Le navigateur mobile Google Chrome sur Android autorise par défaut tous les sites Web à collecter les données de l’accéléromètre à votre insu. S’il est possible de le désactiver, il n’existe aucune option pour autoriser au cas par cas les sites qui en auraient besoin.
Certains capteurs sur les smartphones Android sont mieux protégés que d’autres. Chaque application et site Web doivent demander à l’utilisateur pour accéder à la localisation de l’appareil. Toutefois, ce n’est pas le cas pour le capteur de mouvement. Par défaut, Google Chrome sur Android laisse libre accès aux données de l’accéléromètre – y compris en navigation privée. Le navigateur Safari sur iPhone avait le même comportement, jusqu’à ce qu’Apple décide d’imposer une demande d’autorisation pour tous les navigateurs en 2019.
Selon le chercheur en cybersécurité Tommy Mysk, un site peut utiliser le navigateur pour déterminer si vous êtes assis, debout, en train de marcher ou de faire du vélo, et peut compter vos pas. Le capteur est même assez précis pour pouvoir détecter votre respiration ou votre pouls, ou encore enregistrer l’audio grâce aux vibrations causées par le haut-parleur, par exemple lorsque vous passez un appel en mode mains-libres. D’autres chercheurs par le passé ont réussi à identifier le smartphone grâce à la signature de l’accéléromètre, ou encore à enregistrer ce qui est saisi sur un clavier d’ordinateur lorsque le mobile est posé à côté.
Une option permet de bloquer tout accès à l’accéléromètre
Dans certains cas, l’accéléromètre peut même être utilisé pour déterminer votre position, par exemple si vous êtes dans un bus et que quelqu’un d’autre consulte le même site en ayant autorisé la géolocalisation. Dans ce cas, le site peut comparer les vibrations des deux appareils et en déduire que vous êtes au même endroit.
Pour empêcher le navigateur de divulguer ces données au premier venu, il existe une autorisation dans les paramètres de l’application, activée par défaut. Ouvrez le menu principal de Chrome et sélectionnez « Paramètres ». Sélectionnez ensuite « Paramètres de site », puis « Capteurs de mouvement ». Il suffit ensuite de désactiver l’autorisation. Il n’existe toutefois aucun moyen à l’heure actuelle d’autoriser uniquement certains sites.
Nice Information, thanks