Meyersteven Blog

FONDATEUR DE ZENDATA - CYBER-SECURITE

Possédant un master de l’EPFL spécialisé en cyber-sécurité & cryptographie, Steven Meyer est aussi certifié Certified Information Systems Security Professional (CISSP). Après avoir travaillé chez Microsoft, il a été crackeur de mots de passe et consultant expert en sécurité informatique. Steven a finalement, en 2012, fondé ZENData une compagnie spécialisée en cyber-protection.

Nos Smartphones : la voie d’accès des hackeurs dans notre vie

Que vous utilisiez un iPhone ou un Android, les hackeurs s’en prennent à vos smartphones pour vous pirater et vous espionner

Nos smartphones sont probablement devenus les outils les plus utilisés dans notre quotidien. C’est le premier objet que nous prenons le matin au réveil et le dernier que nous posons avant de nous endormir. Ce petit appareil, dans notre poche ou sac à main, nous suit partout, détient nos conversations les plus personnelles, connait nos déplacements, garde un historique de nos recherches, sait qui sont nos amis les plus proches et peut même anticiper nos prochaines actions.

Toutes les informations contenues dans nos smartphones, ainsi que notre dépendance à l’égard de cet appareil, le rendent la cible la plus intéressante pour les hackeurs. Par exemple, une étude récente montre que nous passons quotidiennement près de 3 heures sur nos smartphones à envoyer et télécharger des données sensibles et pour des communications professionnelles.

Que cherchent les hackeurs dans nos smartphones, comment arrivent-ils à les pénétrer et, aussi et surtout, comment nous protéger ?

Les hackeurs trouvent toujours un moyen de s’enrichir

Nos smartphones regorgent d’informations qui sont facilement monnayables. Par exemple, en utilisant votre liste de contacts, un hackeur peut leur envoyer des emails, WhatsApp, messages Facebook, etc. en leur demandant d’installer une application malveillante ou un effectuer un transfert d’argent. Il peut aussi analyser vos listes de contacts à la recherche de mots de passe, codes d’immeubles, numéros de cartes de crédit, etc. Ces informations peuvent ensuite directement être vendues sur le dark web.

Nos smartphones contiennent aussi nos photos personnelles : elles sont susceptibles d’être prises en otage contre une rançon par un hackeur, distribuées publiquement ou même envoyées à tous nos contacts.

Sans nous en rendre compte, nous échangeons une grande quantité de données sensibles à travers nos smartphones. Un hackeur peut s’emparer de toute information transmise par téléphone, que ce soit par email, navigation web, message ou conversation téléphonique.

En plus, nos smartphones interagissent constamment avec notre argent. A travers l’ebanking, les applications qui ont nos cartes de crédit préenregistrées et même par des appels surtaxés, un criminel peut aisément voler de l’argent lorsqu’il contrôle un smartphone.

Les attaques ne se limitent pas au monde digital. Un hackeur peut utiliser votre géolocalisation pour connaître le meilleur moment pour vous cambrioler ; ou encore, activer votre micro pour écouter des conversations confidentielles et voler de la propriété intellectuelle. 

Qu’est-ce qui rend les smartphones plus vulnérables à une attaque qu’un ordinateur ?

Bien que nous mettions tous en place des outils de sécurité pour protéger nos ordinateurs au bureau et à la maison, tels que les logiciels antivirus, l'authentification à deux facteurs, le cryptage et les firewalls, étonnamment ils ne sont que très rarement déployés sur nos smartphones.

Pourtant, il existe de nombreuses façons de hacker les smartphones: dans les documents volés à la CIA en 2017 (Vault 7), par exemple, on trouve des douzaines d’outils et de techniques pour hacker les iPhone et Android.

La grande majorité des attaques sur les smartphones se font à l’aide du phishing. Ces attaques ont curieusement un bien meilleur taux de succès sur les plateformes mobiles que sur les ordinateurs classiques : en effet, une attaque aura 3 fois plus de succès si la victime l’ouvre sur son smartphone plutôt que sur son ordinateur, principalement parce qu’une personne est distraite lors de l’utilisation d’un smartphone. Sur nos mobiles, le manque d’attention, l’empressement lorsqu’on effectue au même temps d’autres tâches et la hâte lors de nos déplacements jouent à notre désavantage, car nous portons moins attention aux détails, nous agissons dans l’urgence et par réflexe. Imaginez un lien envoyé par Snapchat : vous n’avez que quelques secondes pour cliquer dessus, donc la hâte et le manque de conscience que cette plateforme peut être un vecteur d’infection font que l’attaque aura de grandes chances de réussite.

Nous connaissons plusieurs techniques pour détecter les attaques de phishing sur les ordinateurs, telles que vérifier l’adresse email de l’expéditeur, survoler le lien avec la souris ou encore contrôler l’URL d’un site web ; toutefois, ces techniques ne sont malheureusement pas réalistiquement applicables sur un smartphone.

Le sentiment qu’un smartphone est plus sécurisé qu’un ordinateur est justifié dans une certaine mesure, mais cette impression de sécurité ne joue pas à notre avantage. Les communications soi-disant sécurisées avec Signal et Telegram ne sont que cryptées, pas protégées, et peuvent ainsi très facilement être utilisées pour envoyer du contenu et des liens malveillants ; en plus, dû au cryptage de ces communications, un firewall ou un IPS ne pourra pas intercepter le contenu dangereux. Les applications pour smartphone sont aussi loin d’être parfaites : par exemple, WhatsApp, au début du mois d’octobre, a eu une vulnérabilité permettant à un hackeur de prendre le contrôle complet de l’application en appelant la victime.

Notre premier réflexe en sortant d’un avion ou en arrivant dans un restaurant lors d’un voyage est de nous connecter au wifi ouvert et gratuit. Bien que ce comportement soit normal, c’est un comportement à risque et il faut le faire consciemment. 87% des utilisateurs mobiles, questionnés par Symentec, ont déclaré avoir participé à des activités à haut risque via le Wi-Fi public, par exemple en accédant au courrier électronique d'entreprise ou en effectuant des opérations bancaires en ligne. Une autre étude a découvert que plusieurs dizaines d’applications communément utilisées ne cryptaient pas les communications, les rendant vulnérables à des attaques, notamment sur les wifi publics.

Les smartphones, tout  comme nos ordinateurs, doivent être mis à jour. Android et iPhone ont corrigé plus de 800 vulnérabilités dans leurs systèmes pendant l’année dernière. Ces corrections (patch) sont installées avec les mises à jour ; toutefois, nombreux sont les appareils qui ne reçoivent plus les mises à jour, car ils sont « trop vieux ». 42% des utilisateurs d’Android ne possèdent pas la dernière version ; avec plus de 2 milliards d’utilisateurs d’appareils de Google, on compte donc 846 millions d’appareils facilement attaquables et exploitables.

Les smartphones peuvent aussi être piratés par un simple chargeur. Un hackeur peut accéder et voler des données de votre smartphone lorsque vous le branchez dans un avion ou sur une borne publique. lisez l’article.

Comment se protéger?

La question la plus fréquemment posée est le choix entre un iPhone et un Android.
Schématiquement, les iPhones sont la meilleure option si vous souhaitez posséder un appareil qui soit le plus facilement et le plus rapidement sécurisé, car ils disposent d’une très bonne protection avec leur configuration par défaut. Les appareils Android peuvent atteindre un niveau de sécurité supérieur à celui d’iOS, mais cela demande des outils spécifiques et une configuration avancée.

Les conseils de sécurité pour les smartphones sont très similaires à ceux pour les ordinateurs :

Prenez le temps de réfléchir avant de cliquer sur un lien ou une pièce jointe. Ayez un esprit critique et demandez-vous si c’est bien une requête légitime ; vous pourrez éventuellement demander une validation à votre interlocuteur via un autre biais de communication.

Gardez votre appareil à jour. S’il ne reçoit plus de mises à jour, c’est qu’il est temps de le changer pour un plus récent, tout comme une voiture qui perdrait son permis de circulation. Il en va de même pour les applications installées, car nos applications peuvent accéder à nos données et il faut donc qu’elles soient sécurisées.

Cryptez les données sur vos smartphones, installez un code pour y accéder, et activez l’effacement à distance. Cela permettra de protéger vos informations en cas de perte ou de vol de votre appareil.

Installez des outils de sécurité, comme antivirus, firewall, VPN. Comme pour votre ordinateur et selon votre utilisation, vous devez mettre en place des outils de sécurité plus ou moins évolués et complexes.

Nombreux pirates cherchent les proies faciles et rapidement monnayables pour leurs attaques quotidiennes. Nos smartphones remplissent parfaitement ces deux critères et nous pouvons donc nous attendre à une généralisation des attaques contre ces appareils.

D’autres hackeurs plus avancés, spécialisés dans les opérations étatiques et ciblées, voient dans les smartphones des appareils négligés par les équipes de cyber-sécurité et sous-estimés par leurs utilisateurs.

C’est pour cela, que ce soit dans le contexte de notre utilisation privée ou professionnelle, nos smartphones doivent être utilisés avec beaucoup de précautions et protégés de façon adéquate.

Du même auteur

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info

"Tout ce qui compte.
Pour vous."