Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog

Présentation

  • : CITOYENS ET FRANCAIS
  • CITOYENS ET FRANCAIS
  • : Revue de Presse Internationale : Géopolitique Religions Immigration Société Emploi Economie Géostratégie-INTERNATIONAL PRESS REVIEW ------ ОБЗОР МЕЖДУНАРОДНОЙ ПРЕССЫ
  • Contact

Rechercher

translator


 

En direct Flux de trafic

Flag Counter

mise en ligne le 15/07/2015

 

 

 

29 décembre 2013 7 29 /12 /décembre /2013 01:12

Qui aurait cru, en 1984, que Steve Jobs serait devenu un Big Brother, et que ses clients seraient devenus des zombies ?  

Vous utilisez un iPhone, un téléphone Android, ou Windows Phone ? Vous êtes donc « en état d’interception : toutes vos télécommunications pourront être retenues contre vous« … pour paraphraser la célèbre expression policière.

 

 

Au-délà des écoutes téléphoniques classiques, qui ont tendance à proliférer (voir Une juge a fait écouter un journaliste du « Monde »), ce qui intéresse ces « grandes oreilles« , ce sont les méta-données : qui communique avec qui, quand, d’où… Imaginez, par exemple, que l’on apprenne que François Hollande a passé un coup de fil à quelqu’un en Syrie.

 

La semaine passée, je publiais ainsi sur Rue89 la carte des pays visités par 19 marchands d’armes de surveillance numérique, dont les téléphones portables avaient opportunément été pistés par l’unité de contre-espionnage de WikiLeaks. On ne sait pas ce qu’ils faisaient dans ces pays -peu regardants pour ce qui est des droits de l’homme-, mais le simple fait de savoir quand ils y sont allés, combien de fois, pendant combien de jours, indique qu’ils y étaient en voyage d’affaires, pas en vacances.

Car s’il est possible (mais pas donné) de sécuriser ce que l’on fait avec un ordinateur (cf Comment protéger ses sources ?, le manuel que j’ai rédigé à cet effet), il est bien plus difficile de le faire avec un smartphone, ce que rappelait en juin dernier l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans un mémo intitulé Recommandations de sécurité relatives aux ordiphones :

« En tout état de cause, il est illusoire d’espérer atteindre un haut niveau de sécurité avec un ordiphone ou une tablette ordinaire, quel que soit le soin consacré à son paramétrage. »

Une note, datée du 19 août et que L’Express vient de rendre publique, révèle ainsi que le premier ministre a demandé à tous les ministères d’abandonner smartphones et tablettes du commerce pour la « transmission d’informations sensibles de voix et données« .

Matignon qualifie de « sensibles les « informations manipulées ou échangées au sein de l’administration, notamment par les autorités et cabinets ministériels« . Elles doivent, « dans la mesure du possible, être hébergées sur le territoire national » et « être chiffrés lorsqu’elles sont échangées sur des réseaux non sécurisés, notamment l’Internet, mais également lorsqu’elles sont stockées sur des ordinateurs portables ou des clefs USB, « susceptibles d’être facilement dérobés ou perdus« .

Changez de mot de passe (tous les 3 mois)

Dans un article intitulé Smartphones mouchards : comment protéger votre vie privée, publié sur Rue89 fin août, Philippe Vion-Dury dressait une bonne check-liste des réglages et logiciels conseillés pour chiffrer ou protéger ses données.

Les recommandations de l’ANSSI « ont simplement pour objectif de protéger au mieux possible les données contenues dans le terminal contre les attaques triviales« . A défaut de rendre votre smartphone totalement imperméable, elles pourraient vous éviter de tendre la joue pour vous faire p0wned (piraté, en leet speak), et vous permettre d’adopter une bonne hygiène en matière de sécurité informatique.

L’ANSSI estime ainsi que « le déverrouillage par symbole (points à relier) ne dispose pas d’une richesse combinatoire suffisante pour être conforme au niveau minimal recommandé« .

Ce type de solution est donc à proscrire ainsi que toute solution biométrique lorsque l’efficacité n’est pas établie. La note précisant les recommandations de sécurité relatives aux mots de passe publiée par l’ANSSI donne des éléments qui peuvent être utiles à la définition d’un mot de passe correct.

Sur les 21 recommandations de l’ANSSI, détaillée dans son mémo, j’en ai retenu 16 (les 5 autres visent surtout les « ordiphones » gérés par les entreprises ou administrations). A partager sans modération :

  1. Configurer une durée d’expiration du mot de passe de 3 mois maximum.

  2. Configurer le verrouillage automatique de terminal au bout de 5 minutes maximum.

  3. Si le terminal contient des informations sensibles, il est recommandé d’exiger un mot de passe fort en remplacement des méthodes de déverrouillage par défaut. Dans tout autre cas, l’utilisation d’un code PIN sera suffisant dès lors que la recommandation R5 est strictement respectée.

  4. Limiter le nombre de tentatives de déverrouillage, puis configurer un temps de blocage de plus en plus long ainsi qu’un effacement automatique après une dizaine de tentatives ayant échoué.

  5. Ne pas laisser le terminal sans surveillance. Un accès très temporaire à un terminal mobile peut suffire à sa compromission sans que l’utilisateur en ait conscience même lorsqu’il est verrouillé.

  6. Ne pas brancher le terminal à un poste de travail non maîtrisé ou à un quelconque périphérique qui ne soit pas de confiance, lesquels établiront une connexion directe non contrôlée.

  7. L’accès au service de géolocalisation doit être interdit aux applications dont les fonctions liées à la position géographique ne sont pas utilisées. Si cette option n’est pas disponible sur le terminal considéré, il convient d’éteindre le service de géolocalisation lorsqu’il n’est pas utilisé.

     

  8. Les applications déployées doivent être mises à jour régulièrement et rapidement dès lors que des correctifs de sécurité sont proposés.

     

  9. Les interfaces sans-fil (Bluetooth et WiFi) ou sans contact (NFC par exemple) doivent être désactivées lorsqu’elles ne sont pas utilisées.

  10. Désactiver systématiquement l’association automatique aux points d’accès WiFi configurés dans le terminal afin de garder le contrôle sur l’activation de la connexion sans-fil.

  11. Éviter tant que possible de se connecter à des réseaux sans fil inconnus et qui ne sont pas de confiance (cf les recommandations de sécurité relatives aux réseaux WiFi de l’ANSSI).

  12. Le stockage amovible ainsi que le stockage interne du terminal doivent être chiffrés par l’utilisation d’une solution de chiffrement robuste.

  13. Tout échange d’informations sensibles doit se faire par un canal chiffré de manière à assurer confidentialité et intégrité des données de point à point.

  14. Le système d’exploitation doit être régulièrement et automatiquement mis à jour de manière à intégrer les derniers correctifs de sécurité publiés. Tout terminal qui ne peut plus prendre en charge les évolutions du système d’exploitation doit être remplacé.

  15. Si les terminaux sont jugés suffisamment sensibles pour le nécessiter, il est conseillé de procéder régulièrement (a minima tous les ans) à la ré-initialisation complète du terminal, c’est à dire à un nouveau déploiement du système d’exploitation et un changement des clés de chiffrement, de manière à mettre fin à une éventuelle atteinte en sécurité du système à bas niveau (Note : Ceci n’est toutefois pas la solution à l’ensemble des attaques dont certaines pourraient perdurer malgré une ré-initialisation complète).

  16. Sauf à utiliser des solutions de cloisonnement dont il a été vérifié qu’elles répondent aux besoins de sécurité de l’entreprise, utiliser des ordiphones professionels dédiés à cet usage.

Mise à jour, 12/09/2013 : sur Twitter, @petaramesh précise à juste titre que ces conseils « sont absolument inefficaces pour se protéger d’écoutes NSA intégrées à l’OS » :

« Il n’existe AUCUNE mesure crédible pour empêcher un smartphone IOS/Android de « téléphoner maison » les données qu’il contient. Le seul et unique moyen de protéger ses données sensibles est de ne les stocker en aucun cas dans un tel système, et de ne jamais avoir sur soi un tel téléphone, équipé de sa batterie, pour toute activité confidentielle. Il serait particulièrement DANGEREUX de taper sur un tél iPhone Android un mot de passe protégeant des données confidentielles. Il semble que c’est désinformer les gens de leur laisser croire qu’ils peuvent sécuriser un tel téléphone… »

Comme indiqué plus haut, l’ANSSI estime « illusoire d’espérer atteindre un haut niveau de sécurité » avec un « ordiphone« , ses conseils visant plus à se prémunir des dommages qu’engendreraient un vol ou l’installation d’un logiciel malveillant.

Voir aussi ce guide de Configuration basique des paramètres de sécurité d’un appareil Android, et les fiches logicielles qui y sont associées, comment utiliser votre smartphone en sécurité (autant que possible…) et, en anglais, Security tips for journalists using mobiles, et The Mobile Security Survival Toolkit for Activists and Journalist. Je serais par ailleurs preneur de tout autre lien/manuel de sécurité pour les mobiles.

 

Source : Big Browser

- See more at: http://actuwiki.fr/actu/36790/#sthash.ZEXHwtjz.dpuf

Partager cet article

Publié par : CITOYENS ET FRANCAIS - dans Faits Divers