffrement sp\u00e9cial, que de nombreux d\u00e9veloppeurs ne parviennent pas \u00e0 mettre en \u0153uvre correctement. Par cons\u00e9quent, toutes les frappes de clavier et toutes les pr\u00e9dictions correspondantes peuvent \u00eatre facilement d\u00e9chiffr\u00e9es par des personnes ext\u00e9rieures.<\/p>\n

Vous pouvez trouver des d\u00e9tails sur chacune des erreurs d\u00e9tect\u00e9es dans l\u2019\u00e9tude d\u2019origine<\/a>, mais pour r\u00e9sumer, sur les neuf claviers analys\u00e9s, seule l\u2019IME pinyin des smartphones Huawei a correctement mis en \u0153uvre le chiffrement TLS et a pu r\u00e9sister aux attaques. En revanche, les IME de Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo et Xiaomi se sont r\u00e9v\u00e9l\u00e9es vuln\u00e9rables \u00e0 des degr\u00e9s divers, le clavier pinyin standard d\u2019Honor (Baidu 3.1) et l\u2019application QQ pinyin ne recevant pas de mises \u00e0 jour m\u00eame apr\u00e8s que les chercheurs ont contact\u00e9 les d\u00e9veloppeurs. Il est conseill\u00e9 aux utilisateurs de pinyin de mettre \u00e0 jour leur IME vers la derni\u00e8re version et, si aucune mise \u00e0 jour n\u2019est disponible, de t\u00e9l\u00e9charger une autre IME pinyin.<\/p>\n

Les autres claviers envoient-ils des frappes de clavier\u00a0?<\/h2>\n

Aucun besoin technique direct n\u2019existe en ce sens. Pour la plupart des langues, la fin des mots et des phrases peut \u00eatre pr\u00e9dite directement sur l\u2019appareil et, par cons\u00e9quent, les claviers courants n\u2019ont pas besoin d\u2019un transfert de donn\u00e9es caract\u00e8re par caract\u00e8re. N\u00e9anmoins, les donn\u00e9es relatives au texte saisi peuvent \u00eatre envoy\u00e9es au serveur \u00e0 des fins de synchronisation d\u2019un dictionnaire personnel entre les appareils, \u00e0 des fins de machine learning, ou \u00e0 d\u2019autres fins sans rapport direct avec la fonctionnalit\u00e9 principale du clavier, comme les analyses publicitaires.<\/p>\n

Que vous souhaitiez ou non que de telles donn\u00e9es soient stock\u00e9es sur les serveurs de Google et de Microsoft rel\u00e8ve d\u2019un choix personnel, mais il est peu probable que qui que ce soit d\u00e9sire les partager avec d\u2019autres personnes. Au moins un incident de ce type a d\u00e9j\u00e0 \u00e9t\u00e9 m\u00e9diatis\u00e9 en 2016, lorsqu\u2019il a \u00e9t\u00e9 d\u00e9couvert que le clavier SwiftKey pr\u00e9disait les adresses email<\/a> et d\u2019autres entr\u00e9es du dictionnaire personnel d\u2019autres utilisateurs. Apr\u00e8s cet incident, Microsoft a temporairement d\u00e9sactiv\u00e9 le service de synchronisation, probablement pour corriger les erreurs. Si vous ne voulez pas que votre dictionnaire personnel soit stock\u00e9 sur les serveurs de Microsoft, ne cr\u00e9ez pas de compte SwiftKey, et si vous en avez d\u00e9j\u00e0 un, d\u00e9sactivez-le et supprimez les donn\u00e9es stock\u00e9es dans le cloud en suivant ces instructions<\/a>.<\/p>\n

Il n\u2019existe aucun autre cas connu de fuite de texte dactylographi\u00e9. Cependant, des recherches ont montr\u00e9 que les claviers courants surveillent activement les m\u00e9tadonn\u00e9es au fur et \u00e0 mesure de la frappe. Par exemple, Gboard de Google et SwiftKey de Microsoft envoient plusieurs donn\u00e9es relatives \u00e0 chaque mot saisi<\/a>, \u00e0 savoir sa langue, sa longueur, l\u2019heure exacte de saisie, ainsi que l\u2019application dans laquelle le mot a \u00e9t\u00e9 saisi. SwiftKey envoie \u00e9galement des statistiques sur le temps \u00e9conomis\u00e9 en indiquant le nombre de mots saisis en entier, le nombre de mots pr\u00e9dits automatiquement et le nombre de mots survol\u00e9s. \u00c9tant donn\u00e9 que les deux claviers envoient l\u2019identifiant publicitaire unique de l\u2019utilisateur au \u00ab\u00a0si\u00e8ge\u00a0\u00bb, de nombreuses possibilit\u00e9s de profilage se pr\u00e9sentent ; par exemple, il devient possible de d\u00e9terminer quels utilisateurs correspondent entre eux via n\u2019importe quelle<\/strong> messagerie.<\/p>\n

Si vous cr\u00e9ez un compte SwiftKey et si vous ne d\u00e9sactivez pas l\u2019option \u00ab\u00a0Help Microsoft improve\u00a0\u00bb, d\u2019apr\u00e8s la politique de confidentialit\u00e9, de \u00ab\u00a0petits \u00e9chantillons\u00a0\u00bb de texte dactylographi\u00e9 peuvent alors \u00eatre envoy\u00e9s au serveur. La mani\u00e8re dont cela fonctionne et la taille de ces \u00ab\u00a0petits \u00e9chantillons\u00a0\u00bb sont inconnues.<\/p>\n

<\/a><\/p>\n

Google vous permet de d\u00e9sactiver l\u2019option \u00ab\u00a0Share Usage Statistics\u00a0\u00bb dans Gboard, ce qui r\u00e9duit consid\u00e9rablement la quantit\u00e9 d\u2019informations transmises \u00e9tant donn\u00e9 que la longueur des mots et les applications dans lesquelles le clavier a \u00e9t\u00e9 utilis\u00e9 ne sont plus incluses.<\/p>\n

<\/a>

La d\u00e9sactivation de l\u2019option \u00ab\u00a0Share Usage Statistics\u00a0\u00bb dans Gboard r\u00e9duit consid\u00e9rablement la quantit\u00e9 d\u2019informations collect\u00e9es.<\/p><\/div>\n

En mati\u00e8re de chiffrement, l\u2019\u00e9change de donn\u00e9es dans Gboard et SwiftKey n\u2019a suscit\u00e9 aucune inqui\u00e9tude chez les chercheurs, car les deux applications reposent sur la mise en \u0153uvre TLS standard dans le syst\u00e8me d\u2019exploitation et r\u00e9sistent aux attaques cryptographiques courantes. Par cons\u00e9quent, l\u2019interception du trafic dans ces applications est peu probable.<\/p>\n

En plus de Gboard et de SwiftKey, les auteurs ont \u00e9galement analys\u00e9 l\u2019application populaire AnySoftKeyboard. Elle a pleinement \u00e9t\u00e9 \u00e0 la hauteur de sa r\u00e9putation de clavier d\u00e9di\u00e9 aux inconditionnels de la vie priv\u00e9e en n\u2019envoyant aucune t\u00e9l\u00e9m\u00e9trie aux serveurs.<\/p>\n

La fuite de mots de passe et d\u2019autres \u00e9l\u00e9ments confidentiels \u00e0 partir d\u2019un smartphone est-elle possible\u00a0?<\/h2>\n

Pour intercepter des donn\u00e9es confidentielles, une application ne doit pas n\u00e9cessairement \u00eatre un clavier. Par exemple, TikTok surveille toutes les donn\u00e9es<\/a> copi\u00e9es dans le presse-papier, m\u00eame si cette fonctionnalit\u00e9 semble inutile pour un r\u00e9seau social. Les programmes malveillants sur Android activent souvent les fonctionnalit\u00e9s d\u2019accessibilit\u00e9 et les privil\u00e8ges d\u2019administrateur<\/a> sur les smartphones pour capter les donn\u00e9es des champs de saisie directement \u00e0 partir des fichiers des applications \u00ab\u00a0int\u00e9ressantes\u00a0\u00bb.<\/p>\n

D\u2019autre part, un clavier Android peut \u00ab\u00a0laisser \u00e9chapper\u00a0\u00bb autre chose que du texte tap\u00e9. Par exemple, le clavier AI.Type a \u00e9t\u00e9 \u00e0 l\u2019origine d\u2019une fuite de donn\u00e9es pour 31\u00a0millions d\u2019utilisateurs<\/a>. Pour une raison inconnue, ce clavier collectait des donn\u00e9es comme des num\u00e9ros de t\u00e9l\u00e9phone, des g\u00e9olocalisations exactes, et m\u00eame le contenu de carnets d\u2019adresses.<\/p>\n

Comment vous prot\u00e9ger contre l\u2019espionnage de votre clavier et de son champ de saisie\u00a0?<\/h2>\n