Le Bluetooth, moins respectueux de la vie privée que la RFiD  ?

Par Jean-Marc Manach

« Les réseaux sociaux sont partout. Il vous suffit de les découvrir à partir des multiples bases de données d’ores et déjà disponibles, ou que vos systèmes génèrent et collectent »

Vassilis Kostakos étudie les interactions homme-machine. Il aime tout particulièrement développer des systèmes ubiquitaires, engranger et analyser des données, notamment à partir des ordinateurs et téléphones qu’il a transformés en scanners Bluetooth, et installé dans la ville de Bath, en Grande-Bretagne.

Il participe également au projet collectif Crawdad d’agrégation des données sans fil à Dartmouth. Leur objectif est de comprendre, à partir de ces « traces de mobilité« , comment les « vrais gens, applications et outils utilisent véritablement les réseaux dans de vraies conditions, afin d’évaluer les vrais problèmes, de proposer d’éventuelles solutions et nouveaux services ».

L’été dernier, il lançait une application interfaçant Bluetooth et Facebook afin d’explorer les interactions entre les mondes réels et virtuels. Lancée depuis sur Second Life, elle permet de savoir, par exemple, qui sont les personnes, « amis » ou inconnus, avec qui vous passez le plus de temps « pour de vrai« .

Facebook’s Cityware

Vassilis Kostakos fait aussi partie du projet de recherche CityWare, qui vise à étudier la faisabilité des systèmes ubiquitaires et des dispositifs de réalité augmentée en environnement urbain. En anglais, il appelle cela l' »urban computing« , une expression difficilement traduisible en français : s’agit-il d’informatisation urbaine, d’urbadination (ou urbatique) ou encore, comme le propose Jean-Louis Fréchin de « technologies ubiques et urbaines ?

Concrètement, Vassilis Kostakos participe ainsi à un projet de traçabilité à grande échelle combinant GPS, Bluetooth et autres capteurs afin de mesurer la réalité des déplacements des passagers dans la ville de Funchal, sur l’île de Madère. Et il s’est aussi intéressé aux modes de propagation d’un virus dans la ville, en regardant comment il se propageait de téléphones en téléphones via Bluetooth.

Le Bluetooth, plus dangereux que la RFiD ?

On savait depuis longtemps Bluetooth sensible aux détournements d’usages (comme son concurrent, NFC, d’ailleurs). Dans un article publié fin avril, Vassilis Kostakos se penche sur les implications, en matière de vie privée, de la technologie Bluetooth.

Pour cela, il part du constat que si, jusqu’ici, chercheurs, médias et associations de défense des libertés ou des consommateurs se sont surtout intéressés aux risques posés par la RFiD, c’est bien la technologie Bluetooth qui s’est imposée au grand public et fait partie de notre vie quotidienne. L’analyse des scanners installés à Bath leur ainsi a permis d’identifier 10 000 périphériques en 6 mois, et de découvrir que 7,5 % des passants avaient activé le module Bluetooth de leurs portables.

Si ces deux technologies ne visent pas les mêmes usages, les risques en matière de vie privée sont relativement similaires dans la mesure où elles sont toutes deux basées sur les notions d’identifiant unique et de mobilité. La différence est que les risques associés à la RFiD sont « potentiellement » plus dommageables, à terme, alors que ceux liés au Bluetooth le sont dès aujourd’hui :

  • en moyenne, les puces RFiD sont lisibles à 30 cm, contre 100 mètres pour le Bluetooth,
  • le volume de données contenues dans une puce est limité, alors qu’il n’existe pas de limites aux informations échangées via Bluetooth,
  • la RFiD repose sur la distinction entre des puces placées sur des objets que seules, a priori, peuvent consulter les lecteurs installés par des entreprises, alors que le Bluetooth transforme tout individu en émetteur et récepteur,
  • la RFiD concerne à ce jour essentiellement le seul secteur de la logistique, alors que le Bluetooth est partout,
  • il est possible, et prévu, de détruire les puces RFiD, notamment au sortir des magasins, on ne peut que désactiver le Bluetooth et encore, temporairement seulement : une fois le périphérique identifié, il est possible de chercher à savoir lorsqu’il repasse à proximité même s’il est activé de manière furtive.

Vassilis Kostakos propose d’équiper les périphériques Bluetooth de molettes qui, à la manière de celles qui contrôlent le volume sonore de nos baladeurs, permettraient de limiter la puissance du signal. Il propose également de les équiper de logiciels qui, tout comme les outils de statistiques des sites web, enregistreraient qui s’est connecté à son périphérique, combien de fois, pendant combien de temps et pour y faire quoi.

« Je ne suis pas un numéro », disait le prisonnier

Fusil BluetoothIl remarque enfin que l’on n’a guère, à ce jour, recensé énormément d’attaques exploitant ces caractéristiques et fonctionnalités potentiellement dommageables. On notera cela dit que plusieurs logiciels proposent d’ores et déjà d’exploiter les vulnérabilités que l’on trouve dans certains téléphones Bluetooth ou d’en pirater les composants logiciels afin d’en usurper l’identité, d’en surveiller l’utilisation, d’accéder à des données sans autorisation, de les modifier, etc. Il existe même des « fusils Bluetooth » capables de capturer des données à plus d’1,5 kilomètres de distance…

Mais il y a peut-être pire en terme de violation de la vie privée : la perspective de généraliser l’écoute via Bluetooth. Vassilis et son frère, Panos, chercheur spécialisé dans le terrorisme et le crime organisé, ont publié un autre article, 5 jours avant le précédent. Constatant qu’on trouve beaucoup d’étrangers dans les prisons d’Europe, et que certains s’en sont trouvés embrigadés par des militants islamistes, ils y expliquent pourquoi, et comment, il serait intéressant d’équiper les prisons, et leurs prisonniers, de périphériques Bluetooth afin de pouvoir mieux identifier leurs réseaux sociaux.

Pour leur démonstration, ils s’appuient sur les résultats des données enregistrées par Vassilis à Bath, ainsi que sur le campus universitaire qui lui sert de plateforme de test pour son application Facebook. Mais il n’est nulle part indiqué que les passants ont été informés que leurs périphériques Bluetooth et leurs déplacements étaient surveilllés. De même, ceux qui installent l’application Facebook ne savent pas que leurs données sont exploitées par des universitaires, et encore moins qu’ils servent de cobayes pour un projet de prisons panoptiques Bluetooth. Pas de quoi, décidément, être rassuré.

Via Acissi et le News Scientist.

À lire aussi sur internetactu.net

0 commentaires

  1. salut JMM,

    Depuis le départ, les technos numériques (le binaire!) visent l’intégration de la globalité, et ce n’est pas peu dire. On peut toujours décomposer entre domaines numériques, génétiques, plastiques, artistiques…peu importe. A un moment donné la question est celle de la conception, mais je ne sais pas trop si c’est de cela dont tu parles… peu importe aussi… j’en profite pour te signaler ceci:
    LE METADESIGN, OU COMMENT L’EXPÉRIENCE DOIT ÉCHAPPER AU DESIGNER
    http://www.lecolededesign.com/IMG/pdf/CADI01_JAN2008_FR.pdf

    Le problème du design numérique n’est pas tant de surfer sur des anglophonismes plus ou moins foireux et hype ( genre ‘social networking’) que de réfléchir un peu à sa propre méthodologie.

    define:cybernetic

    et zou, bises, a+, yann

  2. Cette façon que peuvent avoir certains chercheurs de cacher leurs intentions et d’utiliser les gens comme cobayes d’expérimentations douteuses est effectivement l’un des points qui m’a marqué en découvrant le travail de Kostakos.

    Une forme d’inconscience politique qui n’enlève rien aux mérites de ses recherches, par ailleurs, mais qui renvoie aux problèmes qu’avait posé le nucléaire, ou que pose aujourd’hui Jacques Testard dans ses interventions sur la démocratie et de technoscience.

    Et il eut certes été intéressant que les cobayes de ses expérimentations puissent être sollicités et impliqués, comme tu le proposes dans ton article, dans leurs développements :

    A quand les prisons co-contruites par les taulards et les matons ?

  3. ça me fait penser à cette installation de N.Negroponte ‘SEEK’, avec d’un coté l’intention: « a computer-controlled robotic environment that, at least in theory, cybernetically reconfigured itself in response to the behavior of the gerbils that inhabited it » , puis la réalisation : « The gerbils in SEEK attacked each other, » « SEEK gained notoriety because several of the gerbils reportedly died during the exhibition. The gerbils, of course, were stand-ins for human beings operating in a technologically saturated environment. »

    http://www.cyberneticians.com/slideshow/seek1.html
    http://www.artexetra.com/House.html
    http://www.aec.at/en/archives/festival_archive/festival_catalogs/festival_artikel.asp?iProjectID=12320#

  5. Une autre expérience qui utilise du Bluetooth pour tracer nos comportements, dans un but plus utilitariste : le département des transports de l’Indiana teste un dispositif qui repère les équipements Bluetooth embarqués dans les véhicules pour mieux réguler le trafic routier rapporte l’Atelier.