Dans notre article de niveau débutant ; Votre téléphone et votre ordinateur nous avons abordé la façon dont la vie privée est compromise sur deux appareils les plus utilisés aujourd’hui : le téléphone et l’ordinateur. Dans cet article, nous allons nous concentrer sur le téléphone, le plus utilisé des deux.

Les téléphones mobiles d’aujourd’hui sont de minuscules ordinateurs puissants; ils ont des quantités énormes de stockage et de puissance de traitement à leur disposition et grâce à leur maniabilité, leur facilité et leur fréquence d’utilisation, il existe des tonnes d’applications de productivité pour smartphones, pas encore vues sur un ordinateur personnel. Les e-mails, la messagerie, les applications de chat, les portefeuilles, les logiciels bancaires, les notes personnelles, les photos et les vidéos ne sont qu’un petit exemple de ce que nous utilisons ou stockons sur nos téléphones. La surface d’attaque plus importante des smartphones attire beaucoup d’intérêt malveillant pour eux. Abordons en détail certains compromis en matière de protection de la vie privée :

  • La protection par mot de passe/PIN est l’essentiel absolu - sans cela, votre téléphone est comme une porte ouverte, invitant n’importe qui à mettre la main sur ce qu’il veut.
  • Les applications provenant de boutiques d’applications non officielles sont également dangereuses. Personne ne vérifie la validité et l’intégrité et les attaquants tirent souvent parti de cette faille. Pour tout système d’exploitation, il est essentiel de s’en tenir aux boutiques d’applications officielles.
  • Les applications piratées sont une autre source de compromission de la vie privée. Les pirates incluent souvent des logiciels malveillants indétectables par les logiciels antivirus et antimalware, ce qui donne aux attaquants la possibilité de prendre le contrôle de votre appareil et de vous espionner.
  • Les soi-disant jailbreaks sont dangereux aussi parce qu’ils désactivent de nombreuses mesures de sécurité de l’appareil et ouvrent le noyau de celui-ci pour que les applications soient plus accessibles.
  • Le Wi-Fi gratuit a un coût - un réseau Wi-Fi ouvert signifie que les données transmises ne sont pas chiffrées et que les pirates peuvent obtenir et pirater des informations sensibles importantes comme les mots de passe.
  • Et les logiciels normaux, tels que les navigateurs, peuvent également être utilisés pour altérer votre vie privée. Vous pouvez en savoir plus à leur sujet dans notre section outils : les navigateurs.

En dehors de cela, il existe d’autres méthodes plus sophistiquées et plus dangereuses qui peuvent être utilisées afin de suivre les personnes sur les réseaux mobiles, et cela peu importe les mesures de sécurité que l’utilisateur prend de son côté, à part éteindre le téléphone lui-même, bien sûr. L’un des plus effrayants est un piratage qui utilise un service d’échange de réseau appelé Signalling System No. 7 (SS7). En l’exploitant avec succès, l’attaquant peut lire des messages texte, écouter des appels et suivre un smartphone grâce à la triangulation, en utilisant uniquement un numéro de téléphone comme identifiant. Vous pouvez en savoir plus sur l’attaque SS7 ci-dessous, dans la section lectures complémentaires.

L’utilisation d’un chiffrement complet de l’appareil est également indispensable pour éviter toute récupération des données en cas de vol de l’appareil. Les deux systèmes d’exploitation populaires, iOS et Android offrent les options pour cela.

Note spéciale sur l’utilisation du SMS comme méthode 2FA

Nous vous conseillons de ne pas utiliser les SMS comme méthode de 2FA si possible. Il y a plus d’une façon pour un attaquant d’accéder aux messages texte ou aux appels que votre téléphone reçoit.

La première et la méthode la plus simple est l’ingénierie sociale. Il y a eu un certain nombre d’incidents où un attaquant a réussi à convaincre un conseiller d’une société de communication mobile que “son” téléphone s’était perdu ou que sa carte SIM était cassée et qu’il devait être remplacé immédiatement. Par coïncidence, la victime vient aussi de déménager, donc l’adresse est changée et une deuxième carte SIM est envoyée à l’attaquant. Bien qu’il soit peu probable que cet exploit fonctionne au premier essai, en appelant à plusieurs reprises l’attaquant pourrait trouver un téléconseiller qui acceptera de le faire.

Une autre méthode que l’attaquant peut utiliser est d’ouvrir un compte chez un autre fournisseur de services et de demander la portabilité de votre numéro. La plupart des fournisseurs vous proposent de garder votre numéro si vous passez d’un opérateur à un autre (Free vers Orange par exemple). Cela ouvre ce vecteur d’attaque simple mais efficace. Nous pourrions continuer avec la liste des exploits possibles, mais le fait est que votre numéro est une cible plutôt facile. Pour en savoir plus sur la 2FA, consultez notre section sur les meilleures pratiques.