Votre portable est-il facilement piratable ?

Atlantico : Le scandale News of the world semble avoir révélé une opération d'écoutes téléphoniques de grande ampleur. Dans quelle mesure sommes-nous tous potentiellement concernés par un risque de piratage de nos portables ?

Stéphane Koch : Il existe une vulgarisation des technologies qui permettent de faire énormément de choses. Mais cette vulgarisation ne va pas de pair avec une éducation du consommateur. Ce dernier est dans un déni d’apprentissage et cela fragilise l’environnement informationnel. Pour parler plus simplement : les gens ne savent pas comment se protéger, ou même ce qu’il faut protéger, à propos des informations qui les concernent. Ils se reposent totalement sur la technologie sans la connaître.

L’affaire du News of the world est tout à fait représentative de ce phénomène : quel que soit le statut social de la personne - l'ancien Premier ministre britannique Gordon Brown ou le simple citoyen - son niveau de connaissance technologique qui lui permettent de se comporter correctement dans la gestion de son environnement informationnelle. 

Comment les journalistes du News of the world ont-ils procédé pour avoir accès à ces informations confidentielles ?

Sans doute ont-ils essayé d’accéder aux messageries téléphonique en composant un numéro d’accès depuis un téléphone tiers. Ils ont éventuellement pu y accéder grâce à un software qui a testé tous les codes d’accès possibles à leur place. Mais ils ont très bien pu le faire manuellement aussi. Ils ont dû essayer toutes les combinaisons possibles à quatre chiffres pour accéder à cette messagerie. Beaucoup de gens laissent les codes par défaut : c'est donc parfois simple de pouvoir accéder aux messageries. Ce travail ne leur a pas coûté beaucoup d’efforts et cela montre que la sécurité en Grande-Bretagne laisse vraiment à désirer (bien que les opérateurs aient depuis pris des mesures pour pallier ce genre de problème).

En Suisse, la situation est différente : si je veux donner un accès supplémentaire à ma messagerie vocale, je dois préciser dans mon interface quel téléphone pourra y accéder. Je dois ensuite valider le tout avec un code PIN que j’ai vais recevoir sur mon téléphone portable. 

Dans le cas de News of the world, est-il possible que personne n'ait pu s'apercevoir de cette manipulation ?

Cela a pu être possible, mais il existe tout de même des traces. En effet, il reste toujours des traces lorsqu'on accède à une messagerie depuis un téléphone ou une interface web. Tout dépend de l’opérateur concerné, si celui-ci a pris les mesures adéquates pour protéger au mieux les données de ses utilisateurs.

Par exemple, il existe aujourd’hui sur Facebook, la possibilité d’activer la traçabilité de l’accès à votre compte et d’accéder la sécurité par code SMS qui va vous permettre de recevoir un texto quand quelqu’un va essayer de se connecter sur votre compte si l’endroit prévu de la connexion n’est pas prévue par défaut.

Des mesures peuvent être mises en place. Mais rien ne force les fournisseurs de service à être responsables et vigilants. 

La justice n’est-elle pas censée nous protéger ?

La justice nous protège mais seulement après le piratage de votre téléphone portable. En effet, elle punit les gens qui ont indument accédé à informations personnelles. Mais elle ne protège pas en amont.

En fait, c'est avant tout la responsabilité des entreprises qui est en jeu. Quand la sécurité est un souci qu’une entreprise prend très au sérieux, celle-ci va mettre en place un certain nombre de protections techniques pour empêcher des accès illégaux. Malheureusement elles ne le font pas toutes. Le fait que l’accès à certaines boîtes mails en Angleterre reposent sur des codes à quatre chiffres, montre que ce n’était pas assez sécurisé. Par exemple, ces messageries n’avaient pas de blocage après un certain nombre de tentatives, les journalistes pouvaient essayer toutes les combinaisons à quatre chiffres existantes, pour accéder à cette messagerie. Il y a donc eu un manque de responsabilité de la part des opérateurs qui fournissent ce type de service en Angleterre.

Au niveau européen, il n’existe pas un cadre législatif contraignant les opérateurs de télécommunications à appliquer des règles strictes de sécurité afin de protéger les données des utilisateurs, qui engageraient la responsabilité de l’opérateur en cas de non respect des dites règles. 

Par ailleurs, il existe aujourd’hui un manque d’éducation du consommateur. Son niveau de connaissance est malheureusement très hétérogène : Internet, c’est un train en marche que nous avons tous pris, mais nous ne sommes nécessairement pas tous montés à la même station. Tant que nous n’éduquerons pas l’utilisateur, le problème subsistera. Il faut que le politique et l’Éducation nationale (qui doit intégrer dans le cursus scolaire une forme « d’apprentissage » à l’adoption de comportements numériques appropriés) prennent leurs responsabilités. Il en va de même concernant les opérateurs, qui devraient lancer plus de campagnes de sensibilisation aux risques inhérents à l’utilisation de ces « outils technologiques », plutôt que de ne diffuser que des campagnes de pub . Le problème est que chacun se renvoie la balle et que les mesures concrètes peines à voir le jour. A ce titre, le système législatif a lui aussi beaucoup de difficultés à s’adapter à l’évolution des technologies : l’Europe va prochainement interdire la détention et l’utilisation des outils de hackings, mais c’est une fausse bonne idée : cette mesure n’affectera que les professionnels de la sécurité, les pirates évoluant déjà dans l’illégalité…

Quelles mesures peuvent-être prises pour éduquer les citoyens sur les problèmes de sécurité liés aux nouvelles technologies ?

Il faut que les citoyens essayent d’évaluer la qualité de leur prestataire de services sous l’angle des mesures prises par celui-ci pour protéger leurs données personnelles. Ils doivent poser des questions à leurs opérateurs et demander de se faire accompagner pour la sécurité de leurs informations. Tout le monde ne doit pas devenir un technicien, mais il faut comprendre l’environnement dans lequel on vit. Il ne faut pas oublier que la technologie n’est pas à 100% fiable. C’est une création humaine et toute création humaine comporte des failles qui sont exploitables.

Finalement les portables et les ordinateurs sont-ils nos meilleurs amis ou nos pires ennemis ?

L’Homme est en fait son propre ennemi. Il a créé ces technologies. Elles peuvent être très utiles et permettent des choses très positives quand elles sont bien utilisées. Le problème aujourd’hui est que nous nous retrouvons dans une situation où c’est plus la technologie qui maîtrise l’utilisateur lambda, que le contraire.

Beaucoup de gens sont dans une volonté de simplification, si ce n’est de simplisme. Ils ne veulent plus se fatiguer à lire les modes d’emploi et préfèrent se laisser porter par les technologies sans chercher à en comprendre le fonctionnement. Nous sommes de plus en plus immergés dans un environnement numérisé, auquel notre vie réelle est intimement connectée. Tout ce qui passe par la technologie nous construit et nous définit numériquement, que ce soit les téléphones portables, ou les ordinateurs. Mais peu d’utilisateurs ont conscience du côté fragile de cette « identité numérique ».

Par exemple, posséder un profil Facebook n’est pas anodin, c’est une composante forte de son identité numérique. S’il vient à être piraté, ça va affecter la vie bien réelle de son détenteur, au même titre que l’intrusion sur une boîte vocale. La technologie apporte certes de grands bénéfices, mais elle peut s’avérer être très destructrice. La différence se fait sur la connaissance que nous en avons. Les « consommateurs » de ces technologies et des services qui y sont associés, doivent devenir des utilisateurs avertis, comprendre la technologie, et maîtriser les risques induits par son utilisation.