“On peut tout faire”, selon le service de renseignement intérieur français.
Le programme du congrès du Club des directeurs de sécurité des entreprises (CDSE), qui s’est tenu jeudi à Paris annonçait une “démonstration sur les capacités de cyberattaque par un représentant de la DCRI”, le service de renseignement intérieur français.
Le commissaire de la Direction centrale du renseignement intérieur (DCRI) a toutefois expliqué à quel point il est facile de pirater un smartphone, captures d’écran à l’appui.
“Aujourd’hui, le niveau de prise de conscience du risque est de zéro”, a regretté le commissaire en relevant que le taux d’équipement de 10 % des smartphones en antivirus correspond au taux d’équipement des PC en 1990. Et le smartphone, “ça se pirate comme un ordinateur”. Le scénario présenté par la DCRI est celui du vol à l’arraché d’un iPhone, mais personne n’est dupe :
“En 30 secondes, le voleur a extrait la carte Sim“, ce qui signifie que “l’opérateur ne peut plus effacer les données du téléphone à distance“. Ensuite, il suffit au voleur d’extraire les données “avec un logiciel qui fait tout” et qui coûte entre 400 et 1 500 euros. Le code de verrouillage du téléphone est forcé en quelques minutes. “Un code à quatre chiffres est cassé en trois à dix minutes, selon l’appareil.”
Et mauvaise nouvelle pour les geeks : plus le téléphone est puissant, plus son processeur cassera rapidement son propre code à l’aide du fameux logiciel. Les codes à six chiffres tiennent jusqu’à 50 heures, et les codes à huit chiffres, jusqu’à 165 jours. “Tout peut être cassé, mais l’important ici est de ralentir l’accès aux informations sensibles”, pour avoir le temps de prendre les mesures nécessaires, comme le changement des mots de passe et des clés de sécurité. Et de rappeler que huit chiffres, c’est bien, sauf si l’on met sa date de naissance ou celle de l’un de ses proches, trop faciles à deviner pour un espion.
Une fois le code de verrouillage du téléphone cassé, le logiciel s’attaque au “keychain”, un fichier rassemblant de nombreuses informations sensibles. Temps nécessaire : 40 minutes. Et il ne faut pas se fier aux apparences : “Apple est un château fort… dont le pont-levis est en carton”, ironise le commissaire. Grâce au keychain, l’espion trouvera toutes vos informations personnelles. Vraiment tout. Les identifiants pour se connecter à votre messagerie électronique, les codes d’accès au réseau de votre entreprise, tous les lieux où vous vous êtes rendu grâce à la mémoire du GPS, tous les codes Wi-Fi que vous avez un jour enregistrés, l’historique de votre navigateur web, vos photos et la géolocalisation qui les accompagne éventuellement, vos identifiants bancaires si vous avez installé l’appli de votre banque, etc. “Après un vol de smartphone, qui pense à changer sa clé Wi-Fi en rentrant chez lui ?” s’interroge l’homme. Avec raison…
Vos données lisibles à 15 mètres
Du côté du NFC (Near Field Contact), une technologie d’échange d’informations sans contact utilisée dans les smartphones, mais aussi dans les cartes de métro ou les documents d’identité, le constat est alarmant. Si les fabricants assurent que la lecture des données ne peut se faire qu’à trois centimètres d’une borne, la DCRI affirme pouvoir collecter ces informations à 15 mètres, soit 500 fois plus loin. Une révélation effrayante si l’on songe au respect de la vie privée. D’autant plus au moment où les banques proposent des cartes bancaires NFC, et des outils de paiement intégrés aux smartphones via le NFC.
“N’importe qui pourrait scanner vos données bancaires, même à trois centimètres. Cela peut se produire facilement dans le métro, par exemple”, explique encore le commissaire. Avec une portée de 15 mètres, impossible de ne pas songer aux pires scénarios de science-fiction où les personnes sont suivies à la trace dans tous leurs déplacements… Hollywood n’avait simplement pas imaginé que cela se ferait via les cartes de métro ou les cartes bancaires…
La présentation du commissaire de la DCRI a eu le mérite de sensibiliser les responsables de sécurité présents dans la salle. Pour enfoncer le clou, il a diffusé à la fin de son intervention une vidéo prise en caméra cachée dans une chambre d’un “hôtel asiatique”, où l’on voit des agents de sécurité s’intéresser au contenu du téléphone d’un visiteur européen pendant son absence….
Extrait Le Point.fr – Publié le
