Si vous avez votre smartphone sur vous avec le Wifi activé, celui-ci essaie constamment de se connecter aux routeurs Wifi que vous connaissez. Pour cela, il utilise la méthode dite « active » qui consiste à envoyer publiquement la liste de de noms de tous les réseaux Wifi que vous connaissez. Si un de ces réseaux est à proximité, celui-ci va répondre, ce qui permet une connexion rapide dès que l’on arrive à proximité du réseau (pas besoin d’attendre que le routeur se déclare lui même ce qui peut prendre quelques longues minutes selon le réglage du routeur).
Un smartphone Samsung sous Android 4.4 envoie ces données dans les airs toutes les 30sec environ.
Sur Android 4.3, c’est bien pire, puisqu’il le fait même lorsque l’utilisateur a désactivé le Wifi.
Problème, un appareil qui écoute ces transmissions peut savoir quels sont vos réseaux Wifi favoris, parfois le nom est explicite et en plus, avec une base de données, on peut récupérer sa localisation.
Vous trouverez ici beaucoup de de publications sur le sujet.
Deuxième problème, qui apparaît également si vous êtes déjà connecté à un réseau Wifi. A chaque envoie de message réseau, votre appareil communique son adresse matériel (MAC) unique au monde. Donc tout appareil qui capte les émissions Wifi de votre smartphone est capable de l’identifier.
On ne peut savoir, si on n’a que cette information, quelle personne porte cet appareil. Mais on peut déjà compter combien de fois vous êtes venu à proximité, à quelles heures et pendant combien de temps. Il suffit qu’un autre service (application, transaction) ait pu faire la relation entre cette adresse MAC et une identité (cookie, email) pour que de suivre un matériel anonyme, on se mette à suivre des gens.
A noter que les MAC sont allouées par constructeur, donc on peut déjà savoir si l’appareil est un Apple ou un Samsung.
Cette méthode a beaucoup d’application marketing puisqu’un magasin peut savoir si le client qu’il a au guichet est nouveau ou est déjà venu (si il partage sa base de données avec d’autres magasins, il pourrait carrément avoir la liste des magasin que le client a visité avant de venir chez lui), quel rayon du magasin l’intéresse, voir même son identité si il y a eu moyen de savoir quelle personne porte ce matériel. Bref c’est en quelque sorte le cookie web en version IRL.
Une autre application, ce sont les services limités. Par exemple, dans les aéroports, ou le service Internet est limité à 30 minutes. Le routeur identifie votre appareil par son adresse MAC et lui refuse tout service après 30 minutes.
Une autre application est le comptage de personnes, par exemple, JCDecaux voudrait installer un mécanisme similaire dans ces panneaux publicitaires et ainsi pouvoir savoir à quels publicités vous avez été exposé. (Imaginez le croisement de données de tous les panneaux publicitaires… vous avez un tracking géant du déplacement de chaque individu, même dans le métro)
Toutes ces problématiques se posent de manière identique en Bluetooth. A une différence important près…
En wifi, il y a un périphérique sur vous (smartphone) et un périphérique fixe (routeur). L’un des deux doit dévoiler la présence de son identité pour qu’une connexion s’initie. Dans le cas du wifi il n’y a pas de problème à ce que le routeur s’annonce et que le smartphone reste passivement à l’écoute.
En bluetooth, avec l’arrivée des objets connectés portés (montre, lunettes, etc…) il arrivera tôt ou tard ou vous porterez 2 objets sur vous qui nécessiteront de communiquer en bluetooth. Et là forcément un des 2 devra s’annoncer continuellement et donc révélera son adresse MAC partout où vous passerez…
C’est une vraie problématique et la norme Bluetooth LE (qui mettra en relation tous les objets de demain) préconise, mais n’impose pas, aux constructeurs l’utilisation d’ adresses MAC pseudo aléatoires. Donc notre anonymat dans la rue reposera bientôt sur le simple choix des ingénieurs qui concevront les objets connectés.
Coté Google, depuis Android 5.0, le smartphone n’utilise plus la méthode « active » pour se connecter en WiFi. Coté Apple depuis iOS 8, le smartphone utilise une adresse MAC qui change de temps en temps. Il n’y a donc pas de consensus sur la solution technique à adopter.
Oui, c’est vraiment problématique.
Par exemple je passe tous les matins devant tel magasin, le gérant saura à quelle heure, quelle fréquence et qui passe. En recoupant avec les données d’applications, on peut envoyer une notification lorsque vous passez devant le magasin, ou afficher une publicité ciblée sur la devanture lorsque vous passez devant.
Du coup, les adminsys du boulot peuvent savoir quand et combien de temps vous êtes au toilettes, ou à la machine à café…
pour les android 4, il y a pry fi : http://forum.xda-developers.com/showthread.php?t=2631512
Quand j’étais enfant, on nous disait qu’un jour ils allait nous implanter un puce GPS dès notre naissance afin de nous tracker en tout temps… Évidemment que personne acceptera cette cette idée.
Ils ont été beaucoup plus sournois: ils ont réussi en nous offrant un magnifique cellulaire pour la modique somme de 0$ sur un contrat de 2 ans.
Nous aimons ces petites machines car elles sont littéralement une extension de notre propre mémoire ( agenda, contact, todo list) et elles nous offrent une proximité directe aux savoirs ( navigation web, fonction GPS).
Je sais que nous (l’unanimité) allons pas dans le bon côté en prenant ce tournant… Mais je suis moi aussi un disciple de Big broder car je suis un consommateur de téléphones intelligents et dans ma vie professionnelle, je suis enseignant en réseautique (je contribue, Par mon statut professionnel, à l’expansion des réseaux de communications que Big brother utilise pour vous tracker).
Attention: Big brother is watching you!