mardi 11 décembre 2012

Comment protéger votre smartphone de l'espionnage et du gouvernement

Au congrès du Club des Directeurs de Sécurité des Entreprises, la DCRI (ou le FBI français pour les nuls) a effectué une démonstration de piratage d'un smartphone afin de sensibiliser les responsables de sécurité informatique a fortiori à l'ère du BYOD



Procédure. 1/ Voler le mobile à l'arraché. La première cybersécurité d'un mobile n'est-elle pas physique? 2/ Extraire la carte SIM (et la remplacer par une autre ?)3/ Casser le code de verrouillage du smartphone grâce à un logiciel dédié qui ne fut guère mentionné. Durée: 10 mn pour un code à 4 chiffres, 50 heures pour un code à 6 chiffres. S'agirait-il d'une application peu ou prou identique à XRY (qui connait un énorme succès auprès de Scotland Yard et du Pentagone) ? 4/ Extraire les données contenus dans l'appareil. 5/ Pirater le keychain qui rassemble les authentifications webmail, FTP, sessions à distances sécurisées, partages réseaux, accès Wi-Fi, certificats numériques, fichiers cryptés, applications collaboratives, apps mobiles (exemple: banque, transport, télécoms), historiques Web et géolocalisation, etc. 

 « Et mauvaise nouvelle pour les geeks : plus le téléphone est puissant, plus son processeur cassera rapidement son propre code à l'aide du fameux logiciel.[...] Et il ne faut pas se fier aux apparences : "Apple est un château fort... dont le pont-levis est en carton. »

La technologie NFC (ou Near Field Contact: une technologie d'échange d'informations sans contact utilisée dans les smartphones et qui a le vent en poupe dans les cartes bancaires, dans les cartes de métro/bus/tramway et dans le paiement mobile) peut également être exploitée en toute aisance par la DCRI... qui peut filer le porteur d'un smartphone et accéder à ses informations personnelles à 15 mètres de distance!

Ne vous faites aucune illusion: de telles pratiques sont également à la portée d'un hacker à la solde d'un concurrent dans votre secteur d'activités. D'où quelques trucs et astuces qui protégeront plutôt efficacement vos données sensibles et compliqueront la tâche à vos pisteurs online/on air.

« THE device in your purse or jeans that you think is a cellphone — guess again. It is a tracking device that happens to make calls. Let’s stop calling them phones. They are trackers. » Peter Maass et Megha Rajagopalan.

1. Cryptez vos SMS avec une clé AES-256 bits grâce à Encrypt SMS (iPhone) et Textsecure (Android) et faites-vous à la haine conséquente de vos proches.

2. Cryptez vos communications (clé AES-256 bits) avec Cellcrypt ou Cryptos (iPhone) et RedPhone (Android), applications assez populaires auprès de nombreux fonctionnaires/cadres américains de la défense.

3. Evitez autant que possible les réseaux de téléphonie mobile (GSM) pour vos communications sensibles et optez pour la VoIP. Les applications Textplus et Talkatone (iOS, Android, Windows Mobile) facilitent les appels téléphoniques et l'envoi/la réception de SMS via les réseaux Wi-Fi et peuvent bénéficier du chiffrement de CSipSimple. Les services iMessage (Apple) et Blackberry Messenger (RIM) offrent des fonctionnalités similaires car les SMS cryptés transitent par les serveurs internes de ces deux firmes, pour peu que vous soyez connecté à un hotspot Wi-Fi.

4. Désactivez la collecte de vos données GPS car votre smartphone iPhone/Android géolocalise et enregistre tous vos déplacements.

iPhone: Réglages → Services de localisation → Désactiver toutes les options: Wikitude, YourAppNow, localiser iPhone, etc.

Android: Menu → Paramètres → Paramètres de sécurité et localisation (ou Lieu et sécurité sur certaines versions) → Décocher les cases Utiliser les réseaux sans fil et Utiliser les satellites GPS.

Les applications Untrackerd (iPhone) et Location Cache (Android) permettent autant de lister que d'effacer l'enregistrement de vos géolocalisations en temps réel. Vous pouvez également basculer votre smartphone en mode Avion afin de désactiver la collecte de vos données GPS. Au besoin, installez les cartes hors ligne Galileo (iPhone) et Mapdroyd (Android) et appréciez l'orientation un peu vieille école.

5. Toutefois, n'espérez aucun miracle au cas où les autorités saisiraient votre smartphone. L'Etat disposera toujours des yeux, des oreilles et du nez nécessaires pour vous identifier et vous suivre à la trace. La solution ultime: jetez votre mobile dans un fleuve ou à la mer et n'utilisez que des cabines téléphoniques ou des numéros mobiles jetables (premier appel = dernier appel). Attention aux caméras de surveillance, Mr/Mme Parano !

Le cryptage et l'effacement sécurisé de la mémoire de votre smartphone seront abordés dans un prochain volet. Restez en ligne... 

2 commentaires:

egea a dit…

Et comment protéger ses mails, tiens ? Tu nous fais un petit topo pour le parano ?

Evalefou a dit…
Ce commentaire a été supprimé par un administrateur du blog.