L’imagination des publicitaires n’a pas de limite quand il s’agit de pister les consommateurs. La dernière technologie à la mode est basée sur l’émission de messages à ultrasons. Ils sont très discrets mais aussi très décriés.
Votre chien a-t-il parfois un comportement étrange quand vous surfez sur des sites web ou quand vous regardez certaines émissions télévisuelles? Peut-être faites vous partie des quelques millions d’internautes victimes des trackers publicitaires aux ultrasons. Quand il s’activent, ces mouchards d’un genre nouveau émettent un bref signal à haute fréquence, comprise généralement entre 18 et 20 kHz. C’est inaudible pour nous, mais pas forcément pour nos amis à quatre pattes.
Le récepteur du signal n’est autre que votre smartphone, votre tablette ou votre second ordinateur sur lequel vous aurez préalablement installé, sans vraiment le savoir, une application qui va enregistrer la petite onde ultrasonore - également appelé « uBeacon » - et l’interpréter. Le but de la manoeuvre est simple : il s’agit de pister le consommateur à travers tous ses terminaux. Dans le jargon marketing, on appelle cela le « cross-device tracking ». Exemple: un internaute visionne une pub sur la TV. Celle-ci émet un petit son qui sera enregistré par le smartphone. La prochaine fois qu’il ouvrira le navigateur du smartphone, surprise, il verra la même pub. Celle-ci, du coup, prendra plus de poids et sera donc facturée plus cher. Evidemment, les possibilités d’analyse statistique et de ciblage publicitaire sont immenses.
Une technologie qui fait tache d’huile
Les premiers qui ont eu cette idée diabolique travaillent chez SilverPush, une société indienne basée près de New Delhi. Celle-ci a créé dès 2014 une plateforme que les développeurs peuvent aisément intégrer dans leurs applications mobiles. Cette technologie a déjà fait couler beaucoup d’encre aux Etats-Unis, notamment parce que les développeurs ne mentionnent pas forcément son existence. Souvent, l’application ne demande à l’utilisateur que d’approuver l’accès au microphone, sans que l'on sache précisément pourquoi. Il y un an, l’affaire est même remontée jusqu’à la Commission fédérale du commerce (FTC) qui, en mars dernier, a épinglé ces développeurs pour leur manque de transparence.
Combien existe-t-il d’applications mobiles avec le tracking à ultrasons? Les chercheurs en sécurité Federico Maggi et Vasilios Mavroudis se sont penchés sur la question et ont présenté leurs analyses à l’occasion de la conférence Black Hat Europe 2016. Selon eux, il y a eu en 2015 au moins 60 applications sur Google Play Store qui incorporaient la technologie de SilverPush. Parmi elles, une application de Budweiser et une de McDonalds (aux Philippines). Il est difficile de connaître le nombre actuel car SilverPush ne donne aucune information à ce sujet. Il faudrait donc analyser les applications une par une pour le savoir.
Des plaintes à répétition
Par ailleurs, SilverPush n’est plus tout seul. L’écosystème autour des ultrasons grandit rapidement et il y aurait déjà une dizaine de sociétés proposant de tels mouchards, généralement dans le secteur du marketing de proximité. Signal360 est l’une de ces sociétés. En mai 2016, elle a signé un contrat avec plusieurs équipes de basket américaines dont les Golden State Warriors de San Francisco. Leur application mobile est désormais capable de recevoir ces fameux messages à ultrasons. Les fans qui l’utilisent reçoivent dès lors des messages et des offres geolocalisés, par exemple quand ils pénètrent dans le stade, quand ils sont dans la boutique aux produits dérivés, assis dans les tribunes, etc.
Mais cette technologie a été très mal perçue par les utilisateurs qui s’imaginent que l’application espionne leurs conversations en permanence, vu que le microphone est actif tout le temps. Une plainte a été déposée au tribunal de San Francisco en août dernier, comme le relate Cnet. Une seconde affaire identique a été portée au tribunal en octobre dernier, cette fois-ci pour une application de l’équipe des Indiana Colts de Pittsburgh.
Bientôt un firewall sonore !
Outre le caractère très invasif des trackers à ultrasons, il y a aussi un risque de sécurité, par exemple pour les utilisateurs de Tor. Dans une démonstration, les deux chercheurs ont prouvé que les tags de SilverPush permettaient de désanonymiser ce réseau parallèle. Comment? En créant un service caché Tor piégé qui, lorsque l’internaute s’y connecte, exécute un Javascript qui émet un ultrason. Ce dernier sera capté par le smartphone qui transmettra ensuite les données d'identification au serveur de campagne. La corrélation de ces données avec la connexion Tor démasquera l'utilisateur, et le tour est joué.
Bref, les possibilités néfastes du tracking à ultrasons sont immenses. C’est d’autant plus surprenant que la technologie, en elle-même, est plutôt simpliste. Le tag à ultrasons est constitué d’une succession d’impulsions sonores représentant chacune un caractère alphanumérique. On se croirait revenu à la numérotion à fréquence vocale du siècle dernier. Il n’y a ni authentification, ni chiffrement. Tout est ouvert à tout vent. C’est pourquoi les chercheurs préconisent une standardisation de cette technologie avec, si possible, l’ajout de fonctions de sécurité.
Evidemment, cela prendra du temps. En attendant, les deux chercheurs comptent publier une extension Chrome baptisée SilverDog qui filtrera les émissions sonores à haute fréquence pour éviter l’émission de tags à ultrasons. Elle sera téléchargeable entre autres sur leur site ubeacsec.org. « D’une certaine manière, on pourrait appeler cela un firewall sonore », expliquent-ils. C’est fou qu’il faille en arriver jusque-là pour protéger sa vie privée…
(01net)