De nombreuses applications de clavier chinoises, certaines provenant de grands fabricants de téléphones, peuvent divulguer des frappes au clavier à des espions, mettant potentiellement en danger trois quarts de milliard de personnes, selon une étude du Citizen Lab de l'Université de Toronto.
Comme le laboratoire les résultats [PDF] Expliquez : « Il n'existe aucun moyen de faire tenir des dizaines de milliers de caractères chinois sur un seul clavier. »
Les ordinateurs destinés aux locuteurs chinois utilisent donc le logiciel Input Method Editor (IME), dont le plus courant utilise le Pinyin, qui permet de représenter les sons du mandarin à l'aide de l'alphabet latin. Les smartphones destinés à être utilisés par les locuteurs chinois incluent souvent des applications de clavier Pinyin, également disponibles dans les magasins d'applications.
Mais mapper l'alphabet latin aux caractères chinois n'est pas facile, c'est pourquoi certaines applications Pinyin téléchargent vos frappes sur le cloud pour les traiter.
Selon Citizen Lab, l'application Pinyin de Baidu utilise un cryptage faible, de sorte que les frappes effectuées par les utilisateurs sont vulnérables à l'interception par une écoute indiscrète qui peut donc lire toutes les entrées. Les applications de Samsung, Xiaomi, OPPO, Honor et iFlytek utilisent des crypto-monnaies qui ont déjà été compromises grâce à un exploit qui permet aux oreilles indiscrètes actives et passives d'intercepter les frappes au clavier. L'application Pinyin de Baidu pour Windows est confrontée au même problème.
Les applications de Tencent, Xiaomi, OPPO et Vivo rencontrent des problèmes qui permettent à une écoute indiscrète active d'intercepter les frappes.
Les applications IME sont conçues pour s'adapter à différents appareils, et certaines versions des applications IME contiennent des vulnérabilités qui n'existent que sur certains appareils.
Citizen Lab a fait part de ses conclusions aux entreprises concernées, et les résultats ont été mitigés.
« Toutes les sociétés, à l'exception de Baidu, Vivo et Xiaomi, ont répondu à nos informations », indique le rapport du laboratoire. Baidu a résolu les problèmes les plus graves découverts par les chercheurs, mais il ne les a pas tous résolus.
Tencent a promis de réparer ses produits d'ici le 1er avril, mais il semble qu'il ne l'ait pas fait au moment de mettre sous presse – peut-être parce qu'il considère que l'une des applications non sécurisées a atteint sa fin de vie.
Même si les applications sont mises à jour pour corriger les failles découvertes par Citizen Lab, l'organisation craint que les difficultés de mise à jour du logiciel entraînent la persistance des problèmes. Par exemple, les appareils Honor ne permettent pas de mettre à jour les applications du clavier. La mise à jour des applications Samsung nécessite la création d'un compte. Les chercheurs du laboratoire ont également constaté que certaines mises à jour d’applications sont géobloquées.
« L’ampleur de ces graves vulnérabilités ne peut être sous-estimée », conclut le rapport, car les applications de clavier étudiées par Citizen Lab détiennent plus de 95 % de part de marché en Chine, et les fabricants de téléphones qui ont préinstallé des logiciels vulnérables détiennent collectivement la moitié du marché.
Selon les estimations du Citizen Lab, environ 780 millions de personnes risquaient d’être surveillées par leur smartphone.
Et la situation est encore pire : l'année dernière, le laboratoire a découvert des problèmes similaires dans une application de saisie populaire appelée Sogou, conduisant à « une estimation selon laquelle environ 1 milliard d'utilisateurs sont affectés par cette classe de vulnérabilités ».
À ce stade, les lecteurs pourraient en conclure que le gouvernement chinois ne verrait pas d’inconvénient à accéder aux smartphones de ses citoyens.
Citizen Lab suggère que cette hypothèse est faible – parce que Pékin n’a pas besoin de portes dérobées car il collecte déjà des données de frappe, n’aime pas l’idée que des tiers fassent de même et fait constamment pression pour améliorer la sécurité des logiciels.
Le laboratoire attribue ces problèmes à une réticence à utiliser des chiffres éprouvés, peut-être par crainte qu'ils soient compromis par les puissances occidentales.
La recherche suggère plusieurs actions qui pourraient être entreprises dans l’écosystème des smartphones (développeurs, fabricants et magasins d’applications) pour créer ce type de registre de vulnérabilités.
Cependant, pour l'instant, il contient des conseils plus pratiques : Mettez à jour vos applications Pinyin dès que possible. ®