Vulnérabilités des claviers virtuels dans les smartphones : un risque majeur pour la sécurité mobile

L’interconnexion croissante entre les dispositifs mobiles et les services en ligne a ouvert la voie à de nombreuses innovations, mais également à une série de vulnérabilités potentiellement dangereuses. Récemment, des chercheurs du Citizen Lab ont identifié des faiblesses inquiétantes dans plusieurs applications de clavier Pinyin basées sur le cloud, utilisées par des millions d’utilisateurs chinois. Ce rapport met en lumière les risques associés à ces vulnérabilités et leur impact potentiel sur la confidentialité des données.

Des vulnérabilités critiques découvertes

Les experts ont révélé que 8 applications sur 9, provenant de grands fournisseurs tels que Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo et Xiaomi, présentent des failles de sécurité qui peuvent être exploitées pour révéler les frappes au clavier des utilisateurs. Ces applications sont largement utilisées pour l’entrée de texte en pinyin, ce qui couvre un vaste marché incluant près d’un milliard d’utilisateurs. Les chercheurs Jeffrey Knockel, Mona Wang, et Zoë Reichert ont publié leurs conclusions après une analyse minutieuse.

Impact des failles sur les utilisateurs

La nature de ces vulnérabilités permettrait à des acteurs malveillants de décrypter intégralement les frappes au clavier des utilisateurs sans générer de trafic réseau additionnel. Cela signifie que des informations sensibles, telles que les mots de passe et les messages privés, pourraient être interceptées sans que les utilisateurs ne s’en aperçoivent. Cette découverte remet en question la sécurité globale des méthodes d’entrée (IME) de Sogou, Baidu, et iFlytek, qui détiennent une part de marché majeure en Chine.

Analyse technique des vulnérabilités

Les claviers virtuels concernés souffrent de diverses failles spécifiques :

  • Tencent QQ Pinyin : Une attaque de type “CBC Padding Oracle” permettant de récupérer le texte clair.
  • Baidu IME : Un bug dans le protocole de chiffrement BAIDUv3.1 permettant aux écouteurs réseau de décrypter les transmissions réseau sur Windows.
  • iFlytek IME : L’application Android présente une insuffisance dans le chiffrement des transmissions réseau, laissant les frappes vulnérables.
  • Samsung Keyboard : Transmission des données de frappe via HTTP non chiffré.
Lire  Internet Computer Protocol : une révolution dans la gestion des identités numériques


Ces exemples illustrent l’étendue des failles qui mettent en péril la sécurité des données des utilisateurs.

Choisir son clavier android : Vidéo

La réaction des développeurs et des autorités

Les experts du Citizen Lab avancent l’hypothèse selon laquelle les développeurs chinois sont réticents à utiliser des standards cryptographiques perçus comme dominés par l’Occident, craignant des éventuelles portes dérobées. Cette méfiance conduit au développement de chiffrements faits maison (in-house ciphers), souvent moins sécurisés que les standards internationaux éprouvés. Face à cette situation, il est crucial que les entreprises concernées prennent des mesures immédiates pour renforcer leur sécurité et protéger les données de leurs utilisateurs.
Les organismes de réglementation doivent aussi jouer un rôle actif pour encourager l’adoption de protocoles de sécurité fiables.

Conséquences potentielles

L’exploitation réussie de ces vulnérabilités pourrait permettre à des adversaires de surveiller massivement les communications écrites des utilisateurs chinois. Les implications de cette surveillance vont au-delà de simples violations de vie privée; elles soulèvent des préoccupations concernant la sécurité nationale et les droits fondamentaux des utilisateurs. Pour les autorités et les défenseurs de la vie privée, ces découvertes appellent à une vigilance accrue envers les logiciels utilisés quotidiennement par des millions de personnes.

Mesures de précaution pour les utilisateurs

Il est important que les utilisateurs prennent conscience des risques associés à ces vulnérabilités et adoptent des mesures préventives. Ceux-ci incluent l’utilisation de réseaux sécurisés, éviter les applications non vérifiées, et mettre régulièrement à jour leurs dispositifs pour bénéficier de correctifs de sécurité. En outre, recourir à des claviers alternatifs avec des protocoles de sécurité robustes peut aider à mitiger les risques imminents.

Lire  Effacer votre passé numérique avec DeleteMe : Le leader de la protection des données personnelles

Conclusion : Vers une meilleure sécurité des IMEs

Cette enquête met en lumière un problème systémique dans la sécurité des claviers virtuels en Chine. À la suite de ces révélations, il est impératif que les développeurs de logiciels collaborent avec des experts en sécurité pour remédier aux failles identifiées. Renforcer les protocoles de chiffrement et adopter des normes de sécurité internationalement reconnues devraient être prioritaires pour garantir la confidentialité et la protection des données des utilisateurs. Seule une approche proactive permettra de limiter les impacts négatifs de ces vulnérabilités et assurer un environnement numérique plus sûr.

Mehdi Bellatig

Master en Sciences Sociales
Expert en cybersécurité et lutte contre les fraudes et arnaques en ligne.
Co-créateur de la 1ère Intelligence Artificielle analysant la fiabilité des sites internet.
Co-fondateur technique de France Verif, le premier outil pour la sécurité numérique globale des particuliers.