Cyber sécurité : ces applis qui vous espionnent

Publié Par Farid Gueham, le dans Technologies

Par Farid Gueham
Un article de Trop Libre

texting smartphones credits adam fagen (licence creative commons)

texting smartphones credits adam fagen (licence creative commons)

Faut-il- avoir peur de l’application mobile ? Téléchargée avec une facilité déconcertante, elle nous amène bien souvent à négliger, voire à ignorer les implications personnelles et les données privées que nous cédons, sans aucune contrainte. Nos Smartphones sont-ils le point d’entrée du piratage et de la confiscation consentie de nos données ?

Nos Smartphones sont toujours plus perfectionnés, ils n’en restent pas moins vulnérables.

Le passage du téléphone mobile aux fonctions basiques du Smartphone marque la consécration de l’application. Un engouement porté par une véritable révolution, puisque chaque application répond à un besoin très précis du grand public. Mais que font réellement les applications sur nos terminaux mobiles ? Y-a-t-il une différence entre ce qu’elles prétendent faire et ce qu’elles font réellement ? Il semblerait que oui. Car nous oublions trop souvent que les Smartphones sont des ordinateurs de petit format. Ils présentent exactement les mêmes vulnérabilités et les mêmes faiblesses que le PC que nous pouvons avoir à la maison. Des applications peuvent donc porter des virus, d’autres peuvent être malveillantes ou plus ou moins indiscrètes.

Les systèmes d’exploitations tous égaux devant la menace.

Pas de champion de la sécurité, ni de bouclier miracle. Les systèmes d’exploitation comme android, Ios d’Apple, Windows phone et blackberry présentent des modèles de sécurité différents, mais les failles fondamentales restent les mêmes quel que soit le système. Et ces failles sont avant tout humaines : installer à la hâte des applications auxquelles on ne prête pas une grande confiance, ouvrir des pièces jointes dans sa messagerie personnelle, autant de vecteurs d’infection qui sont communs aux Smartphones et à l’ordinateur classique.

Au-delà de l’infection, la captation des données est la vraie menace.

Les applications malveillantes vont essentiellement capter les données de l’utilisateur. Alors que
sur le PC familial, le virus était plus facilement détectable, en ralentissant ou en bloquant le système. Des startups se sont spécialisées sur la sécurisation des terminaux mobiles et des Smartphones, comme Pradéo. Pour Clément Saad, président de l’entreprise, « la nature de la menace a changé (…). Une application mobile porte une menace qui reste subjective. Aujourd’hui, avec notre accord, les applications récupèrent notre géo-localisation et ce n’est pas anodin ».

Car les applications sont à l’image d’un iceberg : la partie émergée présente les fonctions qui exécutent l’application. Et puis il y a la face immergée, les actions qui s’exécutent d’elles-mêmes : cela peut être la récupération de vos fichiers, de vos données de contacts, votre numéro de téléphone et toutes ces actions peuvent s’exécuter sans information préalable de l’utilisateur. La société Pradéo propose des produits qui permettent d’analyser une application donnée, sous Apple, Android ou Windows et de révéler, de manière exhaustive, ce qui se passe dans cette fameuse partie cachée. Pour les particuliers, un programme mène l’enquête : « Check my apps ». L’application identifie et cible les applications qui menacent la vie privée d’utilisateurs et pour l’ensemble des applications du Smartphone, elle va attribuer une notation à travers un code couleur vert, orange ou rouge pour en indiquer la fiabilité.

Un exemple surprenant d’application indiscrète : le jeu « Angry Birds ».

Déjà évoqué à plusieurs reprises lors des révélations d’Edward Snowden, le jeu « Angry Birds », mais aussi Facebook et twitter, se voyaient épinglés pour leurs mauvaises conduites et leur collaboration zélée avec la NSA, accusée de récupérer les données personnelles des utilisateurs. Dans le cas d’ « Angry Birds », application à priori ludique et sans danger, les analystes se sont rapidement demandés pourquoi l’interface exigeait la géo-localisation des joueurs. Cette position était en fait transmise à un serveur de la NSA.

Pour Vincent Strubel, sous-directeur expertise à l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, les applications malveillantes foisonnent sur les plateformes de téléchargement officiel, le problème est plus complexe « Il y a, à la fois, de l’indiscrétion et de la malveillance. Car toutes nos données ont une certaine valeur, et lorsque l’utilisateur ne paye pas directement son application, il la paye par le biais de ses données personnelles, et il existe enfin des applications vraiment malveillantes, qui vont collecter des données, voire installer d’autres éléments sur le téléphone, et cela concerne même certaines applications prétendument de sécurité ». Certaines applications de sécurité sont aussi une façon de cibler les profils qui ont des choses à cacher ou qui, du moins, se préoccupent de leur sécurité.

Au quotidien, comment se prémunir contre ces menaces ?

Le premier rempart, c’est la vigilance des utilisateurs, une forme d’« hygiène informatique », pour le PC, le Smartphone ou l’objet connecté, «ne pas cliquer sur n’importe quel lien, ne pas télécharger les pièces jointes suspectes, ne pas installer n’importe quelle application », rappelle Vincent Strubel. « Il y également des bonnes pratiques qui peuvent relever de la configuration du téléphone, présentées dans des guides sur le site web de l’ANSSI. Enfin, les entreprises peuvent déployer des solutions « corporate » pour sécuriser leur flotte de terminaux mobiles ».

Faut-il s’attendre à une nouvelle forme de cyber-terrorisme à l’heure des villes connectées ?

La généralisation des objets connectés, des capteurs de données, le développement des transports et des villes intelligentes soulèvent de nouvelles problématiques et de nouvelles menaces. Des secteurs critiques qui étaient jusqu’à présent hors d’atteinte, comme les véhicules connectés ou les transports en commun automatisés, sont aujourd’hui beaucoup plus vulnérables. Le secteur de la santé connectée entre également dans cette zone de vulnérabilité. Les applications marquent une vraie rupture et dépassent aujourd’hui le cadre des Smartphones. Préserver leur fiabilité et leur sécurité, c’est veiller sur notre quotidien.

Pour aller plus loin :

– « Ces applis qui chipent vos données personnelles en douce », 01net.

– « Guide des bonnes pratiques de l’ANSSI », ANSSI.

– « Les moyens de lutte contre le cyber terrorisme »Juristesnumerique.fr

– « L’année 2016 sera-t-elle celle du cyber-terrorisme ? », RTBF-AFP.

Sur le web

  1. A commencer par contrepoints, j’aimerais qu’on m explique en quoi ils ont besoin d’un accès à nos photos personnelles pour diffuser leurs articles…

  2. Je tiens à préciser à Google, Facebook, Twitter, la NSA et même Contrepoints que je porte aujourd’hui un slip gris et que je n’ai rien à cacher. Si mon ordinateur bloque leurs mouchards et les pubs, c’est simplement parce que sa faible puissance de 5 watts ne permet pas de les faire fonctionner – car il représente aujourd’hui au bas mot 90% de l’activité de la machine et du réseau.

  3. Effectivement, le principal facteur qui entre en jeu ici, ce sont les utilisateurs. Par méconnaissance (principalement les générations les plus âgées) ou par indifférence (« Je n’ai rien à cacher »…), ils remettent leur vie privée à qui la veut.
    Un peu comme pour les ordinateurs, les smartphones se sont développés très rapidement avec peu de sensibilisation sur les risques encourus en utilisant cette technologie. Et même en étant très attentif à ce que l’on installe sur nos ordinateurs/smartphones, le risque 0 n’existe pas (utiliser TOR ou un VPN ne fait que rendre la tâche plus ardue).

    Grosso modo, utilisez un VPN, évitez Google (préférez DuckDuckGo), et installez Privacybadger. Déjà, vous limitez quelque peu les intrusions.

    Plus radical, brulez tout appareil que vous posséder, changez de nom, achetez une cabane dans les bois (au pire) ou installez-vous dans une grotte (au mieux) et enjoy!

  4. C’est un problème de système d’exploitation. Alors qu’Apple n’a jamais cessé ses rodomontades de fier défenseur des utilisateurs (devant la NSA), iOS ne permettrait pas de configurer l’accès aux ressources de chaque application ?

    Comme c’est étrange … de la com de la com de la com …

  5. – la sécurité informatique est aussi un problème d' »éducation ». Pour travailler sur leur ordinateur, La plupart des utilisateurs utilisent un compte « Administrateur » ( surfer sur internet, lire des emails, … ) ( demandez autour de vous, vous allez voir … )

    90% des utilisateurs ne savent pas dissocier le compte « Administrateur » des comptes « Utilisateurs ». Il faut systématiquement travailler sous son compte « Utilisateur » et pas sous le compte « Administrateur », celui-ci ne servant qu’à l’installation ou la mise à jour des logiciels.

    Ainsi tous les virus de mails ou autre virus internet seraient inefficaces ( 95% des « attaques » ) après un redémarrage de la machine.

    1. Sous Linux on ne peut pas travailler en « root », à moins de vraiment le faire exprès.
      Sur les dernières versions de Windows par défaut on ne peut pas faire n’importe quoi aussi, si vous essayez de modifier un répertoire d’installation d’une application le système vous demandera de valider explicitement la modification.
      Après, il reste nécessaire de savoir ce qu’on fait…

      1. « il reste nécessaire de savoir ce qu’on fait »

        Il n’y a surement pas une personne sur 100000 qui sait ce qu’il fait. Et les autres en ont surtout l’illusion. La solution passe donc forcément par une externalisation de la fonction de sécurisation. La méthode la plus facile et la plus évidente est l’utilisation d’un pare-feu matériel externe – ce que fait (plus ou moins bien) la moindre « box » internet.

        Cependant, je réitère mon coup de gueule (dans le vide) à propos de la mauvaise utilisation du cryptage dans le web : il n’est pas normal que google, facebook ou tweeter crypte des données sans le contrôle et l’accord des utilisateurs et échappent ainsi à toute surveillance du pare-feu. Il y a bien sur un problème de fond : comme ils collectent vos données personnelles il est normal de les transmettre de façon cryptée, mais il est de ce fait impossible de distinguer les attaques malveillantes dans la masse des flux cryptés dont l’analyse est impossible par le pare-feu/mandataire protégeant votre réseau.

        Pour ceux qui ont suivi, je conseille de jeter un coup d’œil aux « recommandations » de l’ANSSI (la bonne blague) à :

        http://www.ssi.gouv.fr/administration/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/

        1. Exact.

          Mais il faudrait surtout développer le concept sur « sous-utilisateur » afin d’isoler les applications et les contraindre à n’avoir aucun accès aux répertoires « personnels » autres que ceux dont vous aurez explicitement donné l’autorisation. Même sous Linux, la solution est encore fastidieuse. Ça commence à venir sur les ordiphones ( typiquement le contrôle sur l’accès au répertoire des contacts, de la géolocalisation … ) mais ça ne sera réellement « démocratisés » que dans quelques années. Avant cela, les applications auront pu vous « voler » tous ce qui est dans vos répertoires « personnels » sans la moindre impunité … … je renvoie à un des sites dédiés ( http://subuser.org/ ).

          Pour l’instant, éviter d’installer les applications et continuer à utiliser les sites internet avec le « navigateur », qui a de facto beaucoup moins de droits pour pouvoir fouiller dans les fichiers de votre arborescence.

          1. De fait, toute application qui accède à un réseau publique ou dont on ne possède pas les sources devrait tourner dans un bac à sable. Le premier programme – qui remplit ces 2 critères est le navigateur internet. Cela réduit cependant toutes les (pseudo) fonctionnalités – « pour rendre notre expérience meilleure (qu’ils disaient) – à néant, car si toutes les applis réseaux tournent chacune dans leur propre bac à sable sans pouvoir s’échanger de données (et encore moins de code ou s’activer mutuellement), on ne va plus très loin.

            Dans l’absolu, je pense que l’on devra un jour ou l’autre renoncer à pas mal de ces « fonctionnalités » car le problème de la sécurité est insoluble : on ne peut faire autrement que approuver explicitement tout ce qu’on fournit et tout ce qu’on reçoit – avec un plein engagement de chacun des partenaires. Mais le ver est dans le fruit, et avant de faire comprendre au gens que l’on ne PEUT PAS s’échanger des documents Office (qui sont des applis à cause des macros et non des données) …

  6. Dois je m inquiéter de ces nombreux journaux qui utilisent mes données et dont on ne parle jamais ?

  7. Le problème majeur dans l’utilisation des applications ou de tous les autres appareils connectés réside dans l’utilisation. Afin de remédier aux problèmes de piratage, il faut sensibiliser tous les utilisateurs sur les risques qu’ils encourent lorsqu’ils ne font pas attention aux conditions d’utilisation des applications qu’ils téléchargent.

Les commentaires sont fermés.