Discussion :

[Anthony]

Le Wi-Fi permet d'identifier avec précision les personnes, même si elles ne sont pas munies d'un téléphone ou d'un ordinateur, un système d'identification sans appareil

Dans le cadre d'une récente étude, des chercheurs de l'Institut de technologie de Karlsruhe (KIT), en Allemagne, ont révélé que les réseaux Wi-Fi pouvaient être utilisés pour identifier des individus, même s'ils ne sont pas équipés d'un appareil. En analysant les signaux non chiffrés émis par les routeurs Wi-Fi, l'équipe de scientifiques a démontré qu'il était possible de traiter les ondes radio afin de créer une image des déplacements des personnes, ce qui permet une identification précise sans caméra ni smartphone. Les auteurs de l'étude soulignent que cette découverte soulève de sérieuses préoccupations en matière de confidentialité.

Le Wi-Fi est une famille de protocoles de réseau sans fil basés sur la norme IEEE 802.11. Il est couramment utilisé pour mettre en réseau local des appareils et pour accéder à Internet. Le Wi-Fi permet aux appareils numériques à proximité d'échanger des données par ondes radio. Il s'agit des réseaux informatiques les plus répandus dans le monde, utilisés dans les foyers et les petites entreprises pour relier des appareils et fournir un accès à Internet, grâce à des routeurs et des points d'accès sans fil installés dans les lieux publics tels que les cafés, les restaurants, les hôtels, les bibliothèques et les aéroports.

Les chercheurs du KIT ont récemment découvert qu'il était possible d'identifier et de reconnaître des personnes uniquement grâce aux signaux Wi-Fi, et ce, même si elles ne sont pas connectées à un réseau ou ne possèdent aucun appareil. Tant qu'il y a des réseaux Wi-Fi à proximité, une personne est visible. Le simple fait de passer devant un café ou devant le routeur domestique de quelqu'un peut ainsi laisser une empreinte numérique, ce qui soulève d'importantes questions en matière de confidentialité et de surveillance pour les utilisateurs quotidiens.

« En observant la propagation des ondes radio, nous pouvons créer une image de l'environnement et des personnes qui s'y trouvent », explique le professeur Thorsten Strufe de l'Institut de sécurité et de fiabilité de l'information du KIT. « Cela fonctionne de la même manière qu'un appareil photo normal, à la différence près que dans notre cas, ce sont les ondes radio et non les ondes lumineuses qui sont transformées en image. »

Les appareils connectés à un réseau envoient régulièrement de petits signaux de « rétroaction de formation de faisceaux » (beamforming feedback) aux routeurs. Ces signaux ne sont pas chiffrés et peuvent être lus par toute personne se trouvant à portée. Une fois traités par un modèle d'apprentissage automatique, ils peuvent produire des images de la silhouette et des mouvements des personnes, transformant ainsi les ondes WiFi en une sorte de caméra à rayons X.

Une fois entraîné, le système pourrait identifier les individus avec une précision de près de 100 %, quels que soient leur angle, leur démarche ou leur position. Cette découverte surprenante pourrait avoir de graves implications pour la vie privée et la sécurité.

« Cette technologie transforme chaque routeur en un outil de surveillance potentiel », a fait remarquer l'un des chercheurs, Julian Todt.

Alors que la vidéosurveillance reste le moyen le plus simple de suivre les personnes, le WiFi est beaucoup plus répandu. Cependant, les chercheurs soulignent que les routeurs sont omniprésents et émettent discrètement des ondes radio à travers tout et tout le monde à proximité.

En théorie, les autorités publiques, les entreprises ou toute personne ayant accès aux données appropriées pourraient identifier et reconnaître un individu, sans avoir recours à une seule caméra ou à un seul téléphone.

L'équipe du KIT affirme que les implications sont considérables. « Cette technologie est puissante, mais elle comporte également des risques pour nos droits fondamentaux, en particulier le droit à la vie privée », a déclaré Thorsten Strufe.

Les chercheurs avertissent que ces méthodes pourraient être utilisées à des fins militaires, en particulier dans les pays autoritaires où l'identification et la surveillance des citoyens pourraient être effectuées en secret. Pour éviter un tel avenir, ils exhortent les régulateurs et les développeurs à intégrer des mesures de protection de la vie privée dans la prochaine norme WiFi majeure, IEEE 802.11bf, avant que ce type de « vision radio » ne se généralise.

Alors que l'étude du KIT met en lumière la capacité du Wi-Fi à identifier des personnes sans appareil, une recherche précédente menée par le laboratoire Mostofi de l'université de Californie à Santa Barbara a révélé que le Wi-Fi permettait de lire à travers les murs. En appliquant la théorie géométrique de la diffraction et les cônes de Keller, ils ont réussi à délimiter les contours des objets et à lire l'alphabet anglais au travers des murs, une tâche auparavant jugée trop complexe pour le Wi-Fi en raison de la grande précision nécessaire pour distinguer les détails des lettres.

Le résumé de l'étude du KIT est présenté ci-dessous :

« Le beamforming, introduit dans le WiFi 5, exige des clients qu'ils diffusent leurs observations sur les caractéristiques de leur canal. Cela introduit une nouvelle source d'informations pour la détection WiFi, avec des menaces pour la confidentialité qui n'ont pas encore été explorées. Les réseaux WiFi étant omniprésents dans notre vie quotidienne, l'impact de menaces inconnues pour la confidentialité risque d'être grave.

Pour étudier cette question, nous présentons BFId, la première attaque par inférence d'identité utilisant la détection basée sur le BFI [information de rétroaction du beamforming], et évaluons son efficacité sur un nouvel ensemble de données contenant les enregistrements WiFi de 197 personnes. Nous démontrons que nous pouvons déduire l'identité des individus avec une très grande précision, quels que soient leur style de marche et leur angle de vue, même avec des échantillons de grande taille. »

La conclusion de l'étude est la suivante :

« Dans cet article, nous avons présenté BFId, la première attaque par inférence d'identité utilisant les informations de rétroaction issues du beamforming. Nous avons démontré qu'il s'agissait d'une méthode d'identification robuste, même en tenant compte des différents styles de marche et perspectives, et avec des échantillons de grande taille. Pour cela, nous avons créé un nouvel ensemble de données de détection WiFi contenant les enregistrements BFI et CSI [information d'état du canal] de 197 personnes, qui est à la disposition des chercheurs intéressés. Nous avons également démontré que la précision d'identification du BFI surpassait celle du CSI dans une comparaison directe, même s'il utilise un modèle d'adversaire plus faible.

Comme le BFI est transmis sans cryptage par voie hertzienne, aucun matériel spécialisé avec micrologiciel personnalisé n'est nécessaire pour l'enregistrer et il est plus facile d'enregistrer plusieurs perspectives. Cela met en évidence les menaces pour la vie privée associées à la détection basée sur le BFI. Avec l'arrivée de ce matériel dans des millions de foyers, les préoccupations en matière de confidentialité sont sérieuses. »

Source : Étude de l'Institut de technologie de Karlsruhe (KIT), en Allemagne

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de l'Institut de technologie de Karlsruhe crédibles ou pertinentes ?

Voir aussi :

Des scientifiques deviennent étrangement doués pour utiliser le Wi-Fi afin de "voir" les personnes en détail à travers les murs, ils utilisent les signaux Wi-Fi pour cartographier le corps humain

Des chercheurs découvrent qu'il est possible de pister les smartphones en passant par les signaux Bluetooth

[JML19]

Bonjour

Cela ne va pas soigner ma paranoïa.

[der§en]

Ni la mienne

[gfpl001]

Rien de neuf ! Même philips utilise cette technique depuis zigbee !

[Stéphane le calme]

Des chercheurs mettent en garde : un nouveau standard du WiFi pourrait le transformer en système de surveillance de masse invisible,
capable de vous identifier en établissant votre empreinte biométrique individuelle

Des chercheurs allemands révèlent comment les réseaux sans fil omniprésents pourraient transformer chaque routeur en outil de pistage biométrique. Sans caméra, sans smartphone sur vous, juste les ondes radio suffisent désormais à identifier n'importe qui avec une précision de près de 100%. Une menace technologique qui s'inscrit déjà dans les futurs standards WiFi.

La technologie WiFi, devenue aussi indispensable que l'air que nous respirons dans nos sociétés connectées, pourrait bientôt se muer en infrastructure de surveillance totale et invisible. C'est l'avertissement lancé par une équipe de chercheurs du Karlsruhe Institute of Technology (KIT) en Allemagne, dont les travaux présentés lors de la conférence ACM sur la sécurité informatique et des communications à Taipei en octobre dernier ont provoqué une onde de choc dans la communauté de la cybersécurité.

Le corps humain comme signature radio unique

Au cœur de cette découverte inquiétante se trouve un principe physique relativement simple : chaque corps humain perturbe les ondes radio de manière unique lorsqu'il se déplace dans un environnement saturé de signaux WiFi. Les chercheurs du KASTEL, l'institut de sécurité informatique et de fiabilité du KIT, ont démontré qu'en analysant ces perturbations des ondes radio, il est possible de créer une véritable empreinte biométrique individuelle.

Le professeur Thorsten Strufe, responsable de l'équipe, explique que le système fonctionne comme une caméra ordinaire, à la différence près qu'il utilise les ondes radio au lieu de la lumière visible pour identifier les personnes. Cette analogie cache toutefois une réalité bien plus préoccupante : contrairement à une caméra traditionnelle, ce système de surveillance radio ne nécessite aucun équipement visible, aucune installation spécifique et surtout, il peut opérer que vous portiez ou non un appareil connecté sur vous.

Les résultats de l'étude, publiés dans les actes de la conférence CCS 2025 sous le titre « BFId: Identity Inference Attacks Utilizing Beamforming Feedback Information », sont sans appel. Sur un échantillon de 197 participants, le système a atteint un taux de reconnaissance approchant les 100%, indépendamment de l'angle d'observation ou de la démarche de la personne. Cette précision remarquable repose sur l'exploitation des informations de retour de beamforming (formation de faisceaux), des signaux non chiffrés que les appareils WiFi diffusent constamment pour optimiser leurs connexions.

Une infrastructure de surveillance déjà en place

L'aspect le plus alarmant de cette technologie réside dans sa facilité de déploiement. Contrairement aux systèmes de surveillance précédents basés sur le WiFi, qui nécessitaient des capteurs LIDAR spécialisés ou l'accès aux informations d'état de canal (CSI), cette nouvelle méthode ne requiert que du matériel WiFi standard. Autrement dit, n'importe quel routeur domestique ou point d'accès dans un café pourrait théoriquement devenir un dispositif de surveillance sans que quiconque ne s'en aperçoive.

Julian Todt, membre de l'équipe de recherche, formule clairement la menace : « Cette technologie transforme chaque routeur en moyen potentiel de surveillance ». Une affirmation qui prend tout son sens lorsqu'on considère l'ubiquité des réseaux WiFi dans nos environnements quotidiens. Des domiciles privés aux espaces publics, des bureaux aux cafés, les réseaux sans fil tissent déjà une toile dense à travers laquelle transitent nos données. Cette même infrastructure pourrait désormais servir à tracer nos mouvements physiques.

Felix Morsbach, co-auteur de l'étude, souligne que si les services de renseignement et les cybercriminels disposent effectivement de méthodes plus simples pour observer les gens, comme l'accès aux caméras de vidéosurveillance ou aux sonnettes vidéo connectées, les réseaux sans fil omniprésents pourraient devenir une infrastructure de surveillance quasi-exhaustive avec une propriété particulièrement préoccupante : leur invisibilité totale. Contrairement aux caméras CCTV facilement repérables et généralement soumises à des réglementations spécifiques, la surveillance par WiFi opère silencieusement, sans éveiller le moindre soupçon.

De la détection de présence à l'identification biométrique

Cette technologie s'inscrit dans le cadre plus large du développement du WiFi Sensing, une évolution majeure des capacités du WiFi qui ne se contente plus de transmettre des données mais permet également de détecter et d'analyser l'environnement physique. L'IEEE, l'organisme de normalisation des technologies WiFi, travaille actuellement sur l'amendement 802.11bf, spécifiquement dédié aux capacités de détection WiFi.

Bouygues Télécom indique d'ailleurs à ce sujet :

« Le Wi-Fi sensing ne capte ni image ni son. Il mesure uniquement les variations des ondes Wi-Fi dans un espace. À première vue, cela paraît plus respectueux de la vie privée qu’une caméra ou un micro. Mais il faut rester prudent. En analysant ces variations, le système peut en déduire des informations sensibles : présence, rythme de respiration, habitudes de déplacement… voire identifier une personne selon sa démarche. Par ailleurs, cette technologie est invisible. Une personne peut être détectée sans le savoir, dans une pièce sans caméra ni capteur apparent. Cela soulève des questions légitimes sur le consentement et la transparence. Le cadre légal, en particulier le RGPD, impose des règles strictes pour ce type de données. Mais encore faut-il que les utilisateurs soient informés et puissent garder le contrôle. »

Officiellement, cet amendement vise des applications bénignes : détection de présence dans les bâtiments intelligents, surveillance à distance du bien-être des personnes âgées, systèmes d'éclairage automatiques. Le groupe de travail IEEE 802.11bf a été créé pour définir les modifications nécessaires aux standards WiFi existants afin de supporter ces nouvelles fonctionnalités de détection, tant dans les bandes de fréquences inférieures à 7 GHz que dans les bandes millimétriques au-dessus de 45 GHz.

Cependant, les mêmes technologies qui permettent de détecter si une personne est tombée dans sa salle de bain peuvent également être détournées pour identifier et suivre les individus à leur insu. Les chercheurs du KIT ont précisément démontré comment les informations de retour de beamforming, prévues dans le standard 802.11bf pour améliorer les performances du réseau, peuvent être exploitées comme vecteurs d'identification biométrique.

Le beamforming, ou formation de faisceaux, est une technique qui permet aux antennes WiFi d'orienter leurs signaux de manière directionnelle plutôt que de diffuser dans toutes les directions. Pour optimiser cette orientation, les appareils échangent constamment des informations sur la qualité du signal et les caractéristiques du canal de transmission. Ce sont précisément ces métadonnées, transmises sans chiffrement, que le système BFId exploite pour créer des signatures uniques.

Risques démultipliés dans les régimes autoritaires

Si les implications pour la vie privée dans les démocraties occidentales sont déjà considérables, l'équipe de recherche se montre particulièrement préoccupée par l'utilisation potentielle de cette technologie dans les États autoritaires. La capacité de suivre et d'identifier des manifestants ou des opposants politiques sans avoir besoin de déployer des caméras visibles ou de contrôler leurs appareils personnels représente un outil de répression d'une efficacité redoutable.

Dans un café qui diffuse un signal WiFi public, toute personne passant à proximité pourrait être identifiée et reconnue ultérieurement, que ce soit par les autorités publiques ou par des entreprises privées. Cette possibilité transforme radicalement la nature même de l'anonymat dans l'espace public. Alors que jusqu'à présent, ne pas porter de smartphone et éviter les caméras pouvait offrir un certain degré de discrétion, la surveillance par WiFi rend ces précautions totalement inefficaces.
Le professeur Strufe insiste sur la puissance de cette technologie tout en soulignant les risques qu'elle fait peser sur les droits fondamentaux, en particulier le droit à la vie privée. L'équipe appelle donc avec urgence à l'intégration de mesures de protection et de garanties de confidentialité dans le futur standard IEEE 802.11bf, avant que celui-ci ne soit finalisé et déployé massivement.

Une fenêtre d'opportunité pour la protection de la vie privée

Le calendrier revêt une importance cruciale dans ce débat. Les chercheurs ont présenté leurs résultats en octobre 2025, à un moment où le standard IEEE 802.11bf est encore en cours d'élaboration. Selon les informations disponibles sur le processus de normalisation, le groupe de travail a déjà fait circuler plusieurs brouillons du standard et procédé à plusieurs votes internes depuis 2023. Le standard en est actuellement au stade de draft D3.0, mais n'a pas encore été finalisé pour adoption définitive.

Cette fenêtre temporelle offre une opportunité unique d'intégrer dès la conception du standard des mécanismes de protection de la vie privée. L'histoire des technologies nous enseigne qu'il est infiniment plus difficile de corriger les failles de sécurité et de confidentialité après le déploiement massif d'une technologie que de les anticiper dès la phase de conception. Une fois que des millions, voire des milliards d'appareils WiFi intégrant le standard 802.11bf seront déployés dans le monde, toute modification nécessitera des mises à jour matérielles et logicielles d'une ampleur considérable.

Parmi les mesures de protection envisageables figurent le chiffrement systématique des informations de retour de beamforming, l'introduction de mécanismes de randomisation des signatures radio, ou encore l'obligation d'obtenir un consentement explicite avant toute collecte de données de détection. Certains chercheurs suggèrent également que les dispositifs pourraient randomiser leur identifiant BSSID lors du redémarrage ou de leur déplacement, une mesure déjà implémentée par certains fabricants pour d'autres raisons de sécurité.

Convergence avec d'autres technologies de surveillance

La menace posée par le WiFi Sensing ne se développe pas en vase clos. Elle s'inscrit dans un écosystème de technologies de surveillance de plus en plus sophistiquées et interconnectées. Des recherches récentes ont démontré que le système de positionnement WiFi d'Apple, par exemple, peut être détourné pour suivre les déplacements d'appareils à travers le monde, y compris dans des zones de conflit.

Des chercheurs de l'Université du Maryland ont montré comment l'API du système de positionnement WiFi d'Apple pouvait être exploitée pour cataloguer et localiser plus de 2 milliards d'identifiants BSSID (Basic Service Set Identifier) dans le monde entier. Bien que cette vulnérabilité soit d'une nature différente de celle exposée par l'équipe du KIT, elle illustre comment les infrastructures WiFi peuvent être détournées de leur fonction première pour servir des objectifs de surveillance.

D'autres équipes de recherche, notamment à l'Université La Sapienza de Rome, ont développé des systèmes similaires. Leur technologie « WhoFi », présentée en juillet 2025, utilise également les perturbations des signaux WiFi pour identifier les individus, atteignant un taux de précision de 95,5% grâce à l'utilisation de réseaux neuronaux profonds pour interpréter les « empreintes digitales » radio uniques de chaque personne.

Les multiples facettes du WiFi Sensing

Le standard IEEE 802.11bf définit quatre configurations principales de détection qui déterminent comment les appareils WiFi sont configurés et interagissent pour la détection environnementale. La détection monostatique, où un seul appareil gère à la fois l'émission et la réception des signaux WiFi, offre une couverture limitée. La détection bistatique implique un appareil émetteur et un récepteur distinct. La détection multistatique mobilise plusieurs appareils émettant et recevant simultanément. Enfin, la détection passive permet à un dispositif de simplement écouter les signaux WiFi déjà présents dans l'environnement, sans émettre lui-même.

Cette dernière configuration, la détection passive, présente des avantages significatifs en termes de simplicité de déploiement et de coût, mais elle soulève également les préoccupations les plus importantes en matière de vie privée. Un dispositif de détection passive peut surveiller un environnement sans même participer activement au réseau, le rendant encore plus difficile à détecter et à contrer.

Le standard 802.11bf prévoit l'utilisation de ces capacités de détection dans plusieurs bandes de fréquences. Les bandes sub-7 GHz (notamment 2,4 GHz, 5 GHz et 6 GHz) offrent une riche information sur les trajets multiples des signaux, tandis que les bandes millimétriques à 60 GHz fournissent une résolution angulaire et de portée supérieure grâce à leur bande passante plus large et à leur longueur d'onde plus courte.

Implications pour l'industrie et la réglementation

La révélation des capacités de surveillance du WiFi intervient à un moment où l'industrie technologique et les régulateurs se penchent de plus en plus sur les questions de protection de la vie privée. Le Règlement Général sur la Protection des Données (RGPD) en Europe et diverses législations similaires à travers le monde établissent des principes stricts concernant la collecte et le traitement des données personnelles.

Cependant, ces cadres réglementaires ont été conçus principalement avec en tête les données numériques traditionnelles et les systèmes de surveillance visibles. La surveillance par WiFi représente un défi nouveau car elle peut opérer de manière totalement transparente, sans que les personnes surveillées en aient conscience et donc sans qu'elles puissent exercer leurs droits en matière de protection des données.

Les fabricants d'équipements réseau se trouvent face à un dilemme. D'un côté, le WiFi Sensing promet des applications légitimes et potentiellement bénéfiques, de la gestion énergétique intelligente des bâtiments à la surveillance médicale à distance. De l'autre, l'absence de garanties robustes de confidentialité pourrait transformer cette innovation en catastrophe pour les droits civils et exposer les entreprises à des risques juridiques majeurs.

Certains acteurs de l'industrie plaident pour une approche équilibrée qui permettrait de développer les applications bénéfiques du WiFi Sensing tout en intégrant des protections fortes dès la conception. Cela pourrait inclure des mécanismes techniques empêchant l'identification biométrique tout en autorisant la détection de présence anonyme, ou encore des exigences de transparence obligeant les opérateurs de réseaux à informer clairement les utilisateurs des capacités de détection activées.

Sources : BFId: Identity Inference Attacks Utilizing Beamforming Feedback Information, IEEE 802.11bf, Bouygues Telecom (Wifi Sensing), WhoFi

Et vous ?

Comment les instances de normalisation peuvent-elles garantir que les applications bénéfiques du WiFi Sensing (surveillance médicale, gestion énergétique) se développent sans créer une infrastructure de surveillance de masse ? Existe-t-il des applications du WiFi Sensing qui justifieraient d'accepter certains risques pour la vie privée, et si oui, lesquelles ?

Qui devrait être tenu responsable en cas d'utilisation abusive de la surveillance WiFi : les fabricants d'équipements, les opérateurs de réseaux, les développeurs d'applications, ou les utilisateurs finaux ? Quelle forme devrait prendre l'obligation de transparence concernant l'activation de fonctionnalités de détection sur les réseaux publics et privés ?

Les protections de la vie privée doivent-elles être principalement assurées par des mécanismes techniques intégrés au standard IEEE 802.11bf, ou par un cadre réglementaire strict limitant les usages autorisés ? Les solutions techniques peuvent-elles être suffisantes face à des acteurs déterminés (États autoritaires, cybercriminels) disposant de ressources importantes ?

Est-il souhaitable ou inévitable que différentes régions du monde adoptent des versions différentes du standard WiFi avec des niveaux de protection de la vie privée variables ? Quelles seraient les conséquences d'une telle fragmentation pour l'interopérabilité et l'innovation dans l'écosystème WiFi mondial ?

[Anselme45]

Comment les instances de normalisation peuvent-elles garantir que les applications bénéfiques du WiFi Sensing (surveillance médicale, gestion énergétique) se développent sans créer une infrastructure de surveillance de masse ?

Mais elles ne pourront jamais le garantir mon bon monsieur!

Quelle forme devrait prendre l'obligation de transparence concernant l'activation de fonctionnalités de détection sur les réseaux publics et privés ?

En l'occurrence, il n'y aura jamais de "transparence"!

Les protections de la vie privée doivent-elles être principalement assurées par des mécanismes techniques intégrés au standard IEEE 802.11bf, ou par un cadre réglementaire strict limitant les usages autorisés ?

Les mécanismes techniques se court-circuitent et les lois et règlements ne sont pas respectés comme le prouvent tous les jours les agissements des Gafam & Cie qui sont révélés...