Vie privée numérique: le smartphone est une vraie passoire

Chaque appli est une occasion d’en savoir davantage sur vous.
2 images
Chaque appli est une occasion d’en savoir davantage sur vous. - © TIMOTHY A. CLARY - BELGAIMAGE

Selon son avocat, jamais Edward Snowden n’utilise d’iPhone. L’homme le plus haï des services de renseignements US considère le téléphone de Apple comme une passoire en matière de sécurité. Principalement à cause des logiciels embarqués capables de collecter toutes les informations de son propriétaire. S’il semble critiquer l’iPhone, Edward Snowden n’est pas pour autant passé au smartphone Android. Il se contente actuellement d’un simple GSM. Edward Snowden est-il devenu parano ou a-t-il simplement tiré les leçons de son expérience passée au sein de la NSA? Dans des métiers sensibles, de nombreux professionnels ont également fait ce chemin inverse : passer du smartphone au GSM de papa.

Tout le monde ne partage pas l’avis d’Edward Snowden. Ainsi, le FBI s’est récemment inquiété du nouveau système de chiffrement (cryptage) rendu possible par l’iOS 8 de Apple. Son efficacité réputée redoutable a même soulevé des craintes au sein de la Commission (française) de la Défense nationale et des forces armées. Pour certains membres UMP de la commission, la protection des données des utilisateurs freinerait le travail légitime des enquêteurs. Jusqu’à susciter une question parlementaire à destination du ministre de l’Intérieur Bernard Cazeneuve. Cette question, posée en novembre 2014, évoquait explicitement la "sécurité renforcée des iPhones 6 et 6 Plus".

Des téléphones sécurisés pas si sûrs

Depuis un an, les téléphones à vocation sécuritaire se multiplient. Le Mobile World Congress de 2014 avait révélé de nombreux smartphones "hyper protégés", mais destinés au marché asiatique.

Certains opérateurs européens s’y sont aussi intéressés. Notamment avec le Blackphone, qui promet de protéger nos données contre les hackers et les pouvoirs publics trop curieux.

Ce smartphone basé sur une version "PrivatOS" tirée d’Android se définit comme un terminal hermétique pour tout type de communication, depuis les appels vocaux jusqu’aux messageries texte, en passant par les vidéos ou les échanges de fichiers. Et la navigation se produira de manière anonyme. Avec un inconvénient majeur : toute appli qui accède à vos données, contacts, agenda, GPS, etc. ne pourra être téléchargée, ce qui réduit d’autant l’intérêt du smartphone. Même l’antique Angry Birds sera arrêté à l’entrée.

"Silent Circle ne détient pas les clés de chiffrement, et ne peut donc pas les livrer aux gouvernements", avait déclaré Phil Zimmerman, l’un des fondateurs de l’entreprise qui produit le Blackphone. Les opérateurs et fournisseurs d’applis ne peuvent pas non plus passer l’obstacle. Avec des limites, puisque Phil Zimmerman avait reconnu lors du lancement de son téléphone privé que nul ne peut prétendre pouvoir empêcher un organisme comme la NSA de pirater un mobile, quel qu’il soit.

Même ce Blackphone, né de la collaboration entre un spécialiste du chiffrement (Silent Circle) et un constructeur (Geeksphone) a déjà montré ses limites. Quelques semaines après la sortie du téléphone noir, un hacker a profité de la publicité offerte par la conférence Def Con pour s’introduire dans les données du Blackphone en quelques minutes.

Aujourd'hui, ce Blackphone est vendu en Belgique, mais pas par les opérateurs. Il n’est d’ailleurs pas le seul téléphone crypté. CEGEM fait de même.

Une autre alternative est celle proposée par BlackBerry dont les données sont stockées sur un serveur distant. Ce qui lui a valu les foudres de plusieurs pays qui exigent que ce serveur leur soit accessible.

Et bien sûr, il y a les logiciels de chiffrage publiés par des développeurs de logiciels (Silent Circle), ou des constructeurs (le système de sécurisation Knox de Samsung).

Chez Base, on reconnaît l’existence de téléphones et de logiciels sécurisés sur le marché, mais c’est en vain que l’on chercherait de tels produits dans son catalogue. Une protection qui, selon Luc Windmolders "ne serait d’ailleurs pas nécessaire". Ces solutions ne sont pas non plus disponibles chez Proximus.

Éviter les opérateurs du net pour se cacher

Si les opérateurs télécom sont tenus de conserver, voire de fournir aux autorités, des informations sur les communications de leurs abonnés, ce n’est pas le cas des entreprises internationales qui proposent des services concurrents sur le net. Ces service qualifiés de "over the top" sont proposés par Skype, Viber Snapchat, Google, ou Whatsap qui cryptent (chiffrent) leur trafic IP.

Les pouvoir publics qui le désirent ne peuvent déchiffrer une communication - Skype par exemple - que s’ils reçoivent cette clé de l’entreprise concernée. Ce qui n’est pas le cas pour l’instant.

Un opérateur évoque le cas d’une commission rogatoire qui a dû se rendre 15 jours au Canada pour obtenir la clé de chiffrage d’un abonné Blackberry. Situés à l’étranger, ces opérateurs du web  n’ont aucune obligation à l'égard des pays européens, ce dont profitent tous ceux qui désirent communiquer sans être pistés.

Face à cette situation, l’association des opérateurs traditionnels fait du lobbying auprès des autorités européennes pour créer un cadre réglementaire commun à tous les opérateurs, même s’ils opèrent sur le Web.

Certains OS plus passoires que d’autres

Si Edward Snowden n’aime guère les iPhone, il devrait craindre encore davantage Android. Parce qu’ils sont des systèmes fermés, Blackberry et iPhone disposent d’écosystèmes mieux protégés, avec un seul et unique magasin en ligne et un système de contrôle des applications plus strict. Windows Phone consacrerait également plus d’attention au contrôle des nouvelles applis.

Android jouit d’une tout autre réputation, même si la situation semble s’améliorer depuis la sortie de la version 4 du système d’exploitation de Google. Proximus commercialise depuis juillet dernier une suite antivirus mobile rappelant celle utilisée pour protéger les PC : "Nous expliquons aux clients qu’un smartphone subit les mêmes attaques qu’un ordinateur", explique un responsable Proximus des logiciels Norton.

La voix mieux protégée que les données

Chez Base, Luc Windmolders assure que les conversations vocales sont mieux protégées grâce à la carte SIM : "Tout ce qui est vocal est crypté. Le danger s’accroît dès que l’on quitte l’univers fermé de l’opérateur en passant par des réseaux Wi-Fi".

Le principal danger : les applis

S’il est un danger contre lequel un antivirus mobile peut difficilement lutter, c’est le téléchargement d’applis. Aussi protégée qu’elle soit, la plate-forme utilisée n’arrêtera pas les applications acceptées par l’utilisateur. Or, pratiquement toutes ces applications gratuites demandent l’accès aux contacts à nos comptes sociaux, voire à la géolocalisation de l’utilisateur. Sans cette autorisation, l’installation en est impossible.

C’est pourquoi certains antivirus permettent désormais d’indiquer, avant l’installation, le risque lié à une appli. Et notamment si les informations auxquelles elle accède se justifient. On comprend mal pourquoi une application "lampe de poche" demande à pouvoir accéder à un carnet d’adresses.

Les données conservées par les opérateurs

L’arrêté royal sur l’accès aux données par les opérateurs leur impose de conserver les données des clients durant 12 mois. Elles doivent permettre de savoir qui appelle et envoie des SMS à qui, pendant combien de temps et avec quel type d’appareil. En revanche, le contenu des conversations et des messages n’est pas conservé. Ces données ne peuvent être demandées que par la Justice, la Défense/Sécurité et le service médiation.

Les noms, adresses, adresses IP, dates de naissance, recharges et informations de paiement peuvent être fournies sur demande des autorités compétentes. Le plus souvent un juge d’instruction. Cet arrêté royal n’a rien à voir avec les écoutes téléphoniques, précise Haroun Fenaux : "Les écoutes ne se font pas chez les opérateurs qui mettent simplement le système de la police en connexion. Les écoutes sont faites par des policiers assermentés depuis leurs propres bureaux".

J-Cl Verset

Et aussi

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK