Découvrez notre société Contactez-nous

e-Xpert Solutions Genève

109, chemin du Pont-Du-Centenaire
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message

Swiss Security Hackademy

Suivez notre blog bilingue en sécurité informatique !

Retour aux articles

L’utilisation du téléphone portable au quotidien est-il synonyme de vulnérabilités ?

Un numéro... un clic... et la personne reçoit l’information !


Auteur : Wojciech Myszkorowski

Date de publication : 5 août 2019 - Dernière mise à jour : 5 août 2019


Sur le marché de l’électronique, les ventes de smartphones ont dépassé celles des ordinateurs depuis fin 2016. L’évolution du smartphone en est la cause. Les envoies de documents, les lectures d’emails, les appels téléphoniques ou encore les vecteurs d’authentification font qu’aujourd’hui le téléphone est devenu indispensable dans le quotidien d’un employé lambda. Cette dépendance est dû entre autres à la simplicité d’utilisation que celui-ci permet peu importe l’endroit où la personne se trouve. L’utilisation du navigateur web, avec une grande majorité des sites qui s’adaptent à votre résolution, rend son utilisation très courante. Pourtant, les risques d’exposer ses données ou des informations sont encore plus accrus sur le téléphone.
De nos jours, beaucoup de monde a conscience de ce phénomène mais ne se préoccupe pas de son impact sur le plus ou moins long terme. Les objets connectés appelés « wearables » sont également en augmentation. La possibilité de lire son message sur sa montre pendant une conférence est plus discret et donc plus attrayante.
Sur quoi repose cette technologie exactement ?

Un assemblage de plusieurs technologies

Bluetooth : Il s’agit d’une technologie qui permet d’échanger des données à très courte distance Elle est utilisée principalement avec des objets connectés tels que montres, écouteurs, enceintes portables, souris ou encore clavier. Elle se base sur des ondes à 2.4 GHz. Bluetooth s’est bien améliorée au fil des années et est actuellement à sa 5ème version. Néanmoins, cette technologie représente certains risques même si elle est moins couteuse en énergie que le Wi-Fi. En effet, toutes deux étant sur la même fréquence, elles peuvent recevoir des perturbations. Il existe plusieurs attaques dont le « bluejacking » et de « Bluesnarfing ». Pour faire simple, lorsqu’un appareil tente de se connecter (coupler 2 appareils), il s’agit du mode « Discovery ». Dans certains cas, il est possible que votre appareil ne trouve pas tout de suite l’appareil recherché et reste dans ce mode de découverte. Un attaquant pourrait alors s’associer à votre appareil en se faisant passer pour celui que vous essayez de vous coupler avec, pour par la suite vous voler des informations à l’aide d’un logiciel (disponible dans Kali linux par exemple).

NFC : Dans la même idée que le Bluetooth, le NFC est une technologie qui fonctionne à distances infimes (10 cm) et à haute fréquence. Cette technologie peut être utilisée sous différents modes :

  • Passif : Le comportement ressemble à celui d’une carte sans contact.
  • Lecture : C’est le comportement inverse du mode passif. Le téléphone va pouvoir lire des informations sur étiquettes, etc.
  • Pair à pair : Ceci permet l’échange d’informations entre deux objets, notamment deux téléphones.

Cette technologie représente des vulnérabilités. Une attaque qui peut être exécutée aujourd’hui s’appelle la « relay attack ». L’attaque requiert de nombreux éléments pour être exécutée et parvenir à des gains financiers. Pour commencer, l’attaquant doit mettre une fausse application sur le Play store et la victime doit installer cette application qui lui paraît légitime. Puis, cette application surveille en permanence l’environnement du téléphone. Par conséquent, lorsque vous approchez le téléphone proche de votre portemonnaie et que celui-ci contient des cartes avec la technologie contactless, l’application va par exemple pouvoir lire les données de la carte de crédit. A ce moment-là, l’application envoie l’information au téléphone de l’attaquant. Ce dernier n’a plus qu’à approcher son propre téléphone d’une machine qui accepte les paiements contactless et l’attaquant fera une transaction utilisant la carte de crédit de l’utilisateur. Au moment de la transaction l’une des restrictions est que l’écran du téléphone de la victime soit déverrouillé.

Le réseau mobile et la mobilité accentuent les difficultés pour la sécurité.

Le réseau mobile 4G est définitivement bien plus sûr qu’un réseau wifi public bien qu’un papier d’une université de New York présente une attaque possible sur le réseau 4G

De manière générale, il existe plusieurs vulnérabilités liées au Wi-Fi tout comme au réseau mobile. Comme pour l’ordinateur, l’utilisation du VPN pour les mobiles est possible et même recommandée. L’ordinateur possède une sécurité avantageuse au téléphone qui est non négligeable. En effet, nous pouvons forcer l’utilisation d’une connexion physique pour l’ordinateur. Le réseau mobile repose sur des ondes diffusées sur une zone étendue et non contrôlée. Le VPN a pour but de protéger le canal de communication entre deux extrémités, mais si l’extrémité est vulnérable alors tout le système est mis en danger. Dans le cas d’une entreprise, il ne faudrait jamais stocker les ressources (données) sur le téléphone de l’utilisateur, mais plutôt sur un serveur de l’entreprise auquel le téléphone doit se connecter et prouver sa légitimité. Le chiffrement des données doit être possible si elles doivent résider sur le téléphone. Dans ce cas, il faut s’assurer que l’application qui manipule ces données ne puisse pas être modifiée. Aujourd’hui, la mobilité est un vecteur difficile à maitriser pour une entreprise et doit être pris au sérieux au niveau de la rigueur pour l’application des règles de sécurité de chaque utilisateur.

WhatsApp une vulnérabilité que seulement une minorité de gens comprennent

L’envoie de photos, les billets d’avions, les factures, les pdfs, etc. sont des éléments devenus triviaux aujourd’hui. Il est également possible de se connecter depuis l’ordinateur sur WhatsApp et télécharger les pièces jointes sur l’ordinateur. Il est donc devenu facile de posséder une information voir un document sur n’importe quel type d’appareils.

Lorsque nous téléchargeons une image WhatsApp celle-ci se retrouve directement dans notre application galerie et donc dans notre système de stockage. Il en est de même avec un document pdf que nous nous serions envoyé ou que nous aurions reçu par exemple. WhatsApp n’est qu’une application parmi tant d’autres qui ont accès à l’espace de stockage partagé. Cependant, il existe deux stockages différents appelés externes et internes. L’interne n’est pas accessible aux autres applications. L’externe lui est partagé par toutes les applications. Cela dit beaucoup d’applications laissent le choix de pouvoir choisir l’endroit où vont être sauvegardé les images, documents etc. Ceci est souvent pratique lorsque les gens veulent partager des documents avec d’autres applications telles que Gmail, Messenger ou Facebook. La pièce enregistrée dans la galerie des images a potentiellement accès à plein d’autres applications du téléphone Donc à partir de là, il suffit que l’utilisateur installe une application malveillante qui a accès à cette espace de stockage externe et c’est ici que le problème commence. Cette application malveillante qui peut paraître légitime de prime à bord, manipule les fichiers / photos de cette espace de stockage externe sans que l’utilisateur ne s’en rende compte.

Le problème peut s’avérer mineur et pourtant une simple manipulation d’image peut s’avérer désastreuse selon le contexte pour laquelle elle est utilisée. Imaginons un groupe Whatsapp avec des collègues de travail. L’un des utilisateurs envoie une photo représentant un diner entre collègues. Si le téléphone de l’expéditeur de la photo est infecté par une application malveillante, les autres utilisateurs du groupe peuvent recevoir une image modifiée à caractère pédopornographie, raciste ou autre.
Un autre cas qui pourrait s’avérer grave est celui prenant en compte l’aspect monétaire. Considérons la situation suivante : une personne voulant rembourser une tierce personne. L’emprunteur demande des informations du compte bancaire afin de rembourser ses dettes. Le prêteur envoie une photo de sa carte bancaire ainsi qu’un pdf contenant les informations de sa banque. L’emprunteur pourrait alors recevoir des informations ayant été modifiées et donc payer l’attaquant.

Se protéger
Il existe toujours un moyen de se protéger contre ce genre d’attaques, mais il s’agit là encore de la curiosité, l’éducation et la volonté de l’utilisateur de protéger ses données et d’appliquer les bonnes pratiques de sécurité. Contrairement à l’ordinateur, le téléphone a plusieurs couches de sécurité et il faut en avoir conscience. Les paramètres du système (verrouillage, stockage mot de passe, stockage) ne sont pas directement liés à ceux des applications. Il est donc de bonnes pratiques d’étudier les paramètres de sécurité de chaque application surtout les plus utilisées telles que messagerie, email, navigateur web, application de réseaux sociaux, etc.

Pour finir que peut-on dire du téléphone ?

La question à se poser est de savoir quel est le problème avec le téléphone d’aujourd’hui. Premièrement, la facilité de faire n’importe quelle action en un temps record, nous rend moins attentif à ce que nous faisons. Deuxièmement, la plupart des informations sont partagées par nos applications avec des serveurs et nous n’avons aucun contrôle dessus. Par rapport à l’ordinateur, ces informations ont augmenté car les applications ont besoin de divers accès (contacts, géolocalisation, espace de stockage, etc ). Aujourd’hui de nombreuses normes Wi-Fi ont été cassées et pourtant lorsque nous voyageons dans des pays étrangers, nous nous connectons à des réseaux Wi-Fi afin de ne pas utiliser le roaming international. Encore une fois, nous nous exposons à des différentes législations et pas souvent le dernier cri de sécurité mis en œuvre par le fournisseur de la connexion (WPA, WEP, etc ). Les smartphones peuvent effectuer la majorité des transactions habituelles quotidiennes mais la sécurité n’est pas encore au niveau attendu. Comme pour l’ordinateur il n’existe pas de sécurité contre le vol. Ce qui manque par-dessus tout, c’est l’existence de normes bien définies soutenues par des politiques pour que les constructeurs soient obligés d’implémenter ces protocoles et respecter certaines règles.

Sources