« Des pirates informatiques peuvent espionner chaque frappe de clavier sur des smartphones Honor, OPPO, Samsung, Vivo et Xiaomi via Internet » ; ces dernières semaines, des gros titres alarmants comme celui-ci font le tour des médias. Ils trouvent leur origine dans une étude relativement sérieuse portant sur les vulnérabilités du chiffrement des données transmises par les claviers. Des pirates informatiques qui sont en mesure d’observer votre trafic réseau, par exemple via un routeur domestique infecté, peuvent en effet intercepter chaque frappe de votre clavier et découvrir tous vos mots de passe et tous vos secrets. Ne vous empressez toutefois pas de troquer votre téléphone Android contre un iPhone : seule la saisie du chinois à l’aide du système pinyin est concernée, sous réserve que la fonction « prédiction dans le cloud » soit activée. Cependant, nous avons jugé utile d’étudier la situation pour d’autres langues et pour les claviers d’autres fabricants.
Pourquoi de nombreux claviers pinyin sont-ils vulnérables aux écoutes clandestines ?
Le système d’écriture pinyin, également appelé alphabet phonétique chinois, permet aux utilisateurs d’écrire des mots chinois en utilisant des lettres latines et des signes diacritiques. Il s’agit du système officiel de romanisation de la langue chinoise, adopté entre autres par l’ONU. Dessiner des caractères chinois sur un smartphone n’est pas très pratique, et c’est pour cette raison que la méthode de saisie pinyin est très populaire et est utilisée, d’après certaines estimations, par plus d’un milliard de personnes. À l’inverse de nombreuses autres langues, la prédiction des mots chinois, en particulier en pinyin, est difficile à mettre directement en œuvre sur un smartphone, car il s’agit d’une tâche complexe sur le plan informatique. Par conséquent, la quasi-totalité des claviers (ou plus précisément, les méthodes de saisie ou IME) utilisent la « prédiction dans le cloud », ce qui signifie qu’ils envoient instantanément les caractères pinyin saisis par l’utilisateur à un serveur et qu’ils reçoivent en retour des suggestions de complétion de mots. Parfois, la fonction « cloud » peut être désactivée, mais cette désactivation réduit la vitesse et la qualité de la saisie en chinois.
Bien entendu, tous les caractères que vous saisissez sont accessibles aux développeurs de claviers grâce au système de « prédiction dans le cloud ». Mais ce n’est pas tout ! L’échange de données caractère par caractère nécessite un chiffrement spécial, que de nombreux développeurs ne parviennent pas à mettre en œuvre correctement. Par conséquent, toutes les frappes de clavier et toutes les prédictions correspondantes peuvent être facilement déchiffrées par des personnes extérieures.
Vous pouvez trouver des détails sur chacune des erreurs détectées dans l’étude d’origine, mais pour résumer, sur les neuf claviers analysés, seule l’IME pinyin des smartphones Huawei a correctement mis en œuvre le chiffrement TLS et a pu résister aux attaques. En revanche, les IME de Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo et Xiaomi se sont révélées vulnérables à des degrés divers, le clavier pinyin standard d’Honor (Baidu 3.1) et l’application QQ pinyin ne recevant pas de mises à jour même après que les chercheurs ont contacté les développeurs. Il est conseillé aux utilisateurs de pinyin de mettre à jour leur IME vers la dernière version et, si aucune mise à jour n’est disponible, de télécharger une autre IME pinyin.
Les autres claviers envoient-ils des frappes de clavier ?
Aucun besoin technique direct n’existe en ce sens. Pour la plupart des langues, la fin des mots et des phrases peut être prédite directement sur l’appareil et, par conséquent, les claviers courants n’ont pas besoin d’un transfert de données caractère par caractère. Néanmoins, les données relatives au texte saisi peuvent être envoyées au serveur à des fins de synchronisation d’un dictionnaire personnel entre les appareils, à des fins de machine learning, ou à d’autres fins sans rapport direct avec la fonctionnalité principale du clavier, comme les analyses publicitaires.
Que vous souhaitiez ou non que de telles données soient stockées sur les serveurs de Google et de Microsoft relève d’un choix personnel, mais il est peu probable que qui que ce soit désire les partager avec d’autres personnes. Au moins un incident de ce type a déjà été médiatisé en 2016, lorsqu’il a été découvert que le clavier SwiftKey prédisait les adresses email et d’autres entrées du dictionnaire personnel d’autres utilisateurs. Après cet incident, Microsoft a temporairement désactivé le service de synchronisation, probablement pour corriger les erreurs. Si vous ne voulez pas que votre dictionnaire personnel soit stocké sur les serveurs de Microsoft, ne créez pas de compte SwiftKey, et si vous en avez déjà un, désactivez-le et supprimez les données stockées dans le cloud en suivant ces instructions.
Il n’existe aucun autre cas connu de fuite de texte dactylographié. Cependant, des recherches ont montré que les claviers courants surveillent activement les métadonnées au fur et à mesure de la frappe. Par exemple, Gboard de Google et SwiftKey de Microsoft envoient plusieurs données relatives à chaque mot saisi, à savoir sa langue, sa longueur, l’heure exacte de saisie, ainsi que l’application dans laquelle le mot a été saisi. SwiftKey envoie également des statistiques sur le temps économisé en indiquant le nombre de mots saisis en entier, le nombre de mots prédits automatiquement et le nombre de mots survolés. Étant donné que les deux claviers envoient l’identifiant publicitaire unique de l’utilisateur au « siège », de nombreuses possibilités de profilage se présentent ; par exemple, il devient possible de déterminer quels utilisateurs correspondent entre eux via n’importe quelle messagerie.
Si vous créez un compte SwiftKey et si vous ne désactivez pas l’option « Help Microsoft improve », d’après la politique de confidentialité, de « petits échantillons » de texte dactylographié peuvent alors être envoyés au serveur. La manière dont cela fonctionne et la taille de ces « petits échantillons » sont inconnues.
Google vous permet de désactiver l’option « Share Usage Statistics » dans Gboard, ce qui réduit considérablement la quantité d’informations transmises étant donné que la longueur des mots et les applications dans lesquelles le clavier a été utilisé ne sont plus incluses.
En matière de chiffrement, l’échange de données dans Gboard et SwiftKey n’a suscité aucune inquiétude chez les chercheurs, car les deux applications reposent sur la mise en œuvre TLS standard dans le système d’exploitation et résistent aux attaques cryptographiques courantes. Par conséquent, l’interception du trafic dans ces applications est peu probable.
En plus de Gboard et de SwiftKey, les auteurs ont également analysé l’application populaire AnySoftKeyboard. Elle a pleinement été à la hauteur de sa réputation de clavier dédié aux inconditionnels de la vie privée en n’envoyant aucune télémétrie aux serveurs.
La fuite de mots de passe et d’autres éléments confidentiels à partir d’un smartphone est-elle possible ?
Pour intercepter des données confidentielles, une application ne doit pas nécessairement être un clavier. Par exemple, TikTok surveille toutes les données copiées dans le presse-papier, même si cette fonctionnalité semble inutile pour un réseau social. Les programmes malveillants sur Android activent souvent les fonctionnalités d’accessibilité et les privilèges d’administrateur sur les smartphones pour capter les données des champs de saisie directement à partir des fichiers des applications « intéressantes ».
D’autre part, un clavier Android peut « laisser échapper » autre chose que du texte tapé. Par exemple, le clavier AI.Type a été à l’origine d’une fuite de données pour 31 millions d’utilisateurs. Pour une raison inconnue, ce clavier collectait des données comme des numéros de téléphone, des géolocalisations exactes, et même le contenu de carnets d’adresses.
Comment vous protéger contre l’espionnage de votre clavier et de son champ de saisie ?
- Dans la mesure du possible, utilisez un clavier qui n’envoie pas de données inutiles au serveur. Avant d’installer une nouvelle application pour votre clavier, il convient de rechercher sur Internet des informations à son sujet, car si un scandale y est associé, il apparaîtra immédiatement.
- Si le confort d’utilisation du clavier vous intéresse plus que sa confidentialité (et nous ne jugeons pas, car le clavier a son importance), rendez-vous dans les paramètres de configuration et, dans la mesure du possible, désactivez les options de synchronisation et de transfert des statistiques. Ces options peuvent se trouver sous différents noms, dont « Compte », « Cloud », « Aidez-nous à nous améliorer » ou même « Dons audio ».
- Vérifiez les autorisations Android dont votre clavier a besoin et révoquez celles dont il n’a pas besoin. L’accès aux contacts ou à l’appareil photo n’est pas indispensable au clavier.
- Installez uniquement des applications provenant de sources fiables, vérifiez la réputation de l’application et, encore une fois, ne lui accordez pas trop d’autorisations.
- Bénéficiez d’une protection complète pour tous vos smartphones Android et iOS, comme Kaspersky Premium.