Mardi 03 aout 2010
Comme vous le savez peut-être, les navigateurs récents (Firefox, Opera, Chrome...) possèdent une option de géolocalisation. Autrement dit: Vous pouvez autoriser certains sites web à connaître votre localisation (ce qui peut être pratique dans certains cas). Heureusement, il faut toujours l'autorisation explicite de l'utilisateur pour activer cette géolocalisation.
À la conférence BlackHat, un hacker a montré comment vous localiser sans votre consentement. En gros, n'importe qui pourrait vous localiser géographiquement sans votre accord simplement en vous demandant de visiter une page web.
Comment ça marche ? Le hacker utilise d'abord des bidouilles javascript pour accéder aux pages d'administration des routeurs (souvent des pages accessible localement par l'utilisateur, dans la plage 192.168.x.x) afin de récupérer l'adresse MAC.
Ensuite, il balance l'adresse MAC à l'API de recherche Google pour trouver la localisation géographique. Bah oui, non seulement les voitures Google Street View collectent l'adresse MAC et SSID des routeurs WiFi, mais en prime Google met à disposition gratuitement une API de recherche ! Entrez l'adresse MAC d'un routeur WiFi, et Google vous renvoie sa localisation géographique (pour peu que qu'un Google Car soit passée à proximité).
Effrayant.
Bien sûr ceci n'est possible que:
Ces 3 conditions ne sont pas forcément difficile à réunir... surtout face au désastre de la sécurisation par défaut des routeurs WiFi et "box" des fournisseurs d'accès ADSL (mots de passe par défaut, etc.)
Bye bye la vie privée...