Rappelez-vous, Troie et son cheval meurtrier, Ulysse dans la caverne du Cyclope trompant la vigilance du colosse pour s’enfuir, les portes brisées des citadelles sous les coups incessants des béliers, la percée des troupes russes sur le front Est ou encore, l’évasion d’Iran immortalisée il y a quelques mois par le film Argo : un événement historique mettant en conflit direct plusieurs forces est le résultat d’une équation à trois inconnues – attaque, défense, stratégie. La sécurité numérique n’échappe pas à cette règle, tentons de comprendre quels sont les bons réflexes.

Sécurité Android

Précisons-le d’emblée : deux écueils sont à éviter quand il s’agit de sécurité, la naïveté et le sensationnalisme. Oui, la sécurité concerne tout le monde, et non, il n’y a pas plus de solution idéale qu’une absence déprimante de solution. Comme pour tout problème complexe, il s’agit d’avoir la bonne méthode et de réfléchir aux véritables enjeux. Nous allons essayer de les esquisser : libre au lecteur d’adapter ces conseils à sa sauce.

La question que l’on doit se poser d’emblée, et tous les spécialistes vous le diront, est la suivante : de qui et de quoi souhaite-t-on se protéger ? Ainsi les Troyens, quelle que soit la légende, n’eurent pas la présence d’esprit d’imaginer la ruse grecque. Ainsi la NSA n’imaginait pas qu’un Assange, un Snowden ou un Manning puissent être des dangers potentiels pour la sécurité de leurs documents confidentiels. Ainsi vous n’imaginiez pas que votre cousin utiliserait votre compte Facebook laissé ouvert sur son laptop pour poster des vidéos de dinoporn. A chaque fois, le schéma est le même, que le cours de l’Histoire ou votre dignité soit en jeu : les questions essentielles n’ont pas été posées – ou les dangers ont été sous-estimés.

Mais avant d’avancer quelques principes et de poser ces questions à Android et à la téléphonie en général, veillons à rappeler un autre principe fondamental : rien ne sert de sombrer dans la paranoïa qui fait glisser doucement vers les théories du complot. On nous surveille ! On nous espionne ! South Park en faisait la parodie dans le premier épisode de sa dix-septième saison : pour certains, il semblerait que l’État soit une version athée de la religion, avec ses confessions, ses apôtres, son service clérical et sa divinité toute puissante et omnisciente. Cette image est naïve, tout comme l’est l’idée inverse, qui serait de croire qu’Internet est une grande bulle privée dans laquelle l’utilisateur anonyme est roi et peut alors faire ce qui lui plaît et que les Nations n’ont pas de programme de surveillance. Le meilleur moyen de garder les pieds sur terre est donc encore une fois de commencer par la bonne question : qui peut me vouloir quelque chose ?

Eh bien si vous êtes un citoyen honnête et que vous n’avez, en toute bonne ou mauvaise foi, pas grand chose à vous reprocher, ce n’est évidemment ni l’État, ni la NSA, ni les services de cyberpolice français, qui ont d’autres chats à fouetter. Quand on parle de téléphonie mobile, et a fortiori de smartphones et d’Android, le quoi est commun à la très grande majorité des utilisateurs : vous devez protéger vos données sensibles, vos comptes sociaux, votre forfait, votre compte en banque et votre smartphone lui-même. Ces quelques cibles potentielles énumèrent d’elles-mêmes les potentiels ennemis et les menaces qui pourraient être présentées : virus, fakes, trojan, keyloggers, hackers sans dignité, voleurs à l’arrachée, copains de beuverie. Détaillons.

« Oui mais moi, je n’ai rien à cacher »

NSA

D’abord, le commencement : vos données sensibles. « Oui, mais moi je n’ai rien à cacher ! » Certes, cette déclaration d’exhibitionnisme virtuel n’est pas dénuée de sens, mais elle a tendance à dédouaner celui qui la formule de sa responsabilité à l’égard des autres. Si votre compte mail est ouvert à un malicieux esprit, il aura tôt fait de remonter les étapes pour trouver des éléments vraiment utilisables : par exemple, est-ce le mail que vous utilisez pour vous connecter à l’espace professionnel de votre société ? Oh, et vous pouvez demander un nouveau mot de passe à partir de cet espace ? Lui aussi : vous pouvez faire une croix sur les secrets professionnels de votre boîte et peut-être, dès lors, sur votre emploi. Votre banque ? Elle se trouve sur le RIB que vous avez envoyé à cet acheteur sur Ebay. Le login ? Votre pseudo, celui affiché sur Google +. Le mot de passe est le même que sur celui de votre messagerie. Bref, voilà comment il est très simple d’avoir des ennuis plus ou moins gros à cause d’une négligence.

En plus, merci Obama, les mots de passe deviennent de plus en plus simple à craquer. Un mot de passe aléatoire de 8 caractères, c’est peanuts. Une phrase de passe ? Un excellent article d’Ars Technica publié en début de semaine passée montre que ces phrases sont les nouvelles illusions de sécurité. Grâce à des techniques simples utilisant des catalogues, il est possible de les percer à peu près toutes, la faute aux humains qui, par culture ou par flemme, choisissent souvent des suites de mots très classiques. C’est comme ça, nous explique Ars Technica, que la Bible est devenue un outil précieux pour trouver un mot de passe. Chance ! Android tourne autour de Gmail et Google a depuis bien longtemps mis en place la double authentification qui consiste à faire valider un mot de passe sur un nouveau périphérique par un code contenu dans un SMS. Avec cette technique, trouver un mot de passe ne sert quasiment à rien, sauf si la personne l’utilise sur un ordinateur ou un smartphone connu par votre compte qui n’a donc pas besoin de SMS de validation. N’hésitez pas à l’employer : vous devrez générer des mots de passe aléatoires pour configurer votre compte sur un appareil Android, ce qui renforce leur sécurité, puisque le mot de passe entré n’est pas votre mot de passe principal. En accédant à votre compte, vous pourrez également retirer l’accès à un appareil à distance, dans le cas, par exemple, où vous vous feriez voler votre smartphone.

Facebook est allé dans la même direction avec son application mobile et en a même fait un outil de déverrouillage. Sur Android, l’application va vous proposer ce qu’elle appelle un Générateur de code, qui vous sera essentiel pour vous connecter à votre compte sur un nouvel ordinateur. Si on récapitule, pour se retrouver sur votre espace personnel, que ce soit sur Gmail ou Facebook, il faut votre adresse mail, votre mot de passe et votre smartphone. Cela commence à compliquer la tâche. Twitter propose aussi le service, depuis peu. N’oubliez pas également que vous pouvez gérer depuis votre compte les applications ayant accès à Facebook/Twitter/Gmail connect et leur refuser l’accès instantanément.

facebook-generateur-de-code-1

Voilà pour le mot de passe et ce qu’il est possible de faire nativement sur Android, l’étape finale de sécurité étant peut-être celle des applications comme LastPass ou 1Password sur iOS. Ces logiciels très perfectionnés s’occupent à votre place de créer des mots de passe aléatoires et sécurisés pour chaque site que vous utilisez. Vous n’avez qu’une chose à retenir et à protéger : votre Master Key, celle qui déverrouille l’application. La méthode a ses avantages et ses inconvénients, ses adorateurs et ses détracteurs, mais en tout cas, c’est indéniablement une sécurité pour passer entre les mailles du filet quand un gros site se fait hacker.

 

Le spectre des malwares

Si l’on passe maintenant du côté logiciel et que l’on examine la galaxie des trojans, keyloggers, malwares et autres joyeusetés sur Android, permettez-nous de vous rappeler que votre meilleur antivirus reste votre bon sens. Descartes disait qu’il était la « chose du monde la mieux partagée » : si l’on se réfère aux dernières études parues sur la question, il semblerait que les créateurs de malwares prennent les utilisateurs d’Android pour des buses, 79 % des attaques visant le système de Google. Ces chiffres plaisent à l’industrie de la sécurité informatique mais cachent aussi une réalité : Android est installé sur des milliers d’appareils différents, du smartphone gratuit au très haut de gamme. Et devinez quoi ? Sa part de marché actuelle est estimée aujourd’hui, elle aussi, à 80%. Cela signifie non seulement qu’il touche toute la population mais aussi qu’il se retrouve dans les poches de catégories d’utilisateurs moins sensibles aux questions de sécurité, au hasard les jeunes ados qui découvrent leur premier smartphone.

Sécurité

Reste que la première remarque à faire à ce sujet semble évidente : évitez les applications piratées. Et l’on peut mettre aisément tout le discours sur l’illégalité du piratage de côté en maintenant ce conseil simple. Il est déjà plutôt simple pour une entreprise malveillante de proposer une application sur le Play Store puisque le contrôle ne se fait toujours pas a priori mais a posteriori, imaginez comme il est facile de mettre en ligne cette même application malveillante sur les magasins alternatifs ou sur la fameuse Baie des Pirates. C’est un peu, d’ailleurs, le filon qu’essaient d’exploiter les éditeurs d’antivirus, qui ont de moins en moins de légitimité sur mobile. Avec de fausses alertes et des épouvantails dressés à grand renfort de comm’, les éditeurs de logiciels de sécurité ont réussi à faire croire à la légende du virus sur Android, héritée des heures les plus sombres de Windows. Non, la seule aide éventuelle que pourraient fournir une telle application serait un accompagnement du bon sens, prévenir l’usager, par exemple qu’il va exécuter une application non-officielle ou lui présenter les droits que l’application demande. Là encore, rien que le système d’exploitation ne fait pas de manière native : rien donc, qui ne justifie une installation. Peut-être l’assurance d’avoir un double-check avant utilisation permettrait de rendre certains utilisateurs plus responsables, mais est-ce vraiment nécessaire ?

Il est clair que le malware n’est pas un fléau et entre très nettement en-dessous des questions de sécurisation des mots de passe quand il s’agit de traiter de sécurité mobile. Ce mal est aussi en-dessous d’un autre larcin qui prend une double forme : l’utilisation du smartphone par une tierce personne. Double forme, parce que cette tierce personne peut-être le faux-ami cité plus tôt ou le voleur urbain positionné près du tourniquet d’une station de métro. Dans les deux cas, le danger est le même : la personne est en possession de votre appareil, tant pis pour vous, il s’agit maintenant de faire en sorte qu’elle ne puisse pas faire n’importe quoi avec.

Lecteur d’empreintes et scanner rétinien

A ce moment-là, on se retrouve, aujourd’hui, avec deux possibilités. D’une part, l’utilisateur malintentionné peut se retrouver devant une demande de mot de passe à 4 chiffres. D’après un chercheur en sécurité mobile de Kaspersky Lab, Nicolas Brulez, contacté ce matin, un tel mot de passe se craque en 30 minutes chrono. Autrement dit, ce n’est rien. Augmenter le mot de passe à 8 chiffres et lettres pourrait donner quelque chose de solide mais pas encore top. 12 chiffres et lettres aléatoires, c’est sécurisé. Mais voilà, avez-vous vraiment envie de taper 12 chiffres et lettres à chaque fois que vous déverrouillez votre smartphone ? Avez-vous envie de déverrouiller votre appareil avec un code à 12 caractères aléatoires pour regarder l’heure (et oublier au passage de la regarder) ? Non, bien évidemment et c’est là qu’on fait entrer en jeu une autre variable : celle du confort d’utilisation. On se retrouve alors avec les possibilités déjà envisagées par plusieurs constructeurs : reconnaissance faciale de Google, schéma à tracer sur l’écran etc. Le niveau de sécurité est faible. C’est  à ce moment précis qu’Apple est intervenu avec son déverrouillage par empreinte digitale que l’industrie devrait réutiliser très vite – HTC les premiers.

Cette technique allie à la fois sécurité et confort, puisqu’elle est transparente pour l’utilisateur et garantit qu’il sera le seul à pouvoir accéder au contenu du smartphone. Pour les chercheurs de Kaspersky Lab, en revanche, elle pose un nouveau problème : elle est un point limite. Cela signifie que l’empreinte digitale est un plafond haut dans la sécurisation : une fois que l’on aura trouvé le moyen de craquer cette protection, elle ne pourra pas être complexifiée. Un mot de passe s’allonge au besoin, se change au besoin. Une empreinte digitale restera la même à peu près toute votre vie et vous ne pourrez jamais ajouter de niveau de complexité à son tracé. C’est exactement le même souci avec un scanner rétinien :  un tel appareil se fonde sur le même principe et propose d’emblée une sécurité maximale. Dès lors, c’est encore une fois à l’utilisateur de choisir son curseur. Nous avons demandé à notre interlocuteur chez Kaspersky ce qu’il conseillerait à une entreprise aujourd’hui, dont le cahier des charges se fonderait uniquement sur la sécurité : son choix s’est porté sur l’iPhone, parce que les attaques sont moins nombreuses (car le parc est moins important et donc moins intéressant pour les éventuels pirates) et qu’il propose des techniques avancées de sécurisation. Cela dit, il s’est tout de même empressé de signifier qu’il s’agissait d’un choix par défaut et qu’aucune plateforme n’était parfaitement intrusion-proof. C’est un fait, la sécurité absolue n’existe pas.

1283873-iphone-5s-touch-id

Voilà, peut-être, où nous en sommes aujourd’hui sur les questions de sécurité numérique et en particulier sur le secteur de la mobilité. La conclusion la plus honnête dirait que la meilleure sécurité passe par l’éducation à la conscience du danger et par la sensibilisation des utilisateurs. Tout revient en fait à la position du curseur que vous choisirez : quel est le niveau acceptable d’inconfort que vous tolérerez pour un niveau de sécurité donné ? En fonction de la réponse, l’un ou l’autre des OS mobiles pourrait alors être plus adapté à vos besoin qu’un autre. L’autre voie à ouvrir pour élargir cette question pourrait être incarnée par le fameux Android Device Manager : vous aurez certes un contrôle à distance de votre appareil, mais il faut accepter le fait que Google connaisse votre position et puisse, dans une très large mesure, agir à distance sur votre smartphone. Plus de sécurité globale, oui, mais moins de confidentialité : voilà la joute de deux idéaux. Aujourd’hui, aucun des deux n’a mené de bataille décisive : aux constructeurs de nous surprendre !