Votre smartphone est-il un danger pour votre sécurité ?

On entend partout parler du danger des smartphones. Une synthèse peut parfois faciliter la compréhension des risques réels encourus.

Que voient nos applications mobiles ?

Selon le système d’exploitation utilisé (iOS pour Apple, Android pour Google et Windows Phone pour Microsoft), le niveau d’accès est variable.

Avant l’installation

Quand un développeur conçoit une application, en particulier chez Apple et chez Microsoft qui sont très regardants, de nombreux contrôles sur l’accès aux données sont réalisés de manière automatique. S’en suit une phase de validation « humaine » assurant que l’application remplit bien son rôle.

Par exemple, une application de Sudoku n’a pas lieu d’avoir accès aux contacts de votre smartphone. Si c’est le cas, l’application ne sera jamais accessible sur le store et vous ne pourrez pas la télécharger.

Ce premier niveau de sécurité est globalement fiable. Rares sont ceux qui passent au travers des mailles du filet. Du moins chez Apple et Microsoft, Google faisant les éventuels contrôles après diffusion de l’application.

Au moment de l’installation

L’âge de l’utilisateur est contrôlé par rapport au contenu et au niveau de sécurité. Par exemple, sur iOS, l’accès aux photos et à la localisation est limité, si ce n’est bloqué pour les plus jeunes.

Egalement, avant d’installer l’application, un message confirme les données auxquelles peut accéder l’application. C’est ce que font Android et Windows.

Au premier lancement

Lors du premier accès aux données, iOS et Windows demandent une autorisation. Dans certains cas, Android le fait également.

Les applications s’exécutent dans un cadre plus ou moins limité selon le système d’exploitation.

À l’usage

À tout moment, on peut aller dans les réglages et changer le niveau d’accès aux données autorisé aux applications.

Par exemple, si je ne veux plus que Drivy me localise ou si je ne veux plus que Twitter accède à mes photos, je décoche la case dans les réglages. Vous pouvez tester : l’effet est immédiat.

En cas de danger

Parfois, des applications passent au travers de mailles du filet. Que ce soit volontaire ou non.

En général, sur des plateformes comme iOS ou Windows, l’accès aux données reste limité à ce que permet l’application. Android ouvre plus de portes de par la nature de son système.

Récemment, malgré toutes ces procédures, Apple a fait les frais d’un manque de sécurité sur la diffusion de son outil de développement. En gros, en Chine, l’accès au téléchargement de XCode est lent. Du coup, les développeurs ont accès à l’outil de manière non officielle. Une version « malicieuse » de XCode a été diffusée. Cette version ajoutait au sein des applications du code qui permettait d’accéder aux données issues des applications. Et d’en faire ce que l’on veut. (récupérer des adresses emails et téléphone)

Le problème a été résolu ainsi :

  • détection et suppression des applications concernées sur le store
  • désinstallation à distance des applications sur les smartphones
  • information sur le processus de validation des versions de XCode auprès des développeurs
  • mise à jour du système d’exploitation.

L’important n’est pas seulement le risque, c’est aussi la capacité à réagir rapidement face au risque.

En synthèse

Dès lors que l’on prend 10 secondes pour lire l’information donnée au moment de l’installation d’une application, il n’y a généralement pas beaucoup de danger. D’autant que l’accès aux données des applications est bien cloisonné, en particulier chez Apple et Microsoft.

Bien protéger ses données

Android, iOS et Windows Phone ont tous des mécanismes de protection, plus ou moins poussé. La NSA s’est récemment plein de ne pas pouvoir accéder aux données des iPhone, même en leur possession : c’est dire.

Conseil n°1 : bien protéger l’accès aux données

Utilisez un code ou un mot de passe fiable. Par défaut, un certain effort est fait pour protéger vos données.

Utilisez l’identification à 2 facteurs, disponible pour chacun des 3 systèmes d’exploitation principaux.

Cela permet déjà d’éviter d’avoir une porte ouverte à vos données.

Conseil n°2 : anticiper le pire scenario

Apple (et probablement les autres) propose de localiser l’iPhone à la demande (option « Localiser mon iPhone ») ce qui permet :

  • de le retrouver en cas de perte ou vol, grâce au GPS
  • de le faire sonner ou y afficher un message
  • de l’effacer à distance et le rendre inutilisable par quelqu’un d’autre que vous.

Utilisez ces mécanismes de protection : vos données seront à l’abri.

Conseil n°3 : effectuer des mises à jour régulières

Lorsque cela est possible, effectuez les mises à jour régulièrement. Celles-ci corrigent les failles de sécurité.

Si iOS et Windows sont de bons élèves à ce niveau-là : un iPhone sorti en 2011 aura pour sûr toutes les mises à jour au moins jusqu’en mi-2016. Ca s’installe facilement. Idem pour Windows : à partir de Windows Phone 8, c’est vraiment fiable.

Pour Android, c’est un peu différent. Google fait bien son job : les mises à jour sortent régulièrement. Si vous possédez un Nexus par exemple, pas de soucis.

Par contre, et c’est malheureusement la majorité des cas, les constructeurs ne jouent pas forcément le jeu. En particulier pour les appareils low-cost, question de gestion des coûts. Certains appareils peuvent apparaître sur le marché avec des versions du système Android déjà obsolètes. Et, généralement, le suivi des mises à jour dure 1 à 2 ans maximum.

Mais, si vous utilisez des appareils Nexus ou tout appareil vendu par Google, aucun soucis. Renseignez-vous sur les forums pour connaître la fréquence des mises à jour.

Les risques liés aux failles de sécurité

Certaines failles ont un impact mineur. Cela peut être une détection non voulue de votre localisation ou bien la provocation d’un plantage à distance (réception  et ouverture de SMS), une faille subit par Apple récemment.

Certaines failles sont plus gênantes. Comme celle récemment découverte sur Android, qui permet (sur n’importe quelle version) d’ouvrir un accès à distance à vos données. En passant outre les différentes protections (« open bar ») et, cerise sur le gâteau, par le simple envoi d’un MMS que vous n’aurez même pas ouvert. Il s’agit de la fameuse faille Stagefright qui s’est récemment déclinée dans une version 2.0 offrant encore plus de possibilités de diffusion.

C’est gênant à 3 niveaux :

  • toutes les versions d’Android sont concernées
  • ce type de faille permet l’accès à toutes vos données tout en étant indétectable
  • les correctifs n’arrivent pas (depuis cet été) et ne sont pas prêts d’arriver sur les appareils contrôlés par les constructeurs.

Après, chacun fait ce qu’il veut. Mais c’est toujours mieux d’être informé.

Conseil

Si vous souhaitez un appareil fiable, que vous aimez bien Apple et que vous avez le budget, optez pour iOS. Vos données seront à l’abri. Le système est fiable et reconnu pour ça.

Si vous êtes allergique à la pomme et/ou que votre budget est limité (on trouve des Windows Phone à moins de 100 €), optez plutôt pour un Windows Phone. La diffusion du système et l’ensemble de son éco-système est bien maîtrisé, tout en offrant l’attrait d’un système complet, notamment avec l’arrivée de Windows 10 qui sera une mise à jour gratuite.

Si vous n’aimez ni Apple, ni Microsoft et que vous voulez absolument du Android, prenez au moins soin de prendre un appareil qui sera régulièrement mis à jour. Ça limite les risques.

Et la confidentialité ?

Apple et Microsoft sont très méfiants à cet égard, voire « pénibles ». Google est un peu plus laxiste du fait de sa politique de validation, tout en prenant malgré tout soin de l’anonymat des utilisateurs.

Chaque système propose un identifiant publicitaire (que vous pouvez régulièrement réinitialiser) qui permet juste de détecter les habitudes de consommation et autres. A l’instar de ce qui se pratique sur le web.

L’important est de savoir que l’on reste anonyme.

Que Google, Apple ou qui que ce soit sache que je suis a priori un homme, qui aurait une trentaine d’année, probablement résident à Niort, qui aime le cinéma, les séries, l’histoire, l’entrepreneuriat etc… je m’en fiche. Du moment qu’on vient pas lire le contenu de mes emails et SMS.

Et, globalement, le secret est bien tenu. (cf. l’anecdote entre Apple et la NSA)

L’objectif de ces entreprises est de gagner plein d’argent avec la pub, pour vous vendre des voitures, des assurances, des tablettes. Pas de vous espionner. Quelle est l’intérêt de votre vie pour ces personnes ? Aucun. Ils veulent juste vous vendre des choses. Comme toute entreprise.

Une réflexion au sujet de « Votre smartphone est-il un danger pour votre sécurité ? »

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s