Est-il possible de suivre à la trace un téléphone et son possesseur grâce à des ultrasons ? Si la technologie existe depuis quelques années et si plusieurs entreprises affirment l’utiliser sous une forme ou sous une autre, elle est restée jusqu’à présent relativement confidentielle.

Pour la première fois, quatre chercheurs de l’université technique de Bunswick (Allemagne) ont étudié son utilisation réelle et ses impacts sur la vie privée. Ils ont présenté le résultat de leurs recherches mercredi 26 avril à Paris, dans le cadre du deuxième symposium sur la sécurité et la vie privée.

Le sujet du suivi par ultrasons a fait parler de lui en 2014 lorsque la société Silverpush a déposé un brevet permettant d’inclure des signaux ultrasons dans des publicités diffusées à la télévision. L’idée était que, dotés de l’application idoine, les téléphones des téléspectateurs seraient capables de reconnaître le signal dans la publicité, permettant à l’annonceur de savoir que tel ou tel consommateur avait visionné sa publicité.

Cette technologie, très invasive, a suscité de vives remontrances de la Federal Trade Commission américaine. L’entreprise a, dans un second temps, annoncé qu’elle renonçait à cette technique. Les chercheurs ont pourtant observé des fonctionnalités de traçage par ultrasons lui appartenant dans plus de 200 applications pour Android, disponibles essentiellement en Asie, à l’insu de leurs utilisateurs.

Comment fonctionne cette technologie ?

Les appareils électroniques comme les smartphones sont capables de recevoir et d’émettre des fréquences jusqu’à 20 kHz. L’oreille humaine, notamment avec l’âge, ne capte pas toujours les fréquences les plus élevées. Cela laisse, expliquent les chercheurs, une plage entre 18 et 20 kHz quasiment inaudibles pour l’oreille humaine que peuvent détecter les appareils électroniques. Il suffit donc de diffuser un signal sonore en ultrason reconnaissable par l’application installée sur le téléphone pour identifier ce dernier de manière unique.

Cela a de « sérieuses implications en matière de vie privée », explique au Monde Daniel Arp, un des chercheurs. En effet, plusieurs utilisations de cette technologie peuvent être imaginées :

Localiser un téléphone : lorsqu’il réagit à un signal ultrason, cela signifie qu’un téléphone est à proximité immédiate de l’émetteur du signal. Cela permet de localiser un appareil et de repérer d’éventuels passages répétés, très utile dans un magasin par exemple.

: lorsqu’il réagit à un signal ultrason, cela signifie qu’un téléphone est à proximité immédiate de l’émetteur du signal. Cela permet de localiser un appareil et de repérer d’éventuels passages répétés, très utile dans un magasin par exemple. Détecter de nouveaux appareils : il permet aussi de repérer si un individu utilise un second appareil (une tablette par exemple) : un graal pour les publicitaires qui cherchent à proposer des publicités à la même personne sur plusieurs appareils.

: il permet aussi de repérer si un individu utilise un second appareil (une tablette par exemple) : un graal pour les publicitaires qui cherchent à proposer des publicités à la même personne sur plusieurs appareils. Désanonymiser : l’utilisation d’un réseau anonymisant, comme TOR, peut être contourné. Il suffit pour cela que l’internaute visite un site émettant un signal en ultrason pour repérer son appareil, et établir une corrélation entre le visiteur, pourtant protégé par le réseau anonymisant, et son appareil rempli de données personnelles.

234 applications utilisant l’ultrason découvertes

Les chercheurs ont téléchargé et analysé 1,3 million d’applications disponibles pour Android : 234 d’entre elles comportaient le code et la fonctionnalité de signal ultrason à laquelle Silverpush avait pourtant annoncé renoncer. A l’inverse, d’autres solutions par ultrasons étudiées par les chercheurs, Silverpush n’est pas une application que l’utilisateur télécharge sur son téléphone, mais d’une librairie – du code informatique qui peut être utilisé par d’autres applications –, ce qui explique sa présence à l’insu des utilisateurs. Certaines applications concernées ont été téléchargées plusieurs millions de fois, selon les chercheurs.

Pour savoir si ce traçage par ultrasons était effectif, ils ont également analysé 140 heures de flux de télévision dans sept pays, notamment en Asie du sud-est, à la recherche de signaux ultrason. En vain. Mais cela ne signifie pas nécessairement que la technologie n’est pas utilisée : les chercheurs ont analysé ces flux via Internet, où le son est fortement compressé pour économiser de la bande passante, faisant disparaître la plupart des sons en haute fréquence utilisés par la technologie ultrason.

« Technique plutôt fiable »

Enfin, les chercheurs ont réalisé plusieurs tests afin de déterminer si la technologie de signaux ultrasons était fiable. Ils ont disposé cinq différents modèles de téléphones et de tablettes Android, sortis entre 2012 et 2015, face à une télévision diffusant des fichiers vidéo contenant un signal ultrason. « La technique est plutôt fiable », constate Daniel Arp. Les ondes à haute fréquence étant facilement arrêtables, par exemple par du verre, les appareils doivent être à proximité immédiate de l’émetteur sonore.

Par ailleurs, les chercheurs ont fait écouter ces mêmes fichiers sonores à un panel d’humains, et déterminé que dans la plupart des cas, ces derniers étaient incapables, sauf à haut niveau sonore, de distinguer la balise ultrason.

« Actuellement la menace de ce type de technologie est limitée, dans la mesure où d’autres techniques de pistage sont disponibles et nécessitent moins d’effort », explique M. Arp. Ces travaux montrent cependant que la technologie de suivi par ultrason est possible et que cette technologie « doit être suivie avec attention » écrivent les chercheurs.