Après les révélations sur les données conservées par Facebook et Google, nous avons demandé à des spécialistes des cyberattaques d’ausculter notre smartphone.
Si, comme moi, votre smartphone est vissé à votre main toute la journée, puis glissé dans votre poche, avant de terminer sur votre table de nuit, vous vous êtes forcément posé la question : divulgue-t-il des informations à mon insu ? Si oui, lesquelles ? Et ne serait-il pas un faux-ami, capable de surveiller le moindre de mes faits et gestes et de les diffuser ? Mais à qui ? Après les révélations sur les données collectées et conservées par Facebook et Google, j’ai voulu espionner cet espion présumé.
Pour découvrir ce qui filtre, je me suis tourné vers des spécialistes des cyberattaques, des personnes rompues au piratage et capable d’analyser les données qui pourraient éventuellement filtrer. Rendez-vous est pris, pour moi et mon téléphone, au 26e étage de la tour Franklin à la Défense avec Gérôme Billois, expert au sein du cabinet Wavestone, et Vincent Nguyen, responsable CERT (computer emergency response team), un informaticien chargé d’intervenir en urgence lors d’attaques informatiques et capable de retrouver la trace des assaillants. D’entrée, ils m’expliquent que ce que les utilisateurs ont découvert avec les scandales autour de Facebook et de Google – et que je vais découvrir en testant mes propres applications – n’a rien de surprenant. “Le grand public ouvre simplement les yeux sur les données qu’il communique au quotidien.”
En se penchant avec eux sur ce que mon iPhone SE transmet, tous les jours, lorsqu’il est allumé, je ne vais pas être déçu.
Des applications qui ne cessent de transmettre des données
L’expérience commence à l’aide d’un logiciel qui scrute les données que mon téléphone communique. Pour ce faire, Vincent Nguyen le connecte à un logiciel spécialisé qui va détecter toutes les “requêtes” lancées depuis mon mobile. Comprenez des informations envoyées à différents sites. Et là, c’est la stupeur pour l’utilisateur naïf que je suis.
Je commence par l’application Vélizy 2, du nom de ce grand centre commercial de région parisienne où je me rends régulièrement, que j’ai téléchargée en amont pour l’expérience. Une succession d’adresses complexes s’affichent immédiatement sur l’écran des deux experts.
Je reconnais le nom de Facebook et de Google au milieu d’autres adresses beaucoup plus obscures. Il me faut les lumières de mes deux spécialistes pour savoir de quoi il s’agit : des sites de statistiques, de mesure d’audience. Toutes ces adresses débutent pas “https”, le “s”” signifiant que le flux est sécurisé. Impossible donc pour nos deux experts de connaître la teneur des informations envoyées, qui sont chiffrées. Mais pour Vincent Nguyen et Gérôme Billois, on peut supposer que ce sont des données de localisations destinées à connaître ma position dans le centre commercial. Objectif : identifier mes habitudes et potentiellement cibler des offres publicitaires. Gérôme Billois rappelle cet adage : “Quand c’est gratuit, c’est vous le produit.” Et ce spécialiste de prendre un exemple simple.
Avant, vous achetiez votre GPS 150 euros, avec un abonnement permettant d’actualiser les cartes. Aujourd’hui, ce service est gratuit avec Google Maps ou Maps d’Apple. C’est avec les données que vous leur fournissez sans le savoir que ces deux groupes ont les moyens de développer de tels services.à franceinfo
Plus surprenant, le constat est le même pour des applications d’informations comme Le Monde et franceinfo. Cette dernière a, en plus, accès à mon appareil photo, car elle permet aux utilisateurs de partager leurs clichés dans le live.
Autre exemple avec l’application Facebook. Les informations échangées ne sont pas lisibles car bien protégées. “L’application ‘implémente’ [installe] un mécanisme de sécurité appelé ‘Certificate Pinning’ empêchant d’intercepter et de déchiffrer les communications”, précise Vincent Nguyen.
Continuons avec une application toute simple : une lampe torche. A peine lancée, elle transmet près d’une vingtaine de requêtes, dont une grande majorité vers des services de publicité et de statistiques. Des flux là aussi chiffrés, sauf un. En fouillant, je découvre que j’ai envoyé à un site dont j’ignore tout des informations sur la version de mon téléphone et de son système d’exploitation. Pourquoi ? “Sans doute pour alimenter des statistiques concernant le parc des appareils des clients de cette application”, suppose Gérôme Billois.
Même constat avec l’application Fidal, où sont enregistrées toutes mes cartes de fidélité. En scrutant l’écran, je remarque que certaines adresses se mettent à clignoter. “C’est une nouvelle information qui est transmise”, m’explique Vincent Nguyen. Et si je ne ferme pas l’application ? “Elle continue d’envoyer des données ?” Ce spécialiste se souvient d’une autre application lampe torche qui, une fois téléchargée, accédait à des options totalement inutiles pour son fonctionnement.
En demandant accès aux contacts, à l’appareil photo ainsi qu’aux données de localisation, cette application torche devenait un espion en puissance.franceinfo
Mais on imagine très bien qu’un utilisateur, dans l’urgence de s’éclairer, valide rapidement et sans y prêter trop attention ces autorisations lors de l’installation. Pourtant, c’est le tout premier filtre qui doit vous permettre de vous prémunir de ce type espionnage. Sur Android, l’application Loupapps note celles déjà installées en fonction de leur niveau de sécurité. Pour le reste, à vous de vérifier les applications au cas par cas dans la rubrique Confidentialité de votre téléphone.
Les deux experts alertent notamment sur l’utilisation du microphone de votre téléphone. “Des études récentes ont montré qu’une intelligence artificielle n’a besoin que de 5 à 10 secondes pour entièrement reconstituer une voix”, explique Gérôme Billois. Quel est le risque ? Vincent Nguyen prend l’exemple de “la fraude au président”: “En usurpant la voix d’un directeur financier par exemple, une personne malveillante peut réaliser des transactions non désirées ou débloquer des fonds, etc.”
Un wifi public qui n’est pas mon ami
Après avoir découvert le nombre d’informations que mon téléphone peut transmettre sans que je m’en rende compte, j’apprends aussi qu’il faut que je prenne garde au réseau sur lequel je me connecte pour les faire circuler. Si, comme moi, vous vous connectez aux bornes de wifi gratuit proposées par des hôtels, des restaurants ou des cafés, vous allez avoir des sueurs froides. Les deux experts me font la démonstration de tout ce que ces bornes peuvent “voir passer” et comment une personne mal intentionnée peut s’en emparer.
En à peine quelques minutes, Vincent Nguyen crée, à partir de son ordinateur portable, un réseau wifi qu’il baptise du nom d’une célèbre chaîne de cafés internationalement connue. Le voyant apparaît dans la liste des réseaux disponibles, je me connecte, sans mot de passe, à cette fausse borne qui usurpe ce point d’accès identifié. C’est comme si je laissais une porte ouverte sur ma vie privée.
A partir de ce moment-là, celui qui a créé cette borne peut voir passer toutes les données consultées ou saisies par l’utilisateur.à franceinfo
Attention, il n’a pas forcément un accès direct au contenu même des échanges, précise Gérôme Billois. “La plupart des informations sensibles sont aujourd’hui chiffrées. Néanmoins, il est parfois possible pour l’attaquant de déchiffrer ces données”, ajoute-t-il.
Par exemple, si je m’authentifie sur Facebook.com dans mon navigateur Safari, et que l’attaquant peut déchiffrer les données qu’il intercepte, alors il verra passer mon login et mon mot de passe. Il peut ensuite se connecter à mon compte et usurper mon identité. Démonstration
Lire la suite sur Franceinfo.fr
