La sécurité sur smartphone : les éléments de base
*Ceci est un texte basé sur la présentation qui a été faite à la NdH2k12. Il est en format Wiki.*
Il a été démontré qu’un certain nombre de vulnérabilités existaient sur les smatphones et que les attaques dont pouvaient être victime un ordinateur, étaient adaptables aux téléphones portables intelligents. A partir de là, comment se protéger ?
La chose la plus basique à faire est d’installer un anti-virus. La plupart des éditeurs d’anti-virus ont créé des applications mobiles, il ne vous reste plus qu’à choisir celle qui vous convient le mieux. Il est à noter que cette démarche n’est pas nécessaire sur BlackBerry car un anti-virus est déjà installé sur certains modèles.
L’autre réflexe de base consiste à paramétrer correctement les options de géolocalisation et de messages afin qu’on ne puisse pas vous localiser ni que l’on identifie l’appareil que vous utilisez. De la même manière, éteindre le WiFi et le Bluetooth lorsque l’on ne s’en sert pas est utile pour économiser la batterie et éviter la fuite d’informations personnelles.
Lorsque vous prenez une photo, avant de la propulser sur les réseaux sociaux, utilisez une application d’anonymisation des métadonnées, sur Android, il y a Obscura Cam qui le fait apparemment.
Autre point qui peut aider à être anonyme : le chiffrement de SMS. Ce n’est pas très récent puisque la première application qui le fait est sortie en août 2010 et s’appelle Crypt Your Life. Vous pouvez aussi utiliser Signal.
D’après les éditeurs, l’application sera prochainement disponible pour l’iPhone et les Windows Mobile. Concernant le chiffrement de SMS sur l’iPhone, cela se fait également, notamment avec BlackSMS mais les retours utilisateurs ne sont pas très positifs. Sur BlackBerry, si on possède une solution de type BlackBerry Entreprise, ce n’est pas utile car il y aurait déjà un système de chiffrement de SMS.
Pour la navigation sur smartphone, il y a deux choses intéressantes à avoir : Tor et un VPN. Tor a créé une application pour Android que l’on trouve sur la page officiel et qui permet d’envoyer anonymement des paquets TCP. Une fois installée, l’application vous montrera Orbot et les effets seront les mêmes que sur une machine, à savoir une navigation sans être observé ni filtré par un opérateur. Elle est encore au stade expérimental sur Nokia.
De façon plus prosaïque, de la même manière que l’on doit privilégier le https lorsque l’on utilise Internet sur un ordinateur, cette habitude est également valable sur les smartphones.
La seconde option intéressante est le VPN mobile. On va connecter son smartphone à un tunnel, comme sur une machine, ce qui fait que les données reçues et envoyées ne pourront pas être captées. Au niveau des offres, tout dépendra du matériel et de l’opérateur. Dans les entreprises consciencieuses, ce type de solutions existe déjà, notamment sur BlackBerry pour éviter la fuite de documents. Il est à noter pour les détenteurs de certains BlackBerry qu’une configuration de VPN mobile est déjà possible.
Enfin, sur la question des applications, les réflexes à avoir sont les suivants :
· Ne téléchargez que des applications via les Markets officiels ;
· Si vous téléchargez des applications en dehors des Markets officiels, vérifiez la réputation des éditeurs, les notes attribuées, les retours des utilisateurs. Plus simplement, cherchez dans un moteur quelconque « Application Truc malware ? », cela vous permettra de savoir s’il y a eu des incidents malheureux.
· Si vous tombez sur deux applications très semblables, proposant des fonctionnalités très similaires, au design très ressemblant, vous pouvez présumer qu’il y a eu plagiat. Préférez l’application du Market officiel même si elle est payante. Ce qui est gratuit peut parfois coûter très cher. On peut repérer les applications plagiées en comparant les droits d’accès demandés. Celles qui demandent le plus de droits d’accès à votre téléphone sont généralement les applications malveillantes.
· Lorsque vous installez une application, vérifiez les accès demandés par l’application. Si vous téléchargez un jeu, il n’est pas nécessaire qu’il ait accès à votre carnet de contact, au WiFi ou à vos paramètres de géolocalisation.
· Enfin, si vous avez un smartphone d’entreprise, vérifiez auprès de votre DSI ainsi que dans votre contrat de travail les droits dont vous disposez concernant les applications. Si vous téléchargez une application qui met en danger la confidentialité de certaines données de l’entreprise, votre employeur peut se retourner contre vous.
Ceci clôt la présentation qui a été fait à la Nuit Du Hack 2012. Je tiens à remercier les organisateurs et le staff pour le travail qu’ils ont fait sur cet évènement, leur gentillesse et leur patience. Un grand merci aussi à tous ceux qui sont venus me voir après la présentation, à ceux qui l’ont livetweeté, à ceux qui ont partagé les articles relatifs à ce thème. Plus banalement, merci à mes lecteurs de me lire.