Il est possible d’envahir un téléphone portable d’une manière différente, selon que vous êtes (ou non) prudent avec votre appareil. Nous énumérons ici cinq méthodes d’invasion d’un appareil mobile, certaines plus populaires que d’autres, et expliquons ce qu’il faut faire pour ne pas se faire voler des données ? selon les conseils des experts.
Sommaire
Comment est-il possible de s’introduire dans un téléphone portable ?
Il existe plusieurs façons d’envahir un téléphone portable, qui varient selon le degré de sécurité de l’appareil et les habitudes de son utilisateur. Examinons les principales ci-dessous :
1. Accès physique direct
Il s’agit de la méthode d’attaque la plus simple, la plus garantie de mener à des résultats catastrophiques et, ironiquement, l’une des plus courantes. Cela dépend de la négligence totale de l’utilisateur, lorsqu’il laisse le téléphone déverrouillé ou sans aucun type de verrouillage de sécurité (mot de passe, code PIN, biométrie, etc.), permettant à quiconque prend l’appareil d’accéder à ce qu’il veut.
Outre l’accès direct, il existe les attaques “Evil Maid”, dans lesquelles le pirate accède à l’appareil, installe un logiciel malveillant et attend que l’utilisateur l’utilise à nouveau pour recueillir des mots de passe, des adresses et d’autres données que le propriétaire de l’appareil utilise pour informer la navigation. En général, l’accès physique est un “Game Over”.
2. Exploitation des vulnérabilités critiques
Souvent, les applications et les systèmes d’exploitation présentent des défaillances de code qui, si elles sont exploitées par des pirates informatiques, peuvent permettre l’accès à des données sensibles de leurs utilisateurs. Récemment, WhatsApp a introduit un de ces types, impliquant des appels auxquels l’utilisateur n’a même pas besoin de répondre, présent à la fois dans iOS (iPhone) et Android.
Les défaillances inconnues du grand public, appelées 0-Day, sont généralement visées. Mais, en général, elles sont plus rares en fonction de la complexité de la méthode, car elles requièrent du pirate des connaissances approfondies en matière de sécurité de l’information.
3. Oui Swap (clonage de puces SIM)
Il s’agit d’un coup controversé et inhabituel, car il consiste en une attaque où un employé d’un opérateur agit comme complice du pirate. Ici, le numéro de téléphone portable de la victime est reproduit (clonage de la carte SIM) sur une deuxième puce SIM. Cela permet à l’attaquant d’accéder à des applications authentifiées par un numéro, telles que WhatsApp ou Telegram.
Bien que cette attaque soit largement appliquée en France, elle est facile à détecter car une fois que le pirate active l’application sur son appareil avec la puce clonée, elle cesse de fonctionner sur l’application de la victime ; il peut donc agir pour bloquer l’accès et empêcher le vol de données.
4. Ingénierie sociale
C’est de loin la méthode la plus utilisée pour le vol de données mobiles, car le pirate abuse de la naïveté de l’utilisateur. Par des SMS, des appels ou d’autres moyens, le criminel tente de convaincre la victime que quelque chose ne va pas de son côté.
Ensuite, elle encourage la victime à fournir des données critiques telles que le code de récupération des applications de messagerie, et d’autres choses, qui lui permettent de voler non pas la carte SIM, comme dans l’exemple ci-dessus, mais ses comptes personnels dans des applications telles que les messagers.
L’une des dernières escroqueries d’ingénierie sociale vise les vendeurs sur les sites OLX, ZAP et Free Market qui perdent l’accès à leur compte WhatsApp lorsqu’ils tombent.
5. Attaque via le protocole SS7
Le protocole SS7 est une vieille préoccupation car il est ancien et sujet à des vulnérabilités ; il a été utilisé par des agences d’espionnage dans le passé et c’est même par son intermédiaire que le téléphone portable de l’ancienne présidente Dilma Roussef a été attaqué par des agences de sécurité pour avoir insisté sur le fait de ne pas utiliser de dispositifs cryptés (Michel Temer et Emmanuel Macron ont tous deux insisté sur cette erreur). D’autre part, les ministres Rosa Weber et Edson Fachin ont déjà évoqué la possibilité de l’utiliser pour casser le cryptage de WhatsApp.
En dehors des autorités, l’échec du protocole SS7 est largement exploité dans la fraude bancaire en Europe pour nettoyer les comptes des utilisateurs ; ainsi que la seconde méthode qui est assez complexe, nécessite des connaissances de haut niveau et n’est pas aussi populaire en France.
En plus de permettre l’accès à l’appareil mobile, il permet également d’intercepter des messages dans les applications de messagerie instantanée et de SMS. Il existe 2016 vidéos montrant de manière conceptuelle l’utilisation de cette technique pour pirater WhatsApp et o Telegram. Il est important que les gens soient conscients de cette vulnérabilité afin qu’ils comprennent le véritable défi que représente la sécurisation des communications”, a déclaré Fábio Assolini de Kaspersky.
Comment protéger votre téléphone contre les invasions
L’utilisation d’applications de messagerie sécurisée, telles que Signal, ou l’activation d’une authentification en deux étapes pour empêcher le vol de compte sont des étapes essentielles. Il est également important de permettre le blocage de l’écran en combinant un mot de passe ou un code PIN avec une méthode de lecture biométrique, telle que la reconnaissance des empreintes digitales ou du visage, lorsqu’elle est disponible.
Cependant, le conseil le plus important reste le même : Ne soyez pas trop tendre avec moi.
