La plupart d’entre nous savons être vigilant lorsqu’il s’agit de la sécurité de nos ordinateurs – en installant des programmes anti-virus et en planifiant régulièrement des scans du système. Toutefois, nos téléphones jouissent rarement du même niveau de vigilance que nos ordinateurs. Étant donné que nous sommes de plus en plus dépendants de nos téléphones, la sécurité des appareils mobiles est devenue essentielle dans la protection de nos données privées.
Dans ce guide, nous voyons en détail les conseils et les bonnes pratiques en termes de sécurité pour appareil mobile. Continuez la lecture pour protéger votre téléphone des hackers les plus déterminés.
Partie 1 : Conseils essentiels de sécurité pour appareil mobile
Partie 2 : Les risques de sécurité des réseaux Wi-Fi mobiles
Partie 3 : Comment protéger vos applications mobiles et prévenir le vol de données
Partie 4 : Comment le chargement de votre téléphone l’expose à des risques
Partie 5 : Les risques cachés de votre carte SIM et de vos SMS
Partie 6 : Pourquoi est-ce essentiel de verrouiller votre appareil
Partie 7 : Infographie sur le guide complet de la sécurité pour appareil mobile
Partie 1 : Conseils essentiels de sécurité pour appareil mobile
Les iPhones, iPads et appareils Android d’aujourd’hui sont si puissants et avancés qu’en posséder un revient à avoir un mini ordinateur facilement accessible. Bien qu’ils permettent une meilleure connectivité, productivité et réseautage social, cela signifie aussi qu’une mine de données est stockée dans nos poches, vulnérables aux hackers et autres failles de sécurité.
Les téléphones et les tablettes sont exposés aux réseaux Wi-Fi non sécurisés et sont toujours connectés à une antenne cellulaire distante. Ils peuvent également être volés physiquement. C’est pourquoi il est important d’adopter les meilleures pratiques en termes de sécurité. Voici celles que nous recommandons.
Activez le verrouillage d’écran
Étant donné que votre appareil mobile contient vos conversations privées, contacts, détails de carte de crédit et e-mails, le rendre aussi impénétrable que possible est une bonne idée.
La première couche de sécurité est généralement le verrouillage d’écran. Un verrouillage d’écran nécessite un code ou un modèle de déblocage pour que ce soit qualifié comme une mesure de sécurité. Le verrouillage d’écran devrait également s’activer automatiquement après une certaine période d’inactivité. Par défaut, cette période est de 30 secondes pour la plupart des téléphones, mais vous pouvez la personnaliser à votre gré.
Nous vous recommandons le minimum de temps possible avant le verrouillage de votre écran afin de minimiser les chances que le contenu de votre téléphone ne soit accessible, dans le cas par exemple, où vous vous éloignez de votre bureau.
Verrouillez toujours votre téléphone manuellement lorsque vous le posez loin de vous ou qu’une personne suspecte s’approche.
De nombreux appareils possèdent des scanners d’empreintes digitales ainsi que des fonctionnalités de reconnaissance faciale. Soyez vigilant avec la biométrie en tant qu’option de sécurité. En effet, bien que ce soit plus pratique que les codes, on peut les contourner avec les bons outils. Et, si vos empreintes digitales deviennent accessibles publiquement, vous ne pourrez pas changer cela.
Chiffrez vos données
Les réseaux Wi-Fi publics pourraient ne pas être chiffrés et pourraient collecter vos informations personnelles à leurs profits. Naviguez sur les sites web en utilisant vos marques page plutôt que les liens URL, assurez-vous que la connexion est protégée avec TLS (représenté par une icône de cadenas sur la fenêtre de votre navigateur), et utilisez Tor ou un VPN.
Soyez vigilants sur les applis qui peuvent accéder à vos données
Utilisez des applications fiables et passez régulièrement en revue leurs permissions pour assurer qu’elles n’ont accès qu’aux données auxquelles vous pensez qu’elles devraient avoir accès.
En tant que règle de base, téléchargez uniquement les applis venant de sources fiables et réputées, comme Google Play, F-Droid ou l’app store d’iOS. Les téléphones Android peuvent être chargés avec des applis tierces à travers les SDK (kits de développement logiciel), mais nous vous recommandons de faire preuve de vigilance si vous utilisez cette option. De telles applis tierces n’ont pas été vérifiées par Google. Vérifiez toujours que le fichier d’application vienne d’une source fiable et n’a pas été altéré.
Au même moment, assurez-vous d’examiner scrupuleusement les permissions pour chaque application que vous téléchargez. Par exemple, une appli anti-virus n’a pas besoin d’un accès à vos photos ou votre micro. Si vous pensez que dans le passé vous aviez survolé les permissions des applis, assurez-vous de revoir les paramètres de ces applis et menez un audit.
De temps à autre, il vaut la peine de faire un nettoyage de printemps de vos applis. Nos téléphones ont tendance à être encombrés en raison d’une propension à télécharger des applis que nous utilisons rarement. Nous vous recommandons de supprimer celles qui n’ont pas été ouvertes depuis un moment.
Protégez-vous contre les programmes malveillants
Les malwares (malicious softwares ou programmes malveillants), qui cherchent à endommager ou voler vos données pour un profit personnel ou politique, ont toujours fait partie d’internet. Les malwares pour mobiles se présentent souvent sous la forme de clones d’applis de confiance. Ils pourraient ainsi voler des informations de compte, installer d’autres applis sans permission, ou exécuter d’autres actions indésirables.
Avec 230 000 nouvelles souches de programmes malveillants qui apparaissent tous les jours, il est impossible d’établir une liste complète de tous les types de malwares.
Soyez vigilant sur les applis que vous installez et sur celles qui ont accès à votre téléphone. Si vous êtes dans le doute, effectuez une réinitialisation d’usine pour que le système d’exploitation de votre téléphone revienne à son état d’origine.
Au minimum, méfiez-vous des applis qui ont très peu d’avis sur l’App store ou la Play Store. Cela pourrait être une indication qu’elles ont été récemment mis en ligne et n’ont pas les mêmes fonctionnalités de sécurité que les applis déjà bien établis. Vous pouvez également visiter les sites officiels des développeurs des applis que vous recherchez et suivez les liens à partir de là.
Ne laissez pas le Bluetooth activé
Le Bluetooth est un vecteur d’attaque souvent négligé pour les téléphones et les tablettes. Il s’agit d’une faille de sécurité potentielle car il permet les connexions à distance vers votre téléphone. Il pourrait également permettre aux autres de vous tracer, par exemple, alors que vous baladez dans un centre commercial ou dans un bureau. Activez votre Bluetooth uniquement lorsque vous en avez besoin. Cela aide à économiser de la batterie également !
Ne rootez pas votre appareil
Le rootage de votre téléphone permet de supprimer les fonctionnalités de sécurité par défaut, ce qui pourrait permettre aux applis d’accéder aux données privées comme vos détails de carte SIM et les antennes auxquelles vous vous connectez.
Bien qu’il soit tentant de rooter votre téléphone dans le but d’accéder à des applis en dehors des boutiques officiels et de manipuler votre appareil comme un développeur le ferait, nous ne recommandons pas cela pour les utilisateurs ordinaires. Si vous avez besoin de rooter un appareil pour quelque raison que ce soit, ne gardez pas vos données personnelles sur l’appareil.
Utilisez un logiciel anti-virus
Sur tout appareil informatique moderne, vous devrez installer un logiciel anti-virus. Garder vos téléphones à jour à tout moment est également une bonne pratique en termes de sécurité, ce qui répare les bugs, protège contre les vulnérabilités zero-day, et sécurise vos informations personnelles. Nous pensons que vous devrez faire en sorte que vos appareils se mettent à jour automatiquement pour que vos applis puissent toujours êtres patchés et pour que les systèmes fonctionnement normalement.
Soyez vigilants avec les sauvegardes automatiques
La plupart des téléphones incluent une fonction de sauvegarde, soit fournie par le fabricant soir par un fournisseur externe. C’est pratique, mais peut aussi ouvrir la porte à des problèmes de confidentialité et de sécurité.
Soyez sélectif dans ce que vous sauvegardez. Certaines données, comme les messages personnels, les données des applis et les publications de réseaux sociaux, pourraient déjà exister sur le cloud et n’ont pas besoin d’être sauvegardés séparément. Lorsque vous sauvegardez des messages chiffrés, sachez qu’ils ne seront pas chiffrés dans votre sauvegarde automatique. Cela pourrait compromettre votre sécurité ou celle de vos contacts.
Les sauvegardes hors ligne, comme l’utilisation de votre PC ou d’un logiciel comme iTunes, peuvent être chiffrées. Assurez-vous de choisir un bon code de chiffrement. Faites un stockage sur le cloud uniquement si vous êtes sûr que la sauvegarde sera correctement chiffrée.
Comme l’expression l’affirme, il vaut mieux prévenir que guérir.
Un peu d’entretien peut vous protéger des vraies menaces de pertes ou de vol de données. Nous sommes sûrs que c’est la dernière chose dont vous avez besoin.
Partie 2 : Les menaces de sécurité des réseaux Wi-Fi mobiles
Le Wi-Fi public est plutôt excellent, mais il est loin d’être sécurisé et est rarement privé. Comprendre quelles informations vous partagez et avec qui, aide à utiliser le Wi-Fi de manière plus efficace, réduit le risque de cyberattaques et vous laisse configurer votre appareils en fonction de vos préférences.
Les adresses MAC peuvent être utilisées pour identifier votre appareil
A chaque fois que vous vous connectez à un point d’accès Wi-Fi, votre téléphone dévoile son adresse MAC (media access control ou contrôle d’accès média). Ces adresses sont inclus dans chaque interface réseau, ce qui permet de vous identifier en tant qu’invité récurrent, même à travers des réseaux séparés.
Depuis la version iOS 8, les appareils Apple ont commencé à diffuser une adresse MAC fausse et aléatoire ce qui rend difficile le fait de tracer les utilisateurs. Toutefois, votre appareil continue à être identifié comme un appareil iOS et la pratique est mise en place uniquement sur de nouveaux réseaux. Ainsi, lorsque vous vous connectez à un réseau connu, votre adresse MAC réelle est diffusée.
Le système d’exploitation TAILS randomise les adresses MAC par défaut. Ce type de logiciel rend possible la connexion à plusieurs points d’accès Wi-Fi à répétition sans être tracé.
Les adresses MAC peuvent également être utilisées pour augmenter la sécurité du Wi-Fi de votre maison ou de votre bureau. Vous commencez par identifier les appareils que vous autorisez sur votre réseau par leurs adresses MAC et mettez ces appareils sur une liste blanche, essentiellement en bloquant tous les appareils inconnus de votre réseau.
Une autre méthode pour assurer la confidentialité est de changer le nom de votre téléphone en ouvrant le menu des paramètres car, votre appareil est plus susceptible de transmettre son nom au point d’accès Wi-Fi auquel il est connecté. Par défaut, c’est souvent soit une description du téléphone, soit le nom que vous avez entré lorsque vous avez configuré le téléphone, ou une combinaison des deux, comme « iPhone de Patricia ».
Les routeurs Wi-Fi peuvent lire vos données en transit
Après vous être connecté à un réseau Wi-Fi, il est important de garder en tête que le routeur peut lire toutes les données transmises à travers ce dernier. Cela inclut toujours l’IP de destination de tout votre trafic, permettant aux administrateurs système d’avoir un aperçu complet des services que chaque appareil utilise et des sites que chaque personne sur le réseau visite.
Les connexions non chiffrées (celles qui n’ont pas d’icône de cadenas dans la barre d’adresse) permettent aux opérateurs réseau de voir tout ce que vous visionnez sur les sites et toutes les informations que vous leur transmettez, que soit des photos que vous mettez en ligne ou des formulaires que vous remplissez.
Cela inclut les e-mails, les tchats, les mots de passe et d’autres informations personnelles. Il est important de toujours vérifier le TLS (Transport Layer Security) et de se retenir de transmettre des informations sensibles via une connexion non chiffrée.
L’utilisation d’un VPN ou de Tor élimine la capacité du fournisseur réseau à voir le contenu de votre trafic (ex : les sites que vous visitez ou les applis que vous utilisez), mais il pourrait quand même estimer la quantité de données consommée.
Un VPN est plus robuste car il chiffre tout trafic entrant et sortant de votre appareil, incluant les applis tierces. Tor, cependant, chiffre uniquement le trafic sur votre navigateur.
Les réseaux Wi-Fi non chiffrés exposent votre trafic à tout le monde
Les réseaux Wi-Fi utilisent de nombreux protocoles pour chiffrer le trafic entrant et sortant de vos appareils. Malheureusement, ils ne sont pas tous sécurisés et la plupart n’utilise pas de chiffrement du tout.
Par exemple, souvenez-vous de votre connexion à un point d’accès Wi-Fi sans avoir à entrer de mot de passe. Bien que cela vous ait économisé un peu de temps, l’inconvénient est que de tels points d’accès ne sont pas du tout chiffrés.
Cela signifie que vos activités en ligne pourraient être interceptés par des entités malveillantes à travers des attaques de type intermédiaire et d’autres stratégies. Les réseaux non sécurisés sont le risque de sécurité le plus élevé auquel vous pourriez faire face sur le Wi-Fi public, car il vous expose à des attaques, non seulement venant du routeur mais aussi des appareils à proximité. Le risque est le même sur les réseaux Wi-Fi qui présentent un écran de connexion après votre connexion au routeur.
Ce risque s’applique particulièrement aux points d’accès Wi-Fi publics et gratuits, comme dans les parcs, les aéroports ou les cafés. Lorsque vous configurez votre propre Wi-Fi – peu importe si vous êtes à la maison ou dans un lieu public – souvenez-vous de toujours configurer un mot de passe et de choisir un protocole sécurisé, préférablement WPA2.
L’utilisation d’un VPN vous protègera de cette menace, et sur les réseaux Wi-Fi non chiffrés, il devient particulièrement important de les utiliser.
Les réseaux Wi-Fi peuvent deviner votre localisation dans un bâtiment
Les administrateurs réseau peuvent utiliser la force du signal de votre appareil en plus de plusieurs points d’accès en relation avec les autres appareils sur le réseau pour estimer de manière précise votre localisation potentielle.
Non seulement les données peuvent être utilisées pour tracer vos mouvements à l’intérieur d’un bâtiment ou un espace public, mais on peut également faire correspondre ces informations aux autres données que les administrateurs peuvent obtenir de votre connexion, comme l’historique d’achats dans les magasins ou les flux des caméras de surveillance, leur donnant un profil exact de votre comportement.
En ayant accès à la bonne information, les plus chevronnés peuvent connecter une IP à un numéro de carte de crédit voire même un visage. Se défendre contre cela est difficile, surtout si vous passez beaucoup de temps sur le réseau.
Idéalement, nous vous recommandons de toujours vous fondre dans la masse. Ne soyez pas le dernier à quitter un café et essayez de vous asseoir à une table qui se trouve au milieu de tout le monde. C’est également dans votre meilleur intérêt de trouver des endroits qui ne sont pas sous surveillance vidéo, mais ce n’est pas facile.
La connexion automatique à un réseau peut être dangereux
Si votre Wi-Fi est configuré pour se connecter automatiquement, alors vous forcez votre téléphone à constamment surveiller les ondes radio pour trouver ces réseaux auxquels il s’est connecté avant afin d’établir une connexion fraîche. Le mécanisme que votre téléphone utilise pour identifier ces réseaux est le nom du réseau, et cela peut facilement être falsifié.
Il n’y a pas de garantie qu’un réseau Wi-Fi appelé « Starbucks » soit réellement opéré par Starbucks. En effet, n’importe qui peut facilement configurer un réseau malveillant sous ce nom, de manière à ce que tous les appareils qui se connectent habituellement au Wi-Fi de Starbucks se connecteront automatiquement au réseau lorsqu’il est accessible géographiquement.
Une fois connecté, l’appareil révèle son nom au routeur, et certains des services que vous utilisez pourraient s’activer automatiquement. Si chiffrée, cette information peut être lue par l’opérateur du réseau Wi-Fi et d’autres personnes à vos alentours.
Nous vous recommandons de garder vos paramètres désactivés et de vous connecter à du Wi-Fi uniquement lorsque vous en cherchez un activement.
Partie 3 : Comment protéger vos applications mobiles et prévenir le vol de données
Lorsqu’il s’agit de vos appareils, les informations qui y stockées sont tout simplement aussi sécurisées que les applis installées.
Comme expliqué plus haut, faites-en une priorité de télécharger des applis uniquement depuis leurs sources officielles. Idéalement, ce sont F-Droid, Google Play et l’Apple App Store, et tout autre source que avez vérifié vous-même scrupuleusement.
Alternativement, les utilisateurs avancés peuvent construire les applications elles-même si le code est open source, ou si vous pouvez trouver et vérifier les paquets d’installation directement des développeurs.
Permissions d’applications
À la fois iOS et Android vous donnent l’option d’être sélectif sur les permissions que vous accordez aux applis. Ainsi, vous pouvez restreindre l’accès à des éléments comme le GPS, l’appareil photo, le micro et la galerie photo.
Faites bon usage de cela ! Soyez sceptique avec les permissions que les applications demandent et accordez uniquement celles que vous pensez être absolument nécessaires. Par exemple, une appli de messagerie n’a pas toujours besoin de connaître votre localisation, et une appli de paiement n’a pas toujours besoin d’avoir accès à vos photos. Une appli de lampe torche ne devrait avoir besoin de demander un accès à quoi que ce soit.
Gardez en tête que la plupart des startups et leurs applis sont incroyablement avides de données, et vendre les données utilisateur pourraient être la seule et la plus promettante des stratégies de monétisation pour une appli ou un service gratuit. Soyez ainsi vigilant avec les applis que vous téléchargez car elles pourraient profiter de vous.
C’est dans votre meilleur intérêt d’aller occasionnellement dans les paramètres de votre téléphone pour vérifier les applis que vous avez installé et leurs permissions. Si vous pensez que certaines d’entre elles sont excessives, vous pouvez supprimer ces permissions ou supprimer l’appli entièrement.
Signes que vos applis pourraient vous espionner
Les indicateurs majeurs incluent un drainage excessif de la batterie, un réseau saturé, ou l’usage de la mémoire. Bien que ces indicateurs ne signifient pas nécessairement que vous êtes espionné, ils constituent de manière certaine des effets indésirables d’applications d’espionnage.
Utilisez à la fois votre intuition et les fonctionnalités intégrées de votre téléphone pour surveiller ces indicateurs. Les applications qui promettent de vous aider à optimiser votre batterie, votre réseau ou l’usage de la mémoire sont rarement fiables et ajoutent un risque accru de vol de données sur votre système.
Votre appli chiffre-t-elle vos données ?
Il n’est pas évident de déterminer comment les applis gèrent vos données en arrière plan sans avoir accès à des outils d’analyse avancée. Lorsque vous faites face à une application, surtout une qui n’a pas beaucoup de réputation, soyez vigilant avec toute information que vous saisissez, surtout les détails personnels comme votre numéro de sécurité sociale ou vos détails de paiement.
Même si vous prenez toutes les précautions nécessaires, il y a toujours le risque que les développeurs d’application stockent vos données dans le cloud de la mauvaise manière. Lisez scrupuleusement les conditions de service des fournisseurs et privilégiez les services et les applis qui promettent de manière explicite de respecter votre vie privée. Choisissez un bon mot de passe, idéalement à travers un gestionnaire de mots de passe (jetez également un œil au générateur de mots de passe d’ExpressVPN).
Il est extrêmement important de s’assurer que votre mot de passe est stocké sous une forme hachée sur le serveur. Un bon indicateur pour une appli qui ne suit pas cette procédure basique est si vous êtes limité sur la longueur de votre mot de passe ou rencontrez des restrictions sur l’utilisation de caractères spéciaux.
Un autre élément à prendre en compte est si les données en transit sont chiffrées par le HTTPS. Mais, contrairement au cas de votre navigateur, vous ne pourrez peut-être pas vérifier manuellement si la connexion est chiffrée ou si les certificats sont correctement vérifiés. À la place, nous devons nous reposer sur les promesses des développeurs d’applications, les politiques de leurs plateformes (l’app store d’Apple, par exemple, exige que les nouvelles applis utilisent le HTTPS par défaut) et la compétence de leurs développeurs.
Pour juger la fiabilité d’une application, consultez son site web et sa manière d’être présenté dans l’App Store. L’application est-elle régulièrement mise à jour ? Est-il bien documenté, avec des logs de changement disponibles ?
L’authentification à deux facteurs
En plus de votre mot de passe, vous pouvez également utiliser l’authentification à deux facteurs (2FA) pour sécuriser votre appareil. Il s’agit d’un second mot de passe qui est valide uniquement pour un temps court. Elle peut être générée sur votre téléphone, un appareil externe ou envoyé vers vous via un message texte ou un e-mail.
Il est plus sûr que le code soit généré sur votre téléphone ou un appareil externe, bien que cela puisse créer des maux de têtes lorsque vous perdez vos appareils.
Lorsque le code vous est envoyé par message texte, il est important de noter que cette information pourrait être interceptée, possiblement par une personne à proximité ou une autre application sur votre téléphone. C’est pourquoi la meilleure manière d’utiliser l’authentification à deux facteurs est à travers un appareil informatique utilisant le standard FIDO U2F. Si ne possédez pas un tel appareil, vous pouvez utiliser une appli comme Google Authenticator ou Duo.
Partie 4 : Comment le chargement de votre téléphone l’expose à des risques
Les smartphones utilisent le même port physique, à la fois pour charger leurs batteries et pour télécharger des données. Cela est pratique pour les utilisateurs car peu de câbles sont utilisés pour plus de tâches, mais cela augmente le risque de sécurité.
Par exemple, nous ne réfléchissons pas deux fois avant de brancher nos câbles USB dans les prises qui se trouvent dans les centres commerciaux, les stations de trains, les bus et les avions. Il est possible que par inadvertance, nous connections notre téléphone à un ordinateur qui n’est pas fiable, qui en retour pourrait tenter d’accéder à notre appareil sans notre consentement.
Les avions, par exemple, vous permettent de charger vos appareils à bord, mais l’ordinateur de bord de l’avion essaiera souvent d’accéder à votre appareil. Cela est pratique si vous souhaitez lire un média à l’écran sur le siège devant vous, mais pouvons-nous réellement faire confiance à ces ordinateurs ?
Pour vous protéger, amenez votre propre chargeur avec vous et branchez-le à une prise électrique classique au lieu d’une prise USB. Vous pouvez également trouver un câble qui véhicule uniquement l’électricité, pas les données. Vous pouvez également utiliser un « bloqueur de données USB ou préservatif USB », qui assure qu’il n’y a aucune transmission de données durant le cycle de chargement.
Les risques cachés de votre carte SIM et de vos SMS
Votre carte SIM est une porte ouverte à quelques failles de sécurité inconnues sur votre téléphone.
Ce qui est encore plus grave, c’est que la carte SIM rend très facile le fait de vous tracer dans le monde. Voyons en détail comment cela se passe :
Traçage de téléphone
Tant que votre téléphone a une carte SIM valide insérée dedans, il essayera toujours de se connecter à une station de base. Une fois connecté, il continuera à envoyer des signaux aux stations de base à proximité pour assurer une connexion stable dans le cas où vous recevez un message ou un appel téléphonique. Retirer votre carte SIM de votre téléphone ne vous garantit pas la confidentialité. La plupart des téléphones maintiennent une connexion même sans carte SIM, par exemple pour pouvoir effectuer des appels d’urgence. Activer le mode avion peut aider, mais seul retirer physiquement la batterie peut garantir que vous n’êtes pas traçable à travers votre appareil.
Les sociétés de téléphones peuvent tracer la station de base à laquelle vous êtes connecté et comparer cela avec la force du signal pour trianguler votre localisation avec un certain degré de précision. Il suffit d’avoir votre téléphone allumé et votre carte SIM insérée. Ces sociétés peuvent également utiliser des indicateurs comme votre vitesse et votre localisation pour déduire si par exemple vous êtes dans une voiture en mouvement ou en haut d’un gratte-ciel.
Ne partez pas du principe que les informations réunies sont gardées privées par les sociétés de télécommunications. De nombreux fournisseurs n’arrivent pas à sécuriser leurs systèmes contre les intrusions, faisant de la localisation géographique une information publique. En effet, certains fournisseurs sont même loin et vendent la localisation de leurs utilisateurs à des annonceurs.
De plus, elles peuvent – et le font souvent – partager cette information avec les forces de l’ordre. Mais dans le but de vous tracer de manière précise, les forces de l’ordre auront besoin d’un appareil similaire à un Stingray.
Qu’est-ce qu’un Stingray ?
Un Stingray est un type populaire de « IMSI-catcher », une technologie qui permet le traçage de téléphone. Ces appareils font la taille d’une boite à chaussures et peuvent être attachés à un véhicule comme une voiture ou un avion, voire même sur un sac à dos.
Les Stingrays fonctionnent sur tous les appareils connectés au réseau GSM. Bien que les Stingrays ne soient pas aussi efficaces sur les réseaux 3G ou 4G, ils peuvent toujours retrouver le numéro de téléphone ou la localisation d’un sujet. En leurrant le sujet pour se connecter à une connexion 2G moins sécurisée, ils pourraient être capable d’intercepter les appels téléphones ou les SMS.
Bien que chaque téléphone doive s’authentifier à une station de base du fournisseur de téléphone, ce n’est pas le cas dans l’autre sens. En conséquence de cette faille connue dans le réseau GSM, toute personne avec les bonnes ressources (les Stingrays coûtent entre 16 000 et 125 000 USD pièce) peut imiter une station de base, et chaque téléphone à proximité peut alors s’y connecter sans le savoir.
Cela permet à l’opérateur du Stingray d’obtenir une liste des identificateurs des téléphones mobiles à proximité. Dans certains cas, cela leur permet aussi d’écouter toutes les conversations téléphoniques et les messages textes effectués par la victime, dans ce qu’on appelle une attaque de type intermédiaire.
Nous ne savons pas si les agences d’espionnage et les forces de l’ordre utilisent également des fonctionnalités similaires pour lire et intercepter les données mobiles, mais cela reste certainement dans le domaine du possible.
Il est très difficile de craquer le chiffrement à la volée, mais il n’est pas déraisonnable de penser qu’une agence d’espionnage suffisamment importante a déjà volé les clés ou les a demandées par le biais d’une lettre de sécurité nationale.
Les Stingrays sont utilisés secrètement et leur utilisation est si discrète que souvent, ce n’est pas découvert en cours de justice. Ces appareils sont des outils de surveillance de masse, et en tant que tel, sont rarement autorisés par les cours de justice dans les enquêtes. Mais, comme leur utilisation est devenu plus répandu, le public est devenu conscient des Stingrays et de leur fonctionnement.
Lorsque les forces de l’ordre, un criminel ou un espion ont de nombreux appareils à leur disposition, ils peuvent les utiliser simultanément pour calculer les localisations des téléphones de leurs suspects. Un résultat similaire peut être atteint en déplaçant les appareils, comme un petit avion.
Partie 5 : Comment éviter un traçage de localisation à travers votre SIM
Bien que le mode avion puisse aider, la seule manière d’éviter complètement le traçage est de retirer la batterie de votre téléphone. Pour les utilisateurs avancées, il y a une possibilité d’exécuter un logiciel spécial sur votre téléphone qui détecte les Stingrays et qui éteint votre téléphone si vous le souhaitez.
- Cependant, ce logiciel est expérimental et n’a pas été testé en profondeur. L’utilisation du Wi-Fi public, de VPN et de services de VoIP payés avec du Bitcoin sont de bonnes alternatives pour les appels sortants. Les appels entrants via VoIP sont moins privées à cause du besoin d’abonnement, mais peuvent quand même être un outil efficace si le but premier est de masquer votre localisation. C’est important d’ajouter que de tels appels ne sont jamais chiffrés et par conséquent peuvent être facilement mis sur écoute.
Les appels chiffrés sont possibles avec un logiciel comme Signal et FaceTime, mais pour fonctionner, les deux parties doivent utiliser le logiciel.
Une autre approche est de fréquemment basculer d’une carte SIM à une autre. Bien que cela ne rende pas le traçage impossible, cela réduit le nombre d’informations que les espions peuvent réunir. Il est cependant important que les cartes SIM ne soient pas changés trop rapidement. Il pourrait être possible de faire le lien entre deux numéros tout simplement en observant le fait qu’ils ne sont jamais actifs au même moment.
Un autre obstacle avec cette stratégie est que les cartes SIM ont besoin d’être achetés indépendamment l’une de l’autre, à des magasins différents, et être payés en espèces. S’ils sont insérés dans le même téléphone, il pourrait y avoir d’autres numéros de série et des identificateurs qui permettent aux sociétés de téléphone ou des agences espionnage de faire un lien.
Pour vous donner la meilleure chance d’échapper au traçage de localisation à travers les cartes SIM, assurez-vous que les deux cartes SIM sont achetés à des fournisseurs différents et en espèces, ne sont pas enregistrés ou sont enregistrés avec des faux noms et sont utilisés sur des appareils différents. Ils ne doivent jamais être utilisés dans la même zone géographique, et vous devez vous assurez que les deux appareils ne sont pas éteints lorsque vous voyagez d’une localisation à une autre.
Hacker une carte SIM
Malheureusement, le plus grand cauchemar en termes de sécurité n’est pas les traqueurs de localisation mais la carte SIM elle-même. Principalement, son module est un petit ordinateur qui peut exécuter et répondre à un code étranger, et est accessible à distance.
Le plus grand piratage connu qui a exploité cette architecture problématique a été découvert en 2013, quand des analystes informatiques ont découvert que 750 millions de téléphones mobiles ont utilisé des cryptogrammes obsolètes qui pouvaient facilement être devinés par un attaquant.
Avec cette clé, l’attaquant peut télécharger un nouveau logiciel sur le module de la SIM, envoyer des messages texte aux contacts dans le répertoire, ou changer le mot de passe de la messagerie vocale de l’utilisateur.
Si vous avez une carte SIM produite avant 2013, il y a 10 % de chances qu’il soit quand même affecté par ce problème.
Mais, ces clés de chiffrement peuvent être compromis par d’autres manières également, surtout par des acteurs publics bien financés.
Faisant partie des révélations de Snowden, The Intercept a dévoilé comment les agences de renseignements américains et britanniques ont volé les clés de chiffrement de milliards de cartes SIM produits par Gemalto, une société néerlandaise qui produit des cartes SIM pour plus de 450 firmes de télécommunications dans le monde. Ces clés auraient permis aux agences de renseignement de décrypter du trafic intercepté à travers une version plus avancée et indétectable d’un Stingray.
SMS et contacts
Même si vous avez configuré un chiffrement complet de disque, votre téléphone pourrait quand même stocker des messages texte et des détails de contact sur la carte SIM elle-même, laissant vos informations non chiffrées et accessible à toute personne qui peut y mettre la main.
Clonage de SIM / Basculement de carte SIM
Il est difficile de cloner votre carte SIM, mais ce n’est pas impossible. Si un attaquant a un accès physique à votre carte SIM, il pourrait être capable d’en extraire la clé privée. En utilisant un lecteur entre votre carte SIM et votre téléphone, il pourrait également exécuter une attaque de type intermédiaire, par exemple.
La manière la plus facile de cloner une carte SIM serait d’usurper l’identité de l’utilisateur et d’approcher le fournisseur de service en leur demandant directement une copie. Certains fournisseurs de services offrent facilement des SIM secondaires ou de remplacement sur place ou via e-mail avec peu de preuve d’identification.
Cela signifie que vous faites beaucoup confiance à votre fournisseur de service mobile. Si une personne peut usurper votre identité aux yeux de votre fournisseur de service et obtenir un accès à une SIM secondaire, elle sera capable de recevoir des messages texte et des appels téléphones qui vous sont destinés et effectuer des appels téléphones et des messages textes en votre nom (et qui vous seront facturés).
Cela peut avoir des conséquences importantes en termes de sécurité, surtout si votre solution d’authentification à deux facteurs envoie les codes à travers des messages textes.
Cette technique est aussi connue sous la permutation ou le basculement de carte SIM et a fait la une après que le compte personnel de Jack Dorsey, le dirigeant de Twitter, a été piraté en août 2019.
Les conséquences des permutations de carte SIM sont sévères – surtout lorsque que prenez en compte le fait que vous ne pouvez pas faire grand chose pour les arrêter. Cependant, la meilleure manière de le détecter est, si vous perdez mystérieusement tout service téléphonique et cela ne revient toujours pas même après que vous ayez redémarré votre appareil. Cela montre que quelque chose cloche et cela ne vient pas de vous.
Simjacking ou piratage de SIM
Une nouvelle faille de sécurité pour les cartes SIM a été découvert en septembre 2019 et est le résultat de messages texte malveillants qui contenaient un code contenant un virus. Une fois qu’un utilisateur clique sur le message, le code se mettrait en action et permet aux hackers d’espionner leurs appels, messages et données de localisation.
La faille a utilisé un logiciel appelé le navigateur S@T, faisant partie du kit de la SIM. Bien que ce navigateur n’est pas couramment utilisé dans le monde du développement, il reste actif dans les pays du Moyen-Orient, de l’Afrique du Nord et de l’Europe de l’est.
Les opérateurs de téléphonie mobile étaient la cible de cette attaque qui a été attribué à une firme privée opérant sur ordre d’agences gouvernementales.
Partie 6 : Pourquoi est-ce important de verrouiller votre appareil
Mettre en place un mot de passe suffisamment sécurisé pour votre écran de verrouillage est la première couche de sécurité et vous devez le prendre sérieusement. Les autres auront ainsi des difficultés à accéder à votre téléphone sans votre consentement.
Contrairement à la pensée populaire, l’utilisation de votre empreinte digitale pour déverrouiller votre appareil améliore peu votre niveau de sécurité. Une empreinte digitale peut facilement être clonée à partir d’une très petite photo de votre pouce et peut être utilisé pour débloquer votre téléphone. Et, comme on ne peut pas vous forcer légalement à révéler votre mot de passe dans la plupart des juridictions, prendre votre empreinte digitale pour débloquer votre téléphone sans votre consentement est parfaitement légal dans les démocraties libérales occidentales.
Chiffrez votre disque dur
Apple a commencé à chiffrer les disques durs par défaut depuis iOS 8. Cela améliore grandement la protection du propriétaire contre les recherches arbitraires et les abus de vos données personnelles après la perte de votre appareil.
Android offre également une fonctionnalité pour l’utilisateur afin qu’il puisse chiffrer son disque dur; cependant, cela doit être activé manuellement car il est désactivé par défaut.
Vous pouvez trouver l’option pour chiffrer votre appareil dans vos paramètres.
Bien que ce ne soit pas particulièrement facile, il est possible d’extraire vos informations personnelles depuis votre téléphone sans votre consentement si vous ne chiffrez pas votre disque dur. Les sociétés de technologie ont également aidé les forces de l’ordre pour débloquer les appareils.
Choisissez un bon mot de passe
Bien qu’Apple et Google prennent des mesures pour protéger vos données chiffrées des hackers en limitant le nombre de fois où le mauvais mot de passe peut être saisi, ou en supprimant le lecteur après quelques tentatives échouées, la meilleure forme de protection reste un mot de passe solide.
Choisissez un mot de passe qui contient au moins 12 caractères, ou utilisez un générateur de mots de passe aléatoires. Assurez-vous également d’utiliser un mélange de chiffres ainsi que des minuscules et des majuscules. Alternativement, utilisez Diceware pour générer un mot de passe qui consiste en quatre à cinq mots.
Partie 7 : Infographie sur le guide complet de la sécurité pour appareil mobile
Nous avons créé ce graphique qui montre de manière complète comment votre téléphone pourrait dévoiler vos détails.
Protégez votre vie privée
Garantie 30 jours satisfait ou remboursé