Et si votre clavier de smartphone vous espionnait? Vous n’y aviez pas pensé n’est-ce pas? On pense souvent à la confidentialité de nos mails, nos recherches, nos messages mais rarement à un élément qui sous-tend le reste : le clavier! Et si vous changiez de clavier?
S’il ya bien une application absolument nécessaire pour utiliser son smartphone, c’est bien le clavier… Pourtant l’application qui vous permet d’utiliser un clavier pour faire vos recherches ou rédiger des messages est aussi une source de données pour les entreprises qui les collectent (coucou Google et son clavier Google Board…)
Pourquoi c’est important
Aviez-vous déjà remarqué que l’excellent messagerie Signal qui défend la vie privée des utilisateurs propose une option de clavier incognito? Et Signal vous prévient :
« Il est important d’utiliser un clavier ou un IME dans lequel vous avez confiance. Signal ne peut ni détecter, ni protéger votre appareil des logiciels malveillants. »
Et oui… Vous envoyez des supers messages chiffrés de bout en bout mais que se passe t-il si l’application qui gère votre clavier est piégée, vérolée, espionnée?
L’étude du moment
Le Citizen Lab de l’Université de Toronto a publié une étude sur la sécurité des claviers pour smartphone (Avril 2024). Le résultat laisse songeur. La majorité de ces applications sont très vulnérables à des attaques ou de l’espionnage massif.
On apprend ainsi entre autres que : (traduction Deepl)
« Nous avons analysé la sécurité des applications de clavier Pinyin basées sur le cloud de neuf vendeurs – Baidu, Honor, Huawei, Iflytek, Oppo, Samsung, Tencent, Vivo et Xiaomi – et examiné leur transmission de clés des utilisateurs pour les vulnérabilités.
Notre analyse a révélé des vulnérabilités critiques dans les applications de clavier de huit des neuf fournisseurs dans lesquels nous pourrions exploiter cette vulnérabilité pour révéler complètement le contenu des touches des utilisateurs en transit. La plupart des applications vulnérables peuvent être exploitées par une écoute de réseau entièrement passive.
En combinant les vulnérabilités découvertes dans ce rapport et notre rapport précédent analysant les applications de clavier de SOGOU, nous estimons que jusqu’à un milliard d’utilisateurs sont affectés par ces vulnérabilités. Compte tenu de la portée de ces vulnérabilités, la sensibilité de ce que les utilisateurs tapent sur leurs appareils, la facilité avec laquelle ces vulnérabilités peuvent avoir été découvertes et que les cinq yeux aient déjà exploité des vulnérabilités similaires dans les applications chinoises pour la surveillance, il est possible que les frappes des utilisateurs soient sous surveillance de masse.
Nous avons signalé ces vulnérabilités aux neuf fournisseurs. La plupart des vendeurs ont répondu, ont pris la question au sérieux et ont corrigé les vulnérabilités signalées, bien que certaines applications de clavier restent vulnérables.«
Vie privée
En matière de confidentialité et de vie privée, cette autre étude Trinity College de Dubin de 2022 nous donne aussi de précieuses informations concernant les caviers de Google et Microsoft:
« Aucun des deux claviers n’a été observé pour collecter ou partager le contenu de la saisie, ni même pour suivre la fréquence des caractères individuels. Les journaux des deux claviers comprennent notamment des identifiants uniques, à savoir l’identifiant Android et l’identifiant publicitaire Google, correspondant respectivement aux journaux de Gboard et de SwiftKey. Cela permet de relier les données à un appareil spécifique et potentiellement à l’identité d’un utilisateur, mettant ainsi en péril son anonymat. En outre, il est possible de déduire certains traits de personnalité des utilisateurs en se basant sur les informations relatives aux applications horodatées trouvées dans les journaux des deux claviers. Il s’avère également que le clavier open-source AnySoftKeyboard est à la hauteur de sa réputation de clavier respectueux de la vie privée. Il n’est pas observé qu’il collecte ou partage des données télémétriques, ce qui prouve que la collecte excessive de données télémétriques est en effet un choix des développeurs et non une obligation. »
Traduit avec DeepL.com (version gratuite)
Même si les données collectées par Google et Microsoft vous paraissent dérisoires, il faut toujours s’intéresser aux métadonnées et à leur croisement avec d’autres collectées par d’autres services ou applications. Des entreprises telles que Microsoft, Google, Apple etc. collectent les données et les lient à un identifiant publicitaire personnel. Cet identifiant est directement lié à votre appareil. La magie du croisement des données et métadonnées peut ensuite opérer jusqu’à rompre l’anonymat.
L’étude nous met d’ailleurs en garde dans son chapitre 9.3:
« Bien que ces informations soient très intrusives, elles ne posent en elles-mêmes que peu de problèmes de protection de la vie privée. Toutefois, ces données ne sont pas enregistrées isolément et sont accompagnées d’horodatages très précis et des noms des applications dans lesquelles les claviers ont été utilisés. Les informations temporelles relatives au moment où un utilisateur ouvre des applications spécifiques et à la durée d’utilisation de ces applications peuvent potentiellement constituer des informations sensibles. Par exemple, de nombreuses applications de suivi des cycles menstruels permettent d’écrire des notes ou de sécuriser l’application à l’aide d’un mot de passe. Ces deux fonctions exigent de l’utilisateur qu’il saisisse des données à l’aide de son clavier, et cette activité est donc enregistrée. Cela peut révéler le sexe de l’utilisatrice et potentiellement révéler des informations personnelles privées sur son cycle menstruel. Les applications de rencontres sont un autre exemple de la manière dont l’utilisation horodatée des applications peut être potentiellement sensible et révélatrice. Si l’on observe qu’un utilisateur passe beaucoup de temps sur des applications de rencontres spécifiques, il est probable qu’il ait une motivation personnelle pour le faire. Selon l’application, cela peut potentiellement révéler la sexualité ou la tranche d’âge de l’utilisateur. »
Traduit avec DeepL.com (version gratuite)
Les alternatives
Heureusement, il existe une solution simple qui consiste à changer votre application de clavier par une application opensource, libre, vraiment transparente et respectueuse de votre vie privée.
Ces applications ont besoin de peu d’autorisations Android et n’envoient pas de données comportementales à des sociétés privées parcequ’elles n’en ont tout simplement pas besoin et n’en veulent pas.
Pourquoi s’en priver?
La première qui fait partie de l’étude citée plus haut :
- AnysoftKeyboard : Ce n’est pas la plus accessible de notre point de vue mais elle est particulièrement axée sur la vie privée puisqu’elle nécessite seulement 5 autorisations Android. Elle peut être téléchargée sur le Play Store ou sur F-droid (nous recommandons cette solution)
- Heliboard : beau clavier simple pour Android actuellement intégré aux smartphones Iodé, dérivé de l’application aussi excellente Openboard (l’application n’est plus mise à jour depuis août 2022, privilégiez donc Heliboard). Tous téléchargeables sur F-Droid.
- Vous pouvez encore essayer Simple Keyboard, clavier conçu pour être ultra-léger, sans émojis, GIF ou autres. Leur objectif : simplicité maximum, légèreté !
- Bonus :
- une application de clavier centrée sur la confidentialité et la sécurité, actuellement en cours de développement: Futo Keyboard est un dérivé du clavier android de base (Version AOSP-Android Open Source Project) avec des paramétrages supplémentaires. Vous pouvez l’installer depuis le Play Store ou F-droid. Si vous l’installez depuis F-droid, vous pouvez ajouter le dépôt de l’application. Si vous ne savez pas ajouter un dépôt à F-droid, faites un tour sur cet autre article.
A vos claviers !
