jeudi 9 août 2018

Wifi gratuit, géolocalisation, mouchard... Vous pensez que votre téléphone vous espionne ? C'est pire que ça (france info)

Après les révélations sur les données conservées par Facebook et Google, nous avons demandé à des spécialistes des cyberattaques d'ausculter notre smartphone. 
------------------------------------
Si, comme moi, votre smartphone est vissé à votre main toute la journée, puis glissé dans votre poche, avant de terminer sur votre table de nuit, vous vous êtes forcément posé la question : divulgue-t-il des informations à mon insu ? Si oui, lesquelles ? Et ne serait-il pas un faux-ami, capable de surveiller le moindre de mes faits et gestes et de les diffuser ? Mais à qui ? Après les révélations sur les données collectées et conservées par Facebook et Google, j'ai voulu espionner cet espion présumé.
Pour découvrir ce qui filtre, je me suis tourné vers des spécialistes des cyberattaques, des personnes rompues au piratage et capable d'analyser les données qui pourraient éventuellement filtrer. Rendez-vous est pris, pour moi et mon téléphone, au 26e étage de la tour Franklin à la Défense avec Gérôme Billois, expert au sein du cabinet Wavestone, et Vincent Nguyen, responsable CERT (computer emergency response team), un informaticien chargé d'intervenir en urgence lors d'attaques informatiques et capable de retrouver la trace des assaillants. D'entrée, ils m'expliquent que ce que les utilisateurs ont découvert avec les scandales autour de Facebook et de Google – et que je vais découvrir en testant mes propres applications – n'a rien de surprenant. "Le grand public ouvre simplement les yeux sur les données qu'il communique au quotidien."
En se penchant avec eux sur ce que mon iPhone SE transmet, tous les jours, lorsqu'il est allumé, je ne vais pas être déçu.

Des applications qui ne cessent de transmettre des données

L'expérience commence à l'aide d'un logiciel qui scrute les données que mon téléphone communique. Pour ce faire, Vincent Nguyen le connecte à un logiciel spécialisé qui va détecter toutes les "requêtes" lancées depuis mon mobile. Comprenez des informations envoyées à différents sites. Et là, c'est la stupeur pour l'utilisateur naïf que je suis.
Je commence par l'application Vélizy 2, du nom de ce grand centre commercial de région parisienne où je me rends régulièrement, que j'ai téléchargée en amont pour l'expérience. Une succession d'adresses complexes s'affichent immédiatement sur l'écran des deux experts.
Je reconnais le nom de Facebook et de Google au milieu d'autres adresses beaucoup plus obscures. Il me faut les lumières de mes deux spécialistes pour savoir de quoi il s'agit : des sites de statistiques, de mesure d'audience. Toutes ces adresses débutent pas "https", le "s"" signifiant que le flux est sécurisé. Impossible donc pour nos deux experts de connaître la teneur des informations envoyées, qui sont chiffrées. Mais pour Vincent Nguyen et Gérôme Billois, on peut supposer que ce sont des données de localisations destinées à connaître ma position dans le centre commercial. Objectif : identifier mes habitudes et potentiellement cibler des offres publicitaires. Gérôme Billois rappelle cet adage : "Quand c'est gratuit, c'est vous le produit." Et ce spécialiste de prendre un exemple simple.
Avant, vous achetiez votre GPS 150 euros, avec un abonnement permettant d'actualiser les cartes. Aujourd'hui, ce service est gratuit avec Google Maps ou Maps d'Apple. C'est avec les données que vous leur fournissez sans le savoir que ces deux groupes ont les moyens de développer de tels services.
Gérôme Billois
à franceinfo
Plus surprenant, le constat est le même pour des applications d'informations comme Le Monde et franceinfo. Cette dernière a, en plus, accès à mon appareil photo, car elle permet aux utilisateurs de partager leurs clichés dans le live
Autre exemple avec l'application Facebook. Les informations échangées ne sont pas lisibles car bien protégées. "L'application 'implémente' [installe] un mécanisme de sécurité appelé 'Certificate Pinning' empêchant d'intercepter et de déchiffrer les communications", précise Vincent Nguyen.


Les requêtes lancées lors du lancement de l\'application Facebook. 
Les requêtes lancées lors du lancement de l'application Facebook.  (FRANCEINFO)

Continuons avec une application toute simple : une lampe torche. A peine lancée, elle transmet près d'une vingtaine de requêtes, dont une grande majorité vers des services de publicité et de statistiques. Des flux là aussi chiffrés, sauf un. En fouillant, je découvre que j'ai envoyé à un site dont j'ignore tout des informations sur la version de mon téléphone et de son système d'exploitation. Pourquoi ? "Sans doute pour alimenter des statistiques concernant le parc des appareils des clients de cette application", suppose Gérôme Billois.
Même constat avec l'application Fidal, où sont enregistrées toutes mes cartes de fidélité. En scrutant l'écran, je remarque que certaines adresses se mettent à clignoter. "C'est une nouvelle information qui est transmise", m'explique Vincent Nguyen. Et si je ne ferme pas l'application ? "Elle continue d'envoyer des données ?" Ce spécialiste se souvient d'une autre application lampe torche qui, une fois téléchargée, accédait à des options totalement inutiles pour son fonctionnement.
En demandant accès aux contacts, à l'appareil photo ainsi qu'aux données de localisation, cette application torche devenait un espion en puissance.
Gérôme Billois
franceinfo
Mais on imagine très bien qu'un utilisateur, dans l'urgence de s'éclairer, valide rapidement et sans y prêter trop attention ces autorisations lors de l'installation. Pourtant, c'est le tout premier filtre qui doit vous permettre de vous prémunir de ce type espionnage. Sur Android, l'application Loupapps note celles déjà installées en fonction de leur niveau de sécurité. Pour le reste, à vous de vérifier les applications au cas par cas dans la rubrique Confidentialité de votre téléphone. 



Les deux experts alertent notamment sur l'utilisation du microphone de votre téléphone. "Des études récentes ont montré qu'une intelligence artificielle n'a besoin que de 5 à 10 secondes pour entièrement reconstituer une voix", explique Gérôme Billois. Quel est le risque ? Vincent Nguyen prend l'exemple de "la fraude au président": "En usurpant la voix d'un directeur financier par exemple, une personne malveillante peut réaliser des transactions non désirées ou débloquer des fonds, etc."

Un wifi public qui n'est pas mon ami

Après avoir découvert le nombre d'informations que mon téléphone peut transmettre sans que je m'en rende compte, j'apprends aussi qu'il faut que je prenne garde au réseau sur lequel je me connecte pour les faire circuler. Si, comme moi, vous vous connectez aux bornes de wifi gratuit proposées par des hôtels, des restaurants ou des cafés, vous allez avoir des sueurs froides. Les deux experts me font la démonstration de tout ce que ces bornes peuvent "voir passer" et comment une personne mal intentionnée peut s'en emparer. 
En à peine quelques minutes, Vincent Nguyen crée, à partir de son ordinateur portable, un réseau wifi qu'il baptise du nom d'une célèbre chaîne de cafés internationalement connue. Le voyant apparaît dans la liste des réseaux disponibles, je me connecte, sans mot de passe, à cette fausse borne qui usurpe ce point d'accès identifié. C'est comme si je laissais une porte ouverte sur ma vie privée.
A partir de ce moment-là, celui qui a créé cette borne peut voir passer toutes les données consultées ou saisies par l’utilisateur.
Vincent Nguyen
à franceinfo
Attention, il n'a pas forcément un accès direct au contenu même des échanges, précise Gérôme Billois. "La plupart des informations sensibles sont aujourd’hui chiffrées. Néanmoins, il est parfois possible pour l’attaquant de déchiffrer ces données", ajoute-t-il. 
Par exemple, si je m’authentifie sur Facebook.com dans mon navigateur Safari, et que l'attaquant peut déchiffrer les données qu'il intercepte, alors il verra passer mon login et mon mot de passe. Il peut ensuite se connecter à mon compte et usurper mon identité. Démonstration :


Les données envoyées lors de la consultation de Facebook sur un navigateur mobile sont consultables par la personne qui a créé le faux réseau wifi. 
Les données envoyées lors de la consultation de Facebook sur un navigateur mobile sont consultables par la personne qui a créé le faux réseau wifi.  (FRANCEINFO)



On découvre l\'identifiant et le mot de passe du compte Facebook (caché ici en noir). 
On découvre l'identifiant et le mot de passe du compte Facebook (caché ici en noir).  (FRANCEINFO)

Une fois l'utilisateur connecté, toutes les informations auxquelles il accède peuvent être vues et récupérées par l'attaquant. A gauche, l'écran de contrôle de l'attaquant, et à droite la page consultée par la victime sur mobile : 


A gauche, la fenêtre de contrôle du logiciel espion utilisé par Vincent Nguyen. A droite, la page consultée sur le mobile par la victime. Les données sont accessibles. 
A gauche, la fenêtre de contrôle du logiciel espion utilisé par Vincent Nguyen. A droite, la page consultée sur le mobile par la victime. Les données sont accessibles.  (FRANCEINFO)

Si je m’authentifie sur mon site de banque en ligne, l’attaquant peut voir ma manière de me connecter. "Mais, bien souvent, tempère Vincent Nguyen, il n’est pas en capacité de récupérer le mot de passe en lui-même. Il a toutefois accès aux informations que je consulte : mon solde, mes prêts, mes demandes à mon conseiller, etc." Si pour ces spécialistes ce subterfuge est bien connu, pour un novice de la cybersécurité comme moi, c'est un peu la panique. 
Alors comment faire pour différencier une vraie borne wifi d'une fausse ? Impossible si le nom est le même. "Il faut privilégier les réseau 3G et 4G", martèle Gérôme Billois. Ils sont plus sûrs, plus difficiles à pirater. Et attention, si vous vous êtes déjà connecté au wifi public de cette grande chaîne de café, vous pouvez vous y reconnecter automatiquement dès que vous passez à proximité d'un réseau qui porte le même nom, sans y avoir fait attention. Il faut donc bien penser à régler votre téléphone pour qu'il vous demande de "confirmer l'accès" à chaque fois qu'il détecte un réseau du même nom.



Sans oublier les logiciels espions

Il existe un autre niveau d'espionnage, plus pointu celui-là, mais beaucoup plus intrusif. Vous vous souvenez que vos données peuvent être aspirées en vous connectant à une fausse borne de wifi public ? Imaginez alors que le pirate mette la main sur vos identifiants de connexion à votre compte utilisateur (iCloud pour iOS ou compte Google pour Android), "il a alors lapossibilité d'installer un mouchard sur votre téléphone sans que vous ne le soupçonniez", glisse Vincent Nguyen. 
Ecoute des appels, lecture des messages, géolocalisation, prise de photos à distance, surveillance des applications... Suivant la complexité du mouchard, la liste des données interceptées est longue. La liste des services proposés par Flexispy, un des logiciels en question, fait froid dans le dos.
Des indices doivent vous alerter. Premièrement, si vous avez laissé votre téléphone déverrouillé, vous devez vérifier si des applications inconnues ont été installées. Par exemple Cydia sur iPhone, un Apple Store alternatif, qui permet de télécharger des applications non validées par le constructeur. 
Ensuite, vous devez vérifier si votre téléphone a été "jailbreaké" sur iOS ou "rooté" sur Android, c'est-à-dire si toutes les capacités limitées par le constructeur sont désormais accessibles. Pour ce faire, il faut surveiller la version de votre système d'exploitation. Si celle affichée est dépassée ou inconnue, c'est qu'il y a un loup. Ensuite, des applications existent pour assurer la sécurité de votre mobile, comme System and Security Info. Il surveille et analyse les processus actifs pour vérifier qu’il n’y a rien d’inhabituel. Une fois le logiciel espion repéré, vous pouvez intervenir pour le désinstaller. 






Pour autant, les deux hommes se veulent rassurants. Chaque application proposée sur l'Apple Store ou le Play Store passe par les fourches caudines des deux systèmes d'exploitation et depuis quelques années, la sélection est plus stricte. Jusqu'au prochain Christopher Wylie, le lanceur d'alerte qui a dénoncé le scandale Facebook-Cambridge Analytica ?