Non, WhatsApp et Signal n’ont pas été hacké par la CIA ; mais il faut correctement protéger son smartphone

Non, WhatsApp et Signal n’ont pas été hacké par la CIA ; mais il faut correctement protéger son smartphone

Au vu des récentes révélations publiées par Wikileaks concernant les outils que possède la CIA lui permettant d’espionner nos communications telles que sur WhatsApp, Signal et Telegram, je souhaite publier dans cet article les recommandations que nous donnons à nos clients ou lors des séminaires.

Je commencerai par insister sur le fait que ce n’est pas le cryptage de WhatsApp ou Signal qui ont été cassé, mais bien une attaque sur le smartphone qui permet de lire les messages avant qu’ils ne soient envoyés (cryptés)

Mais avant de rentrer dans le vif du sujet, je souhaiterais écrire quelques mots au sujet de ces fuites et de leurs implications.

Gestion des vulnérabilités par les gouvernements

Ce n’est pas une surprise de savoir que le gouvernement américain a un cyber arsenal lui permettant de pénétrer des systèmes d’information. Les organisations d’intelligence et d’espionnage ont besoin de ces outils pour faire leur travail. Ce qui est déroutant dans ces documents est le manque d’éthique avec lequel ces vulnérabilités sont utilisées. Le gouvernement américain a en effet répété plusieurs fois qu’il publiait la majorité des vulnérabilités trouvées et que seulement dans de très rares cas, il l’utilisait comme cyber arme. Malheureusement, ce n’est pas la vérité. Nous voyons avec Valut7 que la CIA garde une grande quantité de vulnérabilités secrètes afin de les utiliser pour des opérations de cyber espionnage ou de cyber attaques. Pourtant cette attitude met plus les citoyens américains et du monde en danger plus qu’autre chose. Il est évident que d’autres gouvernements (Russe, chinois etc.) font des recherches de vulnérabilités similaires. Il existe donc une grande probabilité qu’eux aussi aient connaissance des mêmes vulnérabilités tenues secrètes par la CIA (Par exemple la vulnérabilité dans la GNU C Library a été découverte simultanément par plusieurs chercheurs indépendants).

En disposant de vulnérabilités secrètes, la CIA met tout le monde dans une situation à risque car ces vulnérabilités seront très probablement aussi découvertes par d’autres gouvernements (totalitaires), des criminels ou des entreprises avec peu de moralité qui pourront à leurs tours les utiliser contre des citoyens/entreprises américains (et d’autres pays).

 

Protection des smartphones

Concernant la sécurité des smartphones, nous rappelons toujours que la sécurité d’une application dépend toujours de la sécurité de l’appareil sur lequel elle est installée (Par exemple, vous ne pourrez jamais protéger correctement vos bijoux dans une cabane dans un arbre). Nous avons également vu dans le passé que des solutions telles que KNOX de Samsung pouvaient être contournées montrant que même les fondations censées être ultra sécurisées ne le sont pas nécessairement.

 

Qui est le plus sécurisé entre iOS (iPhone) et Android (Samsung, Google, Sony etc.) ?

Pour répondre simplement, les deux peuvent être très sécurisé ou très vulnérable. Cependant, il est plus facile de correctement protéger un appareil iOS qu’Android.

 

Comment protéger correctement son smartphone ?

Selon nous, il y a quatre points essentiels à suivre pour protéger correctement son smartphone afin d’éviter de se faire hacker :

 

1. Les mises à jour

De nouvelles vulnérabilités sont découvertes quotidiennement (comme celles découvertes par la CIA). C’est pourquoi les développeurs publient des correctifs (Patch) pour corriger les vulnérabilités afin que votre appareil ou application ne puisse pas se faire exploiter. Un hackeur de son coté, lorsqu’un Patch est publié, va s’empresser de faire du reverse engineering afin de comprendre la vulnérabilité afin de pouvoir l’exploiter sur les appareils qui ne sont pas mis à jour. Il y a donc une course contre la montre entre le temps qu’un patch met pour être déployé sur les appareil face à l’exploitation possible de la part d’un hackeur. Pendant les deux premiers mois de 2017, iOS a corrigé 107 vulnérabilités et Android 111. Cela veut dire que si vous n’avez pas mis à jour l’OS de votre smartphone depuis le nouvel an, il est extrêmement vulnérable et facilement hackable.

Sur iOS les mises à jour sont très faciles à effectuer et sont déployées quasi automatiquement à tous les utilisateurs. Ce n’est malheureusement pas le cas pour Android où la majorité des appareils utilisent des versions désuètes et très vulnérables.

 

2. L’illusion de sécurité par défaut

Saviez-vous qu’en Suède, 86% des gens sont inscrits au don d’organe contre seulement 4% au Danemark ? La raison est simple. En Suède, si vous ne faites pas de demande spécifique, vous être inscrit en tant que donneur alors qu’au Danemark, c’est l’inverse. Tous les systèmes sont configurés avec des paramètres par défaut, et les gens ne les changent que très rarement. Malheureusement, ces configurations par défaut ne sont que rarement optimales pour la sécurité mais plutôt orientées vers les performances, la facilité d’utilisation ou la retro compatibilité.

Sur iOS par exemple, par défaut, même lorsque le smartphone est verrouillé, il est possible de faire des appels ou de répondre à des messages. Sur Android, le cryptage de l’appareil (FDE) n’est pas activé par défaut pour des questions de performance. C’est ce que j’aime appeler « l’illusion de sécurité par défaut ».

Il est donc très important de bien configurer son appareil afin de pouvoir profiter des outils de sécurité et de vie privée disponibles.

 

3. Connaissances et utilisation

Comme tout appareil, il est important de savoir l’utiliser correctement. Par exemple, nous avons un permis de conduire qui est censé prouver que nous savons conduire, que nous connaissons les règles de circulation et de sécurité. Il n’y a malheureusement pas d’équivalence pour les systèmes informatiques bien que cela puisse être réellement utile. Les utilisateurs ne savent que très rarement reconnaitre les pièges des hackeurs, installent trop souvent des applications à risque ou encore posent leur téléphone sur la table pendant un déjeuner. Toutes ces actions peuvent mettre la sécurité de l’appareil à risque. Les utilisateurs cliquent sans réfléchir sur des liens, ou acceptent des messages d’avertissement sans les lire ni les comprendre.

 

4. L’utilisation des outils de sécurité

Bien que tous ces conseils soient essentiels pour protéger votre smartphone, ce n’est pas toujours suffisant. Comme nous l’avons vu avec le VAULT7, le CIA est capable de hacker des appareils qui était à jour, bien configurés et utilisés correctement. C’est là que des outils de sécurité supplémentaires viennent aider.

ZENData a des partenariats stratégiques avec des sociétés permettant de protéger des smartphones contre des attaques avancées. Ceux-ci permettent de détecter les comportements inhabituels des applications ou du système afin de les bloquer et ainsi de vous protéger. Ainsi, même avant la découverte des vulnérabilités tel que StageFright (Android) et Pegasus (iOS) les appareils avec les solutions déployées par ZENData ne sont pas vulnérables.

 

Nous fournissons des services de formation et de sensibilisation pour les utilisateurs, nous configurons les appareils avec les meilleures pratiques et fournissons des solutions de sécurité afin de vous protéger contre vos cyber-menace. ZENData vous permet d’utiliser votre Smartphone en sécurité, n’hésitez donc pas à nous contacter en cas de besoins.

Tweets de ZENData

RT @dlitchfield: Oracle are fixing 302 vulnerabilities tomorrow, many with a CVSS score of 10 or 9.8... Order you coffee and pizzas now. ht…
RT @MikaelThalen: Kanye West's iPhone passcode: 0-0-0-0-0-0 https://t.co/D7Gfkc9U9I
RT @EFF: BREAKING: #NetNeutrality is now law in California. https://t.co/yF5L33UXPF
RT @TheHackersNews: Google security researcher discloses details and PoC exploit for a new #Linux Kernel vulnerability (CVE-2018-17182) ht…
RT @SparkZheng: iOS 12 Jailbreak on iPhone XS by @PanguTeam ! Bypass PAC mitigation on the new A12 chip. That's amazing!!!👏👏👏 https://t.co/

Nous animons aussi le blog de cyber-sécurité du magazine Bilan. Retrouvez nos articles sur leur site: www.bilan.ch/steven-meyer

Contact

ZENData - Cyber-sécurité

Informations

Contactez-nous pour une analyse gratuite de vos besoins en sécurité ou pour des renseignements sur nos services, solutions et produits.

ZENData Sarl

Téléphone: +4122 588 65 90

Email:

Adresse: 114 rue du Rhône, 1204 Genève, Suisse


LinkedIn: linkedin.com/company/zendata

Twitter: twitter.com/ZenDataSec

Facebook: facebook.com/zendataSec

Google+: plus.google.com/+ZendataCh

Contactez-nous

8+12=

Souhaitez-vous vous inscrire à notre newsletter mensuelle ?

Vous y trouverez nos articles, l’actualité, des conseils et des informations importantes liées à la cyber-sécurité.