Sécurité des Smartphones

INFORMATIQUE

Dans ce premier article consacré à la sécurité informatique, je traiterai des smartphones, qui font désormais partie de notre quotidien.  Ils sont nos indispensables compagnons, nous tiennent lieu de secrétaire, et parfois, de confident.  Mais qu'en est-il de leur sécurité ?

En résumant de manière légèrement caricaturale, on peut dire que les smartphones sont des passoires, en termes de sécurité.   A tous les niveaux.

Et ce n'est pas un accident.   Tout est fait pour qu'il en soit ainsi depuis la conception des appareils jusqu'au logiciels en passant par les réseaux et les protocoles utilisés.  Tout simplement parce que c'est très pratique pour espionner l'ensemble de la population à moindre frais. 

Eh oui, jusqu'au début des années '90, espionner toutes les communications téléphoniques aurait été impossible, en termes de moyens techniques à mettre en oeuvre, et faute de budgets suffisants.

L'ère du numérique a radicalement changé la donne.  Aujourd'hui, stocker des conversations téléphoniques en format numérique est devenu un jeu d'enfant, les périphériques de stockage ne coûtent quasiment plus rien, et il suffit à la NSA par exemple de se connecter à quelques dorsales (backbones) pour être à même d'intercepter toutes les communications passant par Internet.

Pareil pour les communications GSM qui passent toutes via le réseau SS7.  Il va sans dire qu'il existe des passerelles entre internet et les réseaux SS7 utilisés par les fournisseurs de téléphonie. 

Quand elles n'ont pas accès directement à un réseau, ces barbouzes utilisent les bonnes vieilles méthodes consistant à infiltrer les centres névralgiques afin d'y installer l'une ou l'autre bretelle.

Cette centralisation des communications mondiales via un tout petit nombre de réseaux s'est avéré une aubaine pour les agences de renseignement de tous les pays, à commencer par les USA.  Il n'aura pas fallu attendre les révélations d'Edward Snowden pour le réaliser.  Des informations circulaient déjà largement sur le net, concernant un vaste programme d'écoutes appelé Echelon.

Les révélations de Snowden n'auront fait que nous montrer l'ampleur insoupçonnée de ces pratiques.

Les différents aspects de la sécurité, s'agissant des smartphones

  1. Localisation géographique précise du propriétaire.  Le GSM est un mouchard.
  2. Interception des messages instantanés (SMS) et des communications vocales
  3. Niveau hardware (matériel), système d'exploitation (OS) et gestionnaires des périphériques (drivers)
  4. Niveau applicatif.  Programmes vérolés et programmes se parant des vertus de la sécurisation y compris les logiciels de VoIP .

Comme vous le voyez, la sécurité recouvre des aspects multiples et variés, ce qui est assez logique si l'on se souvient que le smartphone est tout à la fois un ordinateur et un téléphone.

1. Localisation géographique

Votre téléphone, pour rester joignable, doit en permanence évaluer la qualité du réseau et se signaler aux différentes antennes (relais GSM) présentes sur le territoire.  Si vous vous déplacez, lorsque vous quitterez la zone de réception optimale d'une antenne, vous serez pris en charge par une autre, jugée plus proche.  So far, so good.

Mais il y a un os dans le pâté.  Ces données de roaming sont liées à la carte SIM et sont conservées par les opérateurs ainsi que la loi les y oblige.  Je pense qu'en fonction des législations nationales cela peut aller de quelques mois à quelques années, mais il vaut mieux considérer pour toute sécurité qu'ils possèdent potentiellement les informations relatives à tous vos déplacements.

Et de même que le chien des Baskerville s'était justement signalé pour ne pas avoir aboyé la nuit du crime, les absences de déplacement peuvent également être significatives.  Ainsi que les corrélations.

Prenons un exemple : imaginons un suspect quelconque, que nous nommerons Paul Bismuth  Evidemment il s'agit d'un faux nom puisque l'intéressé avait été mis au parfum par des connaissances travaillant aux RG qu'il était placé sur écoute en raison de l'intérêt que lui portait un certain juge... Qui enquêtait sur une des nombreuses malversations supposées de l'intéressé (qui dans une autre vie était un politicien important).

Or donc, Paul B. se fit acheter un second GSM par les bon soins d'un ami (soit son avocat, un ami vraiment très cher et si précieux en ces temps d'injuste acharnement judiciaire). 

Sous son nom d'emprunt, bien entendu.  Ni vu ni connu.  Du moins le croyait-il.

Et donc, chaque fois que Nicolas Paul voulait tenir une conversation disons sensible avec l'un ou l'autre de ses complices amis, il usait précisément de ce téléphone anonymisé.

Mais voilà, les enquêteurs, quand il se rendirent compte que l'intéressé ne tenait plus que des conversations anodines avec ses correspondants, soupçonnèrent celui-ci d'utiliser un second GSM.  Les finauds !

Pour le retrouver ?  Rien de plus facile, il suffit de rechercher dans les bases de données toutes les corrélations avec le téléphone de Nicolas S.  C'est à dire qu'en examinant les données collectées à des moments différents, quel est le téléphone qui se trouve toujours au même endroit que le téléphone de Nicolas S.  Et là réponse est : celui de Paul B.  

Exercice pratique(1): imaginons que vous faites partie des enquêteurs au moment des tueries de Charlie Hebdo.  On sait précisément où ils ont agi, quand, et par où ils sont partis... Mais on ne sait pas qui ils sont.  Par contre, vous, vous disposez de la liste des clients des RG et d'un libre accès aux applications des providers.  Vous avez dix minutes pour sortir le nom du ou des auteurs.  Accessoirement, à la fin de l'exercice, il serait peut-être judicieux d'inventer une histoire rocambolesque pour ne pas avoir à décrire la méthode utilisée et ainsi compromettre ultérieurement vos chances d'attraper un autre idiot. 

Et comme vous n'avez pas trop d'imagination, que vous êtes crevé et que vous rêvez de votre lit comme un chien rêve à un os, vous allez sortir la première histoire qui vous passe par la tête, même la plus improbable.  Saïd Kouachi a perdu sa carte d'identité dans le véhicule qu'il a abandonné.  Mission Accomplie !

(1) Ce qui est présenté ici est une hypothèse personnelle... légèrement plus crédible que la version officielle.

2. Interception des messages instantanés (SMS),  des communications vocales et géolocalisation

Les communications peuvent être compromises de trois manières distinctes :

1) Failles dans le protocole SS7

Le protocole SS7 est très vaste, et n'a pas été pensé comme un protocole sécurisé.  De nombreuses failles ont été découvertes, notamment par une équipe de chercheurs allemands qui permettent en pratique à un attaquant  :

  • d'intercepter les sms
  • de géolocaliser un mobile
  • d'intercepter les communications

Le tout en disposant d'un équipement largement disponible sur le marché, coûtant moins de 400 dollars.  Depuis l'affaire Snowden, on sait que la NSA,  exploite massivement ces failles.  Ce qui n'exclut pas que d'autres agences de renseignements fassent de même.

2) Interceptions via IMSI Catchers

Ces interceptions, souvent réalisées par des officines étatiques, notamment sur le lieu d'importantes manifestations, permettent à l'attaquant de se faire passer pour un relais légitime du réseau téléphonique, et ce faisant, faire passer toutes les communications par lui.  Bien souvent, il est également configuré pour forcer les appareils qui s'y connectent à utiliser des protocoles d'encryption faibles.

Cela permet de déterminer précisément qui était à la manifestation, mais aussi d'intercepter toutes les communications.

Certains téléphones (pré-smartphones) affichaient un petit avertissement quand une connexion était établie avec un relais utilisant des protocoles non sécurisés : bizarrement, on ne retrouve cette fonctionnalité dans aucun téléphone récent.

Il existe sous android des applications qui permettent d'avertir l'utilisateur des possibles interceptions par IMSI catcher, telles SnoopSnitch et AIMSICD (que j'avais testé.  et trouvé peu convaincant).  A noter que ces applications ne fonctionnent qu'avec certains chipsets, ne supportent pas les Roms customisées et demandent les droits root.

Accessoirement cela implique que vous donniez à ces applications les droits que vous ne voudriez pas donner aux IMSI catchers.

3) Interceptions légales via les fournisseurs à la demande des autorités judiciaires

C'est évident, les autorités judiciaires peuvent être amenées à délivrer une commission rogatoire afin d'avoir accès aux données d'un particulier.  C'est la version moderne des écoutes téléphonique, et cela implique l'interception des conversations, la géolocalisation et l'interception des SMS.

Conclusion : au niveau du protocole SS7, soit pour ce qui concerne les communications téléphoniques, les SMS et la géolocalisation, le smartphone est un problème de sécurité plutôt qu'une solution.  Une passoire.

3. Au niveau du matériel, du système d'exploitation et des périphériques

a) Carences

  • Absence de détection automatique de conditions de sécurité faibles (encryption au niveau des antennes-relais).
  • Impossibilité de faire passer le flux "voix" par les entrées-sorties ordinaires de la partie "ordinateur" du smartphone.  Le micro est relié directement au circuit GSM (appelé antenne).  Ceci bride considérablement les possibilités d'implémenter des logiciels d'encryption voix par dessus le réseau GSM ordinaire.

On peut raisonnablement penser que ces carences, résultent avant tout d'une volonté politique.  En effet, implémenter ces mécanismes n'augmenterait pas le prix des GSM de plus de cinq dollars.

b) Implantation de composants espions

Cette méthode, encore largement inconnue du grand public, consiste à produire des puces (généralement des circuits spécialisés comme des microprocesseurs ou microcontrôleurs ASIC) en ajoutant un ou plusieurs modules au schéma bloc (la puce elle-même), qui ne figurent nulle part sur la documentation officielle.

Mieux, ils sont pratiquement indétectables.  Pour les activer, il est nécessaire d'envoyer une certaine combinaison sur le bus, basée sur des clés cryptographiques asymétriques.

Dès qu'ils sont activés, ces circuits qui ont forcément les droits les plus élevés dans le système se transforment en véritable chevaux de Troie, capables d'activer ou désactiver n'importe quelle fonction d'un système informatique. 

Dans le cas d'un smartphone cela pourrait signifier : écoutes, géolocalisation, interception de données confidentielles (même encryptées), activation de la caméra, etc. 

Nul doute que ces techniques seront implémentées massivement dans un avenir plus ou moins proche.  Une fois construits en masses, ces composants ne coûtent pratiquement plus rien et permettraient virtuellement de prendre le contrôle de n'importe quel système informatique.

Le bon côté de la chose, c'est que ce n'est pas à la portée du premier venu.  Le mauvais côté c'est que ça laisse pas mal de monde sur les rangs : Américains, Chinois, Français, Russes, Anglais, ...

Vous souvenez-vous qu'en 2012, à l'issue d'une année d'enquête, une commission du Congrès américain avait conclu que :

Sur la base d'informations classifiées et non classifiées, Huawei et ZTE ne peuvent pas garantir leur indépendance par rapport à l'influence d'un Etat étranger et cela pose donc en conséquence une menace pour la sécurité des Etats-Unis et notre système"

Le rapport mettait en avant que le gouvernement chinois pourrait faire pression sur Huawei et ZTE pour embarquer dans leur matériel des chevaux de Troie, mettant ainsi en péril la sécurité nationale américaine.  Lorsqu'on sait que Huawei, pour sa part, détient 30% de la totalité des équipements de relais GSM, on comprend qu'il y a matière à se poser la question.

Et à l'inverse également, on peut penser que c'est la poule qui a crié qui a pondu l'oeuf, ou si tout simplement les Américains n'étaient pas en train d'imaginer que les Chinois pourraient faire comme eux...

c) Le système d'exploitation et les gestionnaires de périphériques

Si votre téléphone est un Apple (IOS), vous pouvez arrêter tout de suite la lecture de ce chapitre, la sécurité n'est décidément pas pour vous.  Apple Inc est une société de droit américain, par conséquent susceptible de se voir imposer une injonction baillon (gag order).  De plus, et quoi qu'ils en disent (ça s'applique d'ailleurs à pratiquement tous les éditeurs de logiciels) ils se moquent totalement de votre vie privée.  Ils veulent juste donner l'impression qu'ils s'en soucient pour soigner leur image.

Android quant à lui est ouvert et libre de droit.  Il est donc théoriquement possible de l'auditer et de vérifier qu'il ne comprend pas de faille.  Seulement voilà, l'OS qui est sur votre téléphone :

  • est une version compilée par le fabricant pour votre smartphone et vous ne pouvez pas savoir s'il n'a pas été caviardé
  • qui embarque un certain nombre de codes exécutables dits "propriétaires", notamment les gestionnaires de périphériques

Bien sûr, il existe ça et là des versions "sécurisées" d'android, voire même des téléphones spécialement conçus pour être plus sûrs (comme le BlackPhone)... Mais plus sûrs que.. quoi ?  Et surtout, pour se protéger ... de quoi ?

4. Au niveau applicatif

Il ne faut pas se voiler la face, ici non plus la réalité n'est pas rose.  Bon nombre d'applications (gratuites ou pas) disponibles via google play contiennent des malwares.

Et c'est assez compréhensible : que faut-il pour publier via Google ?  Un simple compte, un paiement unique de frais forfaitaires de 25$, et c'est parti.  Inutile de dire que la tentation est grande pour un certain nombre de programmeurs peu scrupuleux de tenter d'arnaquer le chaland.

D'une manière générale, on peut dire qu'Android a un système de permission efficace, même s'il est insuffisant.  Impossible par exemple de restreindre les droits au réseau Wifi ou 3G par application, par exemple.  Pour cela, il faudra rooter le téléphone et installer un firewall tel Android Firewall... Qui n'est pas disponible via Play.

Impossible aussi d'installer un bon bloqueur de pubs (basé sur IPBlocks), tout aussi contraire à la politique de google.

Les applis de communication sécurisées

D'une manière générale, vous risquez de rencontrer parmi celles-ci bon nombre d'applications qui n'ont d'autre but... que de vous dérober vos informations ou qui sont simplement éditées par les agences de renseignement, sous un nom bidon.

Il ne suffit pas de lire le descriptif de l'application.  Encore faut-il que cette application ait été auditée par des gens dans lesquels vous pensez pouvoir mettre votre confiance, et que votre version porte exactement la même signature que la version réputée safe.

Je consacrerai prochainement un article à ces applications supposées renforcer la sécurité de vos communications (notamment via VoIP).

Conclusions

Comme je l'écrivais dans l'introduction, les smartphones sont des passoires à tous points de vue.  Ce sont également des mouchards qui signalent en permanence votre position.  On peut difficilement imaginer pire en termes de protection de la vie privée.

Les sécuriser est parfaitement illusoire et ceux qui prétendent le contraire sont soit idiots soit d'une extrême mauvaise-foi.

Vous vous souvenez des grandes envolées lyriques de James Comey, Directeur du FBI, à propos des fonctionnalités qui permettent désormais d'encrypter un smartphone sous Android, mais aussi sous IOS ? 

Comey cited child-kidnapping and terrorism cases as two examples of situations where quick access by authorities to information on cellphones can save lives. Comey did not cite specific past cases that would have been more difficult for the FBI to investigate under the new policies

Mais ce qu'on oublie de vous dire c'est que d'une manière générale, votre pincode étant limité à 16 caractères sous Android (pour IOS je ne sais pas), et que d'autre part vous devrez taper ce pin à chaque déverrouillage du GSM, les chances sont grandes pour que vous utilisiez un pin bien plus court, qui pourrait être cassé en quelques microsecondes.  Cette technique est appelée bruteforcing.

Il en existe d'autres, telles Cold Boot qui permet de récupérer le pin d'un téléphone encrypté directement dans la mémoire vive du téléphone.

On pourrait aussi parler de remote exploits via USB, avec ou sans le mode débogage activé...

Bref, j'y vois surtout un moyen pour le FBI de pousser un maximum de gens à utiliser des applications de sécurité... qu'ils peuvent facilement circonvenir.

 

Tags: 

Newsletter hebdomadaire

Ils l'ont dit [+]

Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire
Albert Einstein
Vis comme si tu devais mourir demain. Apprends comme si tu devais vivre toujours
Mahatma Gandhi
Dans les temps de tromperie universelle, dire la vérité devient un acte révolutionnaire
George Orwell

Sélection d'Actu