Certaines applications sur les appareils iOS et Huawei ont été jugées sécurisées, mais d'autres applications peuvent potentiellement permettre une surveillance passive.
En bref
- Les failles de chiffrement dans les applications chinoises exposent les utilisateurs à des risques d'espionnage.
- Les programmes Android et Windows présentent des faiblesses, mais les applications iOS sont sécurisées.
- Certains utilisateurs peuvent avoir du mal à limiter leur exposition aux écoutes clandestines.
Les chercheurs ont identifié des faiblesses majeures en matière de chiffrement dans les logiciels de saisie de pinyin basés sur le cloud de huit entreprises, qui pourraient permettre des écoutes clandestines. Bien que rien n’indique que les vulnérabilités soient régulièrement exploitées, les événements précédents soulignent qu’il s’agit là d’une préoccupation potentiellement majeure.
L'écriture chinoise contient des centaines de caractères différents qui ne rentreraient jamais sur des claviers standards, ce qui nécessite l'utilisation de méthodes de saisie alternatives (IME).
Tous les produits cloud exposés utilisaient des systèmes pinyin, dans lesquels les utilisateurs tapaient des prononciations phonétiques dans l'alphabet romain, puis choisissaient parmi une liste de symboles équivalents.
Pendant des décennies, les fabricants de systèmes d'exploitation et les développeurs tiers ont traité les IME chinois entièrement sur l'appareil, mais les services cloud peuvent discerner plus correctement les bons caractères.
Normalement, tout outil de saisie sur Internet comporte un danger inhérent, mais les entreprises qui fournissent des applications pinyin basées sur le cloud garantissent la confidentialité des utilisateurs grâce au cryptage.
Des chercheurs de l'Université de Toronto ont examiné la sécurité des applications de neuf entreprises :
Ces marques ont été capables de lire efficacement les frappes au clavier de tous les outils, à l'exception de l'outil Huawei, révélant potentiellement chaque entrée aux oreilles indiscrètes. Certaines failles peuvent exposer les données à des espions totalement passifs.
Notamment, les chercheurs n'ont découvert aucune faiblesse dans les applications iOS, car Apple met automatiquement en sandbox les applications de clavier de la plate-forme. Autoriser les applications de clavier iPhone à accéder aux données et à les transférer nécessite le consentement explicite de l'utilisateur.
Pendant ce temps, des programmes Android et Windows comparables ont été jugés beaucoup moins sûrs. Les utilisateurs d'Android peuvent choisir si les claviers se connectent à Internet, mais les chercheurs ont découvert que les commandes appropriées peuvent être difficiles à localiser pour certains utilisateurs.
Après que les chercheurs ont informé les neuf fournisseurs, la majorité d'entre eux ont apporté des correctifs pour résoudre les problèmes, mais des faiblesses de chiffrement subsistent dans les applications de Baidu, le clavier de Honor et le service QQ Pinyin de Tencent. En outre, les chercheurs ont cité des dizaines d’applications comparables qu’ils n’ont pas pu évaluer mais qui pourraient potentiellement présenter les mêmes défauts.
Les chercheurs ont exprimé leur inquiétude, en partie à cause d'incidents antérieurs impliquant l'espionnage gouvernemental. Selon l’étude, les Five Eyes – une organisation de partage de renseignements composée des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande – ont exploité des failles similaires dans des applications chinoises pour espionner les utilisateurs.