Attention à la surveillance des réseaux radio

Si vous passez devant un café qui exploite un réseau Wi-Fi, vous pouvez être identifié, même si vous n’avez pas de smartphone avec vous. Des chercheurs de l’Institut technologique de Karlsruhe (KIT) ont découvert qu’il est possible d’identifier des personnes uniquement grâce aux signaux Wi-Fi. Ils soulignent que cela constitue un risque important pour la vie privée.

Pour déduire l’identité d’une personne, il n’est plus nécessaire qu’elle porte sur elle un smartphone ou une tablette. Il suffit d’appareils Wi-Fi communiquant entre eux dans l’environnement de la personne. Cela crée une image comparable à une prise de vue avec un appareil photo, mais basée sur les ondes radio. L’équipe de recherche réclame des garanties adéquates en matière de confidentialité.

“En observant la propagation des ondes radio, nous pouvons créer une image de l’environnement et des personnes qui s’y trouvent”, explique le professeur Thorsten Strufe de l’Institut de sécurité et de fiabilité de l’information de KASTEL-KIT. “Cela fonctionne de la même manière qu’une caméra normale, la différence étant que dans notre cas, les ondes radio au lieu des ondes lumineuses sont transformées en image”, explique l’expert en cybersécurité.

“Ainsi, peu importe que vous ayez ou non un appareil Wi-Fi sur vous.” Même éteindre un appareil n’aide pas : “Il suffit que d’autres appareils Wi-Fi à proximité soient actifs.”

Les routeurs Wi-Fi comme « observateurs silencieux »

“Cette technologie transforme chaque routeur en un moyen potentiel de surveillance”, prévient Julian Todt de KASTEL. “Si vous passez régulièrement devant un café qui exploite un réseau Wi-Fi, vous pourriez y être identifié sans vous en rendre compte et être reconnu plus tard, par exemple par les autorités publiques ou les entreprises.”

Strufe souligne qu’il existe effectivement des méthodes plus simples permettant aux services secrets ou aux cybercriminels d’observer les gens, par exemple en accédant aux caméras de vidéosurveillance ou aux sonnettes vidéo. “Cependant, les réseaux sans fil omniprésents pourraient devenir une infrastructure de surveillance presque complète.” En fait, les réseaux Wi-Fi existent aujourd’hui dans presque toutes les maisons, bureaux, restaurants et espaces publics.

Aucun matériel spécial requis

Contrairement aux attaques utilisant des capteurs LIDAR ou aux méthodes précédentes basées sur le Wi-Fi, qui utilisent les informations sur l’état du canal (CSI), c’est-à-dire des données mesurées qui indiquent comment un signal radio change lorsqu’il touche des murs, des meubles ou des personnes, les attaquants n’ont pas besoin de matériel spécial. Cette méthode ne nécessite que des appareils Wi-Fi standard. Il fonctionne en exploitant les utilisateurs légitimes dont les appareils sont connectés au réseau Wi-Fi.

Ceux-ci envoient régulièrement des signaux de retour au sein du réseau, également appelés informations de retour de formation de faisceaux (BFI), au routeur, sous forme non cryptée afin qu’ils soient lisibles par des tiers. Cela crée des images sous différents angles de vue qui peuvent servir à identifier les personnes respectives. Une fois le modèle d’apprentissage automatique sous-jacent formé, l’identification ne prend que quelques secondes.

Un taux de réussite de près de 100 %

Dans leur étude portant sur 197 participants, l’équipe de recherche a pu déduire l’identité des personnes avec une précision de près de 100 %, indépendamment de la perspective ou de leur style de marche.

“La technologie est puissante, mais elle comporte en même temps des risques pour nos droits fondamentaux, notamment en matière de vie privée”, souligne Strufe. Les chercheurs préviennent que cela est particulièrement critique dans les États autoritaires où la technologie pourrait être utilisée pour observer les manifestants. Par conséquent, ils demandent de toute urgence des mesures de protection et des garanties de confidentialité dans la prochaine norme Wi-Fi IEEE 802.11bf.

Les chercheurs présenteront leurs résultats lors de la conférence ACM sur la sécurité informatique et des communications (ACM CCS 2025), qui s’est tenue du 13 au 17 octobre à Taipei, Taiwan.