Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

NSA VS NSO

Avatar de l'auteur
Jean-Marc Manach

Publié dans

Société numérique

13/01/2022 19 minutes
38

Pour se protéger des logiciels espions : redémarrez votre téléphone (entre autres)

Plusieurs mémos de la NSA et du contre-espionnage américain expliquent comment tenter de se protéger des logiciels espions type Pegasus, et recommandent, notamment, de redémarrer son terminal régulièrement. The Intercept rappelle pour sa part l'importance de la sécurité opérationnelle (OPSEC, pour « OPerations SECurity »).

L'affaire Pegasus, du nom du logiciel espion de la société israélienne NSO, a mis en lumière le fait que certains d'entre eux parviennent désormais à infecter des terminaux via des attaques « zéro clic » ne nécessitant donc aucune interaction de la part de leurs utilisateurs.

NSO avait en effet identifié une ou plusieurs failles « 0 day » sur une ou plusieurs applications de messageries lui permettant d'infecter un terminal en lui envoyant un message.

Pour autant, s'il est impossible de pouvoir se prémunir à coup sûr de ce risque d'infection, plusieurs contre-mesures et précautions permettent de réduire sa surface d'exposition, et donc le risque de voir son terminal être infecté par un logiciel espion.

Le Centre national de contre-espionnage et de sécurité (NCSC) et le département d'État américain viennent ainsi de publier un bulletin récapitulant les mesures à prendre pour se protéger des « logiciels commerciaux » utilisés par « certains gouvernements » pour « cibler les dissidents, les journalistes et d'autres personnes dans le monde qu'ils perçoivent comme des critiques ».

Intitulé « Protégez-vous : outils de surveillance commerciaux », le document précise que « dans certains cas, des acteurs malveillants peuvent infecter un appareil ciblé sans aucune action de la part du propriétaire de l'appareil. Dans d'autres, ils peuvent utiliser un lien infecté pour accéder à un appareil. »

Ces outils de surveillance peuvent :

  • « enregistrer l'audio, y compris les appels téléphoniques ;
  • suivre l'emplacement du téléphone ;
  • accéder et récupérer pratiquement tout le contenu d'un téléphone, y compris les messages texte, les fichiers, les discussions, le contenu de l'application de messagerie commerciale, les contacts et l'historique de navigation. »

Le document ne mentionne pas explicitement le logiciel espion Pegasus de la société israélienne NSO (dont on avait découvert en décembre dernier qu'il avait été utilisé pour espionner des fonctionnaires américains en Ouganda), pas plus que son concurrent Candiru (qui avait été placé, avec NSO, sur liste noire par les États-Unis en novembre 2021), mais leur modus operandi correspond en tout point, et c'est bien de ce type de menace qu'il est question.

Dean Boyd, porte-parole du NCSC, explique en effet au New York Times que, « bien que les citoyens américains ordinaires ne soient peut-être pas les principales cibles, nous sommes vivement préoccupés par le fait que certains gouvernements utilisent des logiciels de surveillance commerciaux d'une manière qui pose un grave risque de contre-espionnage et de sécurité pour le personnel et les systèmes américains. »

Chiffrer vos terminaux, couvrez les caméras

Le document ne prétend pas qu'il est possible d'empêcher ses terminaux d'être infectés par tels logiciels espions, mais présente des conseils basiques de cybersécurité censés minimiser le risque d'être victime de telles attaques.

Sans surprise, il y est ainsi question de mettre régulièrement à jour les systèmes d'exploitation et les applications, de chiffrer ses terminaux et de les protéger par un mot de passe, d'utiliser des VPN réputés.

Le mémo propose aussi bien évidemment de garder le contrôle physique de votre appareil « lorsque cela est possible », de désactiver les options de géolocalisation et de recouvrir la caméra.

Pour ce qui est des messageries, il rappelle qu'il faut se méfier des contenus provenant d'expéditeurs inconnus, « en particulier ceux qui contiennent des liens ou des pièces jointes », et conseille de ne pas cliquer sur des liens ou e-mails et pièces jointes « suspects », mais également de bien vérifier les URL avant de cliquer sur les liens ou d'accéder aux sites Web.

Redémarrer une fois par semaine

Plus étonnant, le mémo conseille aussi de « redémarrer régulièrement les appareils mobiles, ce qui peut aider à endommager ou à supprimer les implants de logiciels malveillants ».

Ce n'est pas la première fois que les autorités américaines conseillent de redémarrer régulièrement ses terminaux. Dans sa rubrique intitulée « Guide de la NSA sur le télétravail et la sécurité mobile », l'agence américaine (qui est aussi, à l'instar de l'ANSSI en France, en charge de la cybersécurité) propose en effet un poster consacré aux meilleures pratiques en matière de téléphonie mobile.

Rendu public en octobre 2020, il conseillait de redémarrer ses terminaux une fois par semaine afin de limiter les risques en termes d'installation de malware via spearfishing, et d'exploits « 0 clic ». Le document précisait que cela pouvait « parfois prévenir » ce type d'attaque. 

  • NSA mobile
  • NSA mobile

Un second guide de la NSA expliquant lui aussi comment sécuriser ses terminaux sans fil, publié en juillet 2021 dans le contexte du télé-travail dû au covid-19, précisait pour sa part qu'il fallait redémarrer ses terminaux régulièrement « en particulier pour les téléphones mobiles après avoir utilisé un Wi-Fi non fiable ».

Une nouvelle attaque simule un vrai-faux redémarrage

Une nouvelle attaque pourrait contrecarrer cette contre-mesure. En 2019, des chercheurs du projet Google Zero de Google avaient en effet identifié une attaque sophistiquée exploitant pas moins de 14 vulnérabilités « 0 day » distinctes sur iOS.

Déployée sur « une petite collection de sites web piratés », elle permettait d'infecter les terminaux en mode « 0 clic » : « il suffisait de visiter le site piraté pour que le serveur d'exploit attaque votre appareil, et s'il réussissait, installe un implant de surveillance ».

Or, relevait alors Ars Technica, « le malware installé, presque impossible à détecter pour la plupart des utilisateurs, ne peut pas persister après un redémarrage de l'appareil, donc les téléphones compromis sont désinfectés dès qu'ils sont redémarrés ».

Des chercheurs de la société de cybersécurité ZecOps rappellent à ce titre que « la persistance d'iOS est supposée être le bug le plus difficile à trouver ». Ils viennent cela dit d'identifier « un bug de persistance ultime : un bogue qui ne peut pas être corrigé car il n'exploite aucun bogue de persistance – il ne fait que jouer des tours avec l'esprit humain », en faisant croire à un utilisateur infecté que le téléphone a été éteint, mais en fait, il fonctionne toujours.

Cette approche, qu'ils ont surnommé « NoReboot », simule un véritable arrêt de sorte que l'utilisateur ne puisse voir de différence entre un véritable arrêt et un « faux arrêt ». « La réalité est en fait un peu plus compliquée que cela », précisent-ils cela dit, le cryptographe Bruce Shneier qualifiant leur découverte de « hack compliqué, mais ça marche ».

Ne faites jamais confiance à un appareil qui n'est pas éteint

Leur preuve de concept repose sur le fait de désactiver tous les indicateurs montrant que l'iPhone est allumé, puis de simuler tous ceux indiquant qu'il a redémarré, de sorte de permettre à un cheval de Troie ou un malware de ne pas être désactivé par le redémarrage du terminal.

BleepingComputer rappelle que pour redémarrer l'iPhone, il faut appuyer et maintenir le bouton d'alimentation et l'un des boutons de volume jusqu'à ce que le curseur avec l'option de redémarrage apparaisse, puis attendre environ 30 secondes pour que l'action se termine :

« Lorsqu'un iPhone est éteint, son écran s'assombrit naturellement, l'appareil photo est éteint, le retour tactile 3D ne répond pas aux appuis longs, les sons des appels et des notifications sont coupés et toutes les vibrations sont absentes. »

Ils ont donc paramétré leur cheval de Troie pour qu'il simule cet enchaînement, sans que l'utilisateur ne puisse a priori s'apercevoir du subterfuge :

 

Ils se sont ensuite intéressés au « redémarrage forcé », obtenu en cliquant rapidement sur « Augmenter le volume », puis « Baisser le volume », puis longuement sur le bouton d'alimentation jusqu'à ce que le logo Apple apparaisse.

S'ils n'ont pas trouvé de moyen facile de le simuler, ils estiment cela dit qu'« il est tout à fait possible pour des acteurs malveillants d'observer la tentative de l'utilisateur d'effectuer un redémarrage forcé et de faire délibérément apparaître le logo Apple quelques secondes plus tôt, incitant l'utilisateur à relâcher le bouton plus tôt que prévu ».

Find My

Les chercheurs de ZecOps concluent leur billet en citant l'analyse qu'avait faite la chercheuse en malware @naehrdine de la fonctionnalité Find My, qui permet de localiser un iPhone même s'il est éteint depuis iOS 15.0.

Apple n'avait pas pris la peine d'expliquer comment cela fonctionnait exactement, mais elle avait découvert que cela était rendu possible en maintenant la puce Bluetooth LPM active et en fonctionnant de manière autonome même lorsque l'iPhone est éteint.

Ce qui lui avait fait écrire : « Ne faites jamais confiance à un appareil qui n'est pas éteint tant que vous n'avez pas retiré sa batterie ou, mieux encore, l'ayez mis dans un mixeur ».

« En supposant que quelqu'un ait piraté votre iPhone et vous espionne, il pourrait tout aussi bien afficher un écran de "mise hors tension" correct, puis ne pas éteindre l'iPhone. Par exemple, le téléviseur Samsung a été piraté par la CIA avec un mode Fake-Off pour espionner les gens. »

Se comporter comme si l'appareil était compromis

La fiche du NCSC concluait-elle aussi ses recommandations en rappelant que « bien que ces étapes atténuent les risques, elles ne les éliminent pas », ce pourquoi :

« Il est toujours plus sûr de se comporter comme si l'appareil était compromis, alors faites attention au contenu sensible. »

Les documents de la NSA recommandaient de leur côté, en outre, de :

  • désactiver par défaut le Wi-Fi et le Bluetooth (ainsi que le NFC, même si la menace serait moins avérée),
  • ne les activer qu'en cas de besoin,
  • ne pas avoir de conversation sensible à proximité d'un téléphone,
  • opter pour un code pin à 6 chiffres,
  • utiliser un étui téléphonique pouvant bloquer le micro,
  • n'utiliser que des câbles et connectiques de confiance,
  • ne jamais connecter ses terminaux sur des stations de recharge USB publiques.

On pourra aussi se reporter à cette vidéo où ZecOps revenait sur Pegasus, et expliquait comment tenter de s'en protéger, recommandant lui aussi, notamment, de redémarrer son téléphone tous les jours (voir aussi la version courte) : 

 

L'OPSEC et le maillon faible

Suite aux révélations du consortium Pegasus Project réunis par l'ONG Forbidden Stories, l'équipe de sécurité du site The Intercept, lancé dans la foulée des révélations Snowden, avait lui aussi publié un article expliquant comment tenter de se défendre de ce type de logiciels espions.

Rebondissant sur l'analyse de ce que le cryptographe Matthew Green avait qualifié de « nihilisme de la sécurité », à savoir l'idée que les attaques numériques seraient devenues si sophistiquées qu'il n'y a rien à faire pour les empêcher de se produire ou pour atténuer leur impact, The Intercept tenait, a contrario, à rappeler que « vous pouvez vous défendre contre les logiciels espions de NSO » :

« Il n'existe peut-être pas de sécurité parfaite, comme le dit un adage classique dans le domaine, mais ce n'est pas une excuse pour la passivité. »

The Intercept insistait ainsi sur l'importance de la « sécurité opérationnelle » (OPSEC, pour « OPerations SECurity »), à savoir les contre-mesures, techniques et non techniques, que les utilisateurs peuvent ou doivent mettre en oeuvre afin de se protéger, et d'éviter de commettre des erreurs et d'être le « maillon faible » permettant, involontairement, à l'attaquant de réussir son infiltration.

Une brochure promotionnelle de NSO Group rendue publique par WikiLeaks qualifiait ainsi de « Enhanced Social Engineer Message », ou ESEM, les messages d'appât qu'ils envoient à leurs cibles afin de les inviter à cliquer sur des liens malveillants :

« Les chances que la cible clique sur le lien dépendent totalement du niveau de crédibilité du contenu. La solution Pegasus fournit une large gamme d'outils pour composer un message sur mesure et innocent afin d'inciter la cible à ouvrir le message. »

Comme l'a détaillé le Comité pour la protection des journalistes (CPJ), les messages d'appât ESEM liés à Pegasus se répartissent en différentes catégories :

« Certains prétendent provenir d'organisations établies comme des banques, des ambassades, des agences de presse ou des services de livraison de colis. D'autres concernent des questions personnelles, comme le travail ou des preuves présumées d'infidélité, ou prétendent que la personne ciblée est confrontée à un risque immédiat pour sa sécurité. »

Voici quelques exemples de ce que cela signifie en pratique, développait le CPJ :

  • Si vous recevez un message avec un lien, en particulier s'il comporte un sentiment d'urgence (indiquant qu'un colis est sur le point d'arriver ou que votre carte de crédit va être débitée), évitez l'impulsion de cliquer immédiatement dessus.
  • Si vous faites confiance au site en question, saisissez l'adresse Web du lien manuellement.
  • Si vous vous rendez sur un site Web que vous visitez fréquemment, enregistrez ce site Web dans un dossier de signets et n'accédez au site qu'à partir du lien dans votre dossier.
  • Si vous décidez de cliquer sur un lien plutôt que de le taper ou de visiter le site via un signet, examinez au moins le lien pour confirmer qu'il pointe vers un site Web que vous connaissez bien. Et rappelez-vous qu'il est possible que vous soyez toujours dupé : certains liens de phishing utilisent des lettres d'apparence similaire provenant d'un jeu de caractères non anglais, dans ce que l'on appelle une attaque par homographe. Par exemple, un « О » cyrillique peut être utilisé pour imiter le « O » latin habituel que nous voyons en anglais.
  • Si le lien semble être une URL raccourcie, utilisez un service d'extension d'URL tel que URL Expander ou ExpandURL pour révéler le lien long et réel vers lequel il pointe avant de cliquer.
  • Avant de cliquer sur un lien apparemment envoyé par quelqu'un que vous connaissez, confirmez que la personne l'a bien envoyé ; leur compte peut avoir été piraté ou leur numéro de téléphone usurpé. Confirmez avec eux en utilisant un canal de communication différent de celui sur lequel vous avez reçu le message. Par exemple, si le lien provient d'un SMS ou d'un e-mail, appelez l'expéditeur.
  • Compartimentez vos appareils, en utilisant un appareil secondaire sans aucune information sensible dessus pour ouvrir des liens non fiables. Gardez à l'esprit que si l'appareil secondaire est infecté, il peut toujours être utilisé pour vous surveiller via le microphone ou la caméra, alors gardez-le dans un sac Faraday lorsqu'il n'est pas utilisé - ou au moins loin des endroits où vous avez des conversations sensibles.
  • Utilisez des navigateurs autres que ceux installés par défaut. Une section intitulée « Échec de l'installation » dans la brochure Pegasus en question précisait en effet que l'installation peut échouer si la cible exécute un navigateur non pris en charge et en particulier un navigateur autre que « le navigateur par défaut de l'appareil ». Le document datant de plusieurs années, il est cela dit possible que Pegasus et ses concurrents supportent désormais toutes sortes de navigateurs.
  • En cas de doute sur un lien donné, la mesure de sécurité opérationnelle la plus sûre consiste à éviter d'ouvrir le lien.

L'article de The Intercept reprend et détaille par ailleurs les conseils « basiques » recommandés eux aussi par la NSA. Ces derniers ne sauraient pour autant résumer l'ensemble du spectre de ce que recouvrent les bonnes pratiques en termes de sécurité informatique. Comme le serine Bruce Schneier : « la sécurité est un process, pas un produit ».

Ceux qui voudraient creuser la question peuvent se reporter au récent guide (en 4 parties : hygiène de base, ordinateur, smartphones et arnaques, conseils pourris) d'Ars Technica, aux différents modèles de menace détaillés sur l'excellent guide d'audo-défense numérique de l'EFF, aux ressources compilées par le projet ononymous de Tactical Tech, au Hitchhiker’s Guide to Online Anonymity, ou encore au wiki (en français) de l'ONG Nothing2Hide.

Une menace surévaluée ?

On rappellera, cela dit, que la probabilité d'être ciblé par un logiciel type Pegasus est extrêmement faible, pour ne pas dire quasi-inexistante, parce que réservés aux services de renseignement étatiques, d'une part. D'autre part, ils coûtent une fortune.

Ils sont donc a priori réservés à ce que les anglo-saxons qualifient de « high value targets » (HVT), ainsi qu'à celles et ceux de leurs proches pouvant représenter un « maillon faible » susceptible d'atteindre une HVT. Le Projet Pegasus a ainsi montré que le logiciel espion avait ciblé plusieurs des proches de Jamal Kashoogi, le dissident saoudien assassiné en Turquie.

De plus, les clients de ses logiciels espions n'ont pas forcément intérêt à s'en servir, non plus qu'a viser trop de cibles. Comme l'avait expliqué Bernard Barbier, l'ancien directeur technique de la DGSE, les armes informatiques ne sont pas comparables à des armes classiques.

D'une part, parce que sauf à ce qu'elle n'explose pas, une bombe ne peut pas être rétro-ingénierée. A contrario, soulignait Barbier, les armes informatiques « ont une action limitée dans le temps puisque l’adversaire peut les récupérer, les comprendre, les analyser, les réutiliser et vous, vous devez avoir toujours une longueur d’avance ».

La mise en ligne d'EternalBlue, un exploit de la NSA, par le mystérieux groupe ShadowBrokers, qui avait dans la foulée été réutilisé pour lancer des cyberattaques massives attribuées à la Russie et la Corée du Nord, Wannacry et NotPetya, en a depuis été une parfaite illustration.

Le Projet Pegasus a ainsi, de même, considérablement terni la réputation de NSO, et permis aux laboratoires Citizen Lab et AmnestyTech d'améliorer leurs connaissances des modus operandi du logiciel espion, contribuant à identifier des dizaines de nouvelles victimes.

La découverte de signatures et vecteurs techniques utilisés, ainsi que les failles « 0 day » exploitées, ont non seulement permis à Apple de corriger celle qui était exploitée par NSO, mais vont donc aussi l'obliger à revoir ses tactiques, techniques et procédures (TTPs), de sorte d'espérer pouvoir repasser sous les radars.

Et ce d'autant que ces dernières risquent fort d'être rajoutées aux signatures des éditeurs d'antivirus et autres logiciels de sécurité. Les efforts de NSO seront probablement et par ailleurs contrecarrés du fait que de nombreux chercheurs vont aussi commencer à s'en servir pour tenter de documenter encore plus avant les TTPs d'ores et déjà identifiés par Citizen Lab et Amnesty Tech, les deux équipes de chercheurs qui, depuis des années, viennent en aide aux victimes des logiciels espions particulièrement sophistiqués de type Pegasus.

Peu d'États utilisent des « 0 days »

Rob Joyce, l'ancien patron du bureau des Tailored Access Operations (TAO, Opérations d'accès sur mesure en français), l'unité chargée de pénétrer les ordinateurs et systèmes d'information ciblés par la NSA, expliquait de façon différente, dans une passionnante conférence en 2016, comment se protéger d'acteurs aussi puissants que ceux du type de la NSA, et pourquoi ils n'utilisaient que très peu de « 0 day » :

« Dans de nombreux cas, nous connaissons mieux les réseaux que les personnes qui les ont conçus et gérés. Pendant la phase de reconnaissance, les agents examinent un réseau électroniquement et, dans certains cas, physiquement. Ils déterminent qui est le personnel clé, quels comptes de messagerie sont importants, jusqu'où s'étend le réseau et maintiennent une surveillance constante jusqu'à ce qu'ils puissent trouver un moyen d'entrer. »

 

Pour la phase d'exploitation initiale, les principaux vecteurs d'attaque sont les pièces jointes de logiciels malveillants dans les e-mails, les attaques par injection à partir de sites Web et les supports amovibles.

« Beaucoup de monde pense que les États-nations lancent leurs opérations en utilisant des "zéro day", mais c'est loin d'être commun », précisait-il : « Pour les grands réseaux d'entreprise, la persistance et la concentration vous permettront d'entrer sans "zéro day" ; il y a tellement plus de vecteurs plus faciles, moins risqués et plus productifs à exploiter. »

Quant à la propre collection d'exploits zero-day de la NSA, Joyce expliqua que l'agence n'en avait que très peu, et que chaque nouvelle découverte était évaluée par un comité externe pour voir quand les fabricants de logiciels devraient être informés pour créer un correctif.

En tout état de cause, vous avez bien plus de risques d'être surveillé par quelqu'un de votre entourage, qu'il s'agisse de votre conjoint (jaloux), employeur (suspicieux) ou collègue (malveillant), voire par un barbouze recruté par un adversaire ou concurrent.

Une bonne hygiène informatique, et donc un peu d'OPSEC, ne saurait pour autant vraiment vous en prémunir, à mesure qu'il est difficile de se protéger de personnes pouvant accéder physiquement à vos terminaux. D'où l'importance du recours à un anti-virus (à jour), quelque soit le système (même et y compris sur Mac), de sorte de pouvoir vous protéger des malwares, logiciels espions et chevaux de Troie disponibles dans le commerce grand public.

En cas de doute, le fait de réinitialiser son téléphone aux paramètres d'usine est probablement le plus simple moyen de se remettre les pendules à zéro. En attendant la prochaine menace.

38

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Chiffrer vos terminaux, couvrez les caméras

Redémarrer une fois par semaine

Une nouvelle attaque simule un vrai-faux redémarrage

Ne faites jamais confiance à un appareil qui n'est pas éteint

Se comporter comme si l'appareil était compromis

L'OPSEC et le maillon faible

Une menace surévaluée ?

Peu d'États utilisent des « 0 days »

Commentaires (38)


Ce n’est pas si surprenant l’histoire du reboot régulier. Il existe plein de failles (que ça soit des exploits iOS pour le jailbreak ou sur Android pour le root) qui exploitent une faille de l’OS à l’exécution mais qui ne peuvent pas s’installer et qui ne résistent donc pas au reboot. C’est d’autant plus vrai depuis quelques années maintenant qu’il y a du secure boot pour tout verrouiller et que les partitions système sont vérifiées au démarrage.


Un article bien riche avec des liens pour creuser le sujet. Un travail bien interessant.


J’aimerais bien savoir en quoi un vpn est un gage de sécurité (je ne parle pas de vie privée)


Ça empêche peut-être les outils en question de faire leur travail. Un peu comme le coup du navigateur qui n’est pas celui par défaut.


Et utiliser un simple téléphone, sans ios, android ou autre, c’est trop compliqué ? Ça existe encore pourtant, genre Nokia 105, et à 20 €, vous pouvez le jeter si vous pensez qu’il est compromis.


J’avais lu que c’est ce que font les dealers/trafiquants, en général, ils ont deux ou trois téléphones base de gamme et une demi-douzaine de cartes SIM qu’ils changent régulièrement.


tpeg5stan

J’avais lu que c’est ce que font les dealers/trafiquants, en général, ils ont deux ou trois téléphones base de gamme et une demi-douzaine de cartes SIM qu’ils changent régulièrement.


Tout à fait; Et ils en changent régulièrement.


tpeg5stan

J’avais lu que c’est ce que font les dealers/trafiquants, en général, ils ont deux ou trois téléphones base de gamme et une demi-douzaine de cartes SIM qu’ils changent régulièrement.


Ca, c’est les bons.



Le tout venant il échange par SMS des pages et des pages de “ta 1 de white”, “wé gro, c 8”


Excellent article ! Merci !



Ne faites jamais confiance à un appareil qui n’est pas éteint tant que vous n’avez pas retiré sa batterie




Vachement pratique sur les smartphones modernes dont on ne peut justement PAS retirer la batterie :)


C’est même tous les soirs qu’il faut le shutdown, le smartphone !
OSEF des spams SMS & emails qui arrivent quand on dort… :transpi:
Et en se rallumant il est plus réactif, moins pollué par les 10.000 apps en cache plus ou moins fermées lancées dans la journée… :yes:



ronki a dit:


J’aimerais bien savoir en quoi un vpn est un gage de sécurité (je ne parle pas de vie privée)




Ça doit rendre plus compliquées les attaques man in the middle ou détournement de DNS.



domFreedom a dit:


C’est même tous les soirs qu’il faut le shutdown, le smartphone ! OSEF des spams SMS & emails qui arrivent quand on dort… :transpi:




Pour ma part j’ai toujours coupé mon mobile la nuit, quand c’était un “dumb phone” c’était extinction, mais depuis les smartphones je mets en mode avion, pour que ce soit instantané quand je veux m’en servir le lendemain matin.
De fait je redémarre rarement mon mobile.




Et en se rallumant il est plus réactif, moins pollué par les 10.000 apps en cache plus ou moins fermées lancées dans la journée… :yes:




Pas du tout le cas du mien ou des miens. Les applications non utilisées sont en veille ou virée de la mémoire si nécessaire par l’OS (rien de nouveau loin de là). Je mets plus d’un mois entre 2 redémarrages, je ne constate aucune différence de réactivité après un redémarrage. J’ai des Samsung Galaxy depuis 10 ans.


le mode avion coupe l’émission. Non la réception.
Et quand tu désactives le mode avion, les données en attente repartent.



Regarde comment Google te géolocalise en mode avion.



SomeDudeOnTheInternet a dit:


Vachement pratique sur les smartphones modernes dont on ne peut justement PAS retirer la batterie :)




Sur les iPhones surtout il me semble. Sur les Samsung j’ai toujours pu jusqu’à présent.


Tu as quoi comme Samsung ? Parce que dans la gamme Galaxy, le dernier dont la batterie était accessible, c’était le S5, en 2014. Depuis c’est aussi collé que sur iPhone.



D’ailleurs ironiquement les iPhone font aujourd’hui partie des smartphones où il est le moins compliqué de changer la batterie, même si c’est pas volontaire de la part d’Apple, c’est un effet secondaire de désigner ses smartphones pour être réparés dans des magasins : assez facile à ouvrir et documentation foisonnante. Mais ça reste assez malheureux.



domFreedom a dit:


C’est même tous les soirs qu’il faut le shutdown, le smartphone ! OSEF des spams SMS & emails qui arrivent quand on dort… :transpi: Et en se rallumant il est plus réactif, moins pollué par les 10.000 apps en cache plus ou moins fermées lancées dans la journée… :yes:




c’était vrai avant… c’est faux en 2022 Avec Android.
Sur mon bon vieux Redmi Note 8 Pro (tel entrée/moyen de gamme d’il y a 2 ans), je n’ai pas de ralentissements rien. Sachant que j’ai environ 230 applications.. Les applications inutilisées depuis x minutes se ferment automatiquement, la mémoire utilisée reste stable


Excellent article, du lourd!



j’aurais rajouté qu’il faut éviter de se connecter sur un réseau Wifi public (aéroport, magasins, gare, etc….) Quand je me suis connecté en Wifi dans un aéroport en Chine, j’étais pas mal inquiet.. malgré un VPN.



Pour la passage : “Ne faites jamais confiance à un appareil qui n’est pas éteint”
Même éteint, on ne peut pas vraiment avoir confiance. Avec mon regretté HTC M8, le tel s’éteignait lorsque la batterie était vide (normal) et malgré cela, il se rallumait automatiquement si j’avais programmé le réveil. ça veut dire que même éteint, il se passe quelque chose…
Il faudrait pouvoir enlever la batterie pour être vraiment tranquille.



J’en profite pour conseiller Adguard pour Android (pas présent sur le store) bien foutu et fait le boulot. Compatible avec Adguard VPN (ce genre de programme crée un VPN local sur un tel no rooté qui n’est généralement pas compatible avec l’utilisation d’un VPN)


Il faudrait pouvoir enlever la batterie pour être vraiment tranquille..




  • demande-toi, POURQUOI (de + en + de fabricants) NE le permettent ? :langue:


vizir67

Il faudrait pouvoir enlever la batterie pour être vraiment tranquille..




  • demande-toi, POURQUOI (de + en + de fabricants) NE le permettent ? :langue:


tout simplement pour optimiser l’espace dans le téléphone. :ouioui:



ronki a dit:


J’aimerais bien savoir en quoi un vpn est un gage de sécurité (je ne parle pas de vie privée)




Oui je pense que selon le type de VPN le conseil n’est pas le même :




  • VPN d’entreprise, ou VPN que vous maitrisez (ex VPN de votre freebox server) : OUI ! ça sécurise le lien jusqu’au réseau de confiance !



  • VPN grand public de type “fait de la pub dans le métro, ou sur Youtube” : Surtout pas ! C’est déjà clairement des boites louches et quand bien même ces services seraient de bonne foi, c’est un SPOC, et une cible évidente pour un service d’espionnage : Le truc fait le proxy pour tout le traffic de centaines d’utilisateurs qui pensent avoir une ligne sécurisée. Le trafic est sécurisé jusqu’au serveur VPN, ensuite les données font leur vie (se baladent en clair sur le net, peuvent être écoutées sur le serveur VPN directement, ou sur le lien de sortie unique vers internet de ce service…)



Perso c’est shutdown + reboot tous les soirs


idem !
(ça évite d’être dérangé à 4 H. du matin) :fumer:


Pour la problématique des liens, j’utilise urlscan.io, qui va ouvrir le lien à votre place, vous présenter une capture de la page, et vous indiquer une note de confiance.
c’est vraiment super pratique comme site et je l’utilise de plus en plus, dès que j’ai le moindre doute.



par exemple hier j’ai reçu un sms identifié par un numéro de mobile de base, qui se présentait comme totalenergies, avec une url raccourcie vraiment suspicieuse. il s’est avéré que c’était vraiment totalenergies, mais visiblement même des grosses boites comme ça sont complètement à la ramasse concernant la com. vu la tronche du message (l’identifiant, le texte, le lien, tout était mauvais), le mec lambda balance ça direct à la poubelle.


J’aimerais également qu’il soit possible de retirer la batterie de nos appareils, c’est dommage que presque toutes soient inamovibles désormais.



edit : il sembgle qu’à part le fairphone 4, on n’ait droit qu’à de l’entrée de gamme : https://www.netcost-security.fr/mobilite/66837/ce-sont-les-9-seuls-telephones-portables-avec-une-batterie-amovible-qui-ont-ete-lances-en-2021/


Pour les attaques par homographe, je ne vois pas comment on peut y être vulnérable (être dirigé vers un site malicieux), tous les navigateurs actuels convertissent en Punycode : si on clique par exemple sur ce lien (avec un а cyrillique) : https://fr.wikipediа.org ça marche pas.
cf. https://en.wikipedia.org/wiki/IDN_homograph_attack#Defending_against_the_attack


Très bon article merci.



Plus généralement pour le citoyen lambda la quasi-impossibilité de se protéger contre des attaques menées par des Etats ou de grands groupes criminels est à relativiser devant la très faible probabilité qu’un citoyen lambda soit visé.



Néanmoins les innombrables conseils listés dans l’article et les liens mentionnés, qui relèvent pour la plupart du bon sens et d’hygiène informatique de base, devraient être rabachés au grand public !


Superbe article, merci à vous :love:


excellent travail et rédaction. un plaisir à lire. Merci Jean-Marc !



(quote:1923887:Paul Muad’Dib)
Très bon article merci.



Plus généralement pour le citoyen lambda la quasi-impossibilité de se protéger contre des attaques menées par des Etats ou de grands groupes criminels est à relativiser devant la très faible probabilité qu’un citoyen lambda soit visé.



Néanmoins les innombrables conseils listés dans l’article et les liens mentionnés, qui relèvent pour la plupart du bon sens et d’hygiène informatique de base, devraient être rabachés au grand public !




Quand tu sais plus ou moins de quoi pegasus est capable, ce n’est pas seulement le citoyen lambda qui ne peut pas se protéger, c’est absolument tout le monde.



jeje07bis a dit:


j’aurais rajouté qu’il faut éviter de se connecter sur un réseau Wifi public (aéroport, magasins, gare, etc….) Quand je me suis connecté en Wifi dans un aéroport en Chine, j’étais pas mal inquiet.. malgré un VPN.




Ben vu que tout passe en HTTPS à présent, c’est fini ces histoires de Wifi public. C’était effectivement justifié à l’époque où on faisait du trafic en clair (HTTP).




Pour la passage : “Ne faites jamais confiance à un appareil qui n’est pas éteint” Même éteint, on ne peut pas vraiment avoir confiance. Avec mon regretté HTC M8, le tel s’éteignait lorsque la batterie était vide (normal) et malgré cela, il se rallumait automatiquement si j’avais programmé le réveil. ça veut dire que même éteint, il se passe quelque chose… Il faudrait pouvoir enlever la batterie pour être vraiment tranquille.




La batterie n’était pas complètement vide, le téléphone s’éteint pour protéger la batterie (les batteries actuelles supportent mal une décharge profonde). Et oui l’horloge RTC continue à fonctionner (il suffit d’une simple pile bouton pendant des années, sur une carte mère, là il n’y en pas certes), ce qui permet d’utiliser le réveil en dernier recours (une bonne chose).




jpaul a dit:


Tu as quoi comme Samsung ? Parce que dans la gamme Galaxy, le dernier dont la batterie était accessible, c’était le S5, en 2014. Depuis c’est aussi collé que sur iPhone.




Ah, possible que pour mon S10E ce ne soit pas possible de l’ouvrir, j’avoue ne pas avoir cherché à le faire.




vizir67 a dit:




  • demande-toi, POURQUOI (de + en + de fabricants) NE le permettent ? :langue:




Le fait que l’appareil ne puisse pas être ouvert facilement est la conséquence de faire des téléphones à protection “IP” élevée (contre l’eau et les poussières et l’immersion plus ou moins prolongées). C’est plus difficile d’assurer un IP élevé avec un boîtier qui peut être ouvert, et qui doit rester bien étanche une fois refermé. Ça doit aussi permettre de faire un appareil légèrement plus compact (mince) et léger (de peu mais tout compte).



OlivierJ a dit:


Ben vu que tout passe en HTTPS à présent, c’est fini ces histoires de Wifi public. C’était effectivement justifié à l’époque où on faisait du trafic en clair (HTTP).




Tout Internet ne résume pas au web et à HTTP.
Quid de SMPT et POP moins souvent chiffré? Quid du DNS ou NTP (pour synchroniser l’heure).
Sauf erreurs, beaucoup de protocoles n’ont pas encore de version chiffrées ou cette version n’est pas une utilisation majoritaire.



OlivierJ a dit:


Ben vu que tout passe en HTTPS à présent, c’est fini ces histoires de Wifi public. C’était effectivement justifié à l’époque où on faisait du trafic en clair (HTTP).




ça m’étonnerait que ce soit aussi simple… y a pas que du HTTPS (ou HTTP) qui passe, loin de là.



Soriatane a dit:


Tout Internet ne résume pas au web et à HTTP. Quid de SMPT et POP moins souvent chiffré?




Je suis d’accord pour le “ne se résume pas”, même si c’est devenu l’essentiel du trafic (c’est stupide d’ailleurs car au lieu d’avoir N protocoles sur de l’IP - comme c’était le cas en 2000 - on a N “protocoles” sur du HTTP et on essaie de tout faire passer dessus, du coup les firewall font de l’inspection de trafic et pour partie du décodage du trafic HTTPS histoire de détecter les méchants virus Windows - surtout).



Pour ma part ça fait bien longtemps (à mon avis au moins 10 ans si pas 15) que j’utilise le SMTPS et l’IMAPS, chez tous les “fournisseurs” (SFR, Free, Google, Microsoft, etc).




Quid du DNS ou NTP (pour synchroniser l’heure). Sauf erreurs, beaucoup de protocoles n’ont pas encore de version chiffrées ou cette version n’est pas une utilisation majoritaire.




Avec un DNS menteur, tu vas quand même avoir le problème du certificat du site Web (ou service) sur lequel tu vas te connecter
Pour le NTP, je ne sais pas où ça en est du NTPS, mais je ne sais pas si on peut concevoir des attaques faciles avec un serveur NTP menteur (me semble aussi que les clients NTP tiquent si le serveur NTP est à une heure sensiblement différente de l’heure de l’ordi).




jeje07bis a dit:


ça m’étonnerait que ce soit aussi simple… y a pas que du HTTPS (ou HTTP) qui passe, loin de là.




Pour la plupart des gens qui vont lire leurs mails en webmail, en fait en pratique c’est aussi simple :-) .
Disons que l’outil classique dans un cybercafé c’est juste un navigateur et du HTTPS (ou même en mode boulot quand tu te connectes avec ton portable boulot à un Wifi quelconque).



Pour la plupart des gens qui vont lire leurs mails en webmail, en fait en pratique c’est aussi simple :-) . Disons que l’outil classique dans un cybercafé c’est juste un navigateur et du HTTPS (ou même en mode boulot quand tu te connectes avec ton portable boulot à un Wifi quelconque).




Je parle aussi téléphone portable, pas seulement ordinateur portable.
Et quand bien même, en 2022, y a un bon paquet de gens qui utilisent un client mail hein. Surtout dans les aéroports ou il y a pas mal de “business men”. Outlook, tout ça…


« Do not jailbreak or root your device »



Ahahaha très amusant. Si l’on était pas si restreint, on n’aurait pas besoin de Magisk.



TheKillerOfComputer a dit:


« Do not jailbreak or root your device »



Ahahaha très amusant. Si l’on était pas si restreint, on n’aurait pas besoin de Magisk.




Fake argument.
J’ai un redmi note 8 pro customisé dans tous les sens, pas besoin de root.
Pilotes sdk, adguard, x programmes pour personnaliser le bouzin…. Et quasiment tout est possible.