Votre smartphone entend des voix et vous feriez bien de vous préoccuper du risque que cela fait peser sur votre sécurité

Article publié initialement le 25 janvier 2017

Atlantico : Les technologies de reconnaissance vocale se sont multipliées ces dernières années. Elles sont apparues avec Siri d'Apple. Toutefois, des chercheurs des Université de Georgetown et Berkeley sont parvenus à créer des signaux sonores qui pouvaient être décryptés par les Smartphones au détriment des commandes initiées par les possesseurs. En quoi est-ce que ces assistants peuvent être une menace pour les propriétaires de ces appareils ? Quels sont les messages qui pourraient provoquer une telle action contre le gré des propriétaires ?

Frank Puget : Il y a d’abord un effet mécanique. Plus vous créez d’ouvertures, qu’elles soient physiques ou logiques, plus vous multipliez les possibilités que l’une ou l’autre ait une faille et permette ou favorise une intrusion. Lorsqu’il y a encore cinq ou six ans vous deviez saisir à la main les commandes que vous vouliez utiliser, il fallait pour être piraté que le hacker ait votre téléphone ou votre ordinateur dans la main ou qu’il l’ait préalablement pollué par un logiciel malicieux. Avec la multiplication des interconnexions entre les machines il existe deux difficultés majeures pour conserver des échanges sécurisés :

Le fait que, structurellement, tous les équipements, provenant souvent de constructeurs différents et ayant des destinations très diverses, travail, loisirs par exemple, ne sont pas sécurisés au même niveau. Un smartphone professionnel fera l’objet de l’attention du DSI et sera configuré de façon à résister à la plupart des agressions. En revanche, une montre interconnectée qui sert d’assistant sportif mais qui dialogue avec le smartphone, lequel synchronisera avec l’ordinateur ou la tablette familiale via la box de la maison, crée des vulnérabilités. C’est le principe du maillon faible dans une chaîne.

Les voies de connexions deviennent elles-mêmes des vecteurs de pénétration et de pollution. Si nous reprenons l’exemple de l’assistant sportif (montre intelligente qui fait podomètre et tachymètre), elle se connecte en Blue Tooth avec le téléphone sur lequel est stockée l’application sportive. Cette connexion n’est pas aussi sécurisée que celle mise en place par le service informatique de l’entreprise qui a peut-être prévu un VPN. Mais, entre les deux machines, rien. Elle est donc vulnérable à une autre connexion de proximité, non autorisée celle-ci, et qui peut permettre une captation ou une intrusion.

Et, dans les deux cas, on a beau être le possesseur d’une machine de combat en termes de smartphone ou de lap top, si on y ajoute un autre appareil n’ayant pas le même niveau de sécurité ou si nous commençons à jouer avec les applications ludiques ou sportives, etc. sans précaution, rien n’est réellement évitable.

Bien entendu, le fait maintenant de simplifier l’usage des assistants personnels grâce à des commandes vocales, va créer, et pour un certain temps encore, d’autres vulnérabilités. Certains services, banques, assurances, service après-vente… mettent à votre disposition des serveurs vocaux. Lorsque vous les sollicitez, ils vous demandent de dicter à haute et intelligible voix les commandes que vous désirez activer. Bien des gens le font sans précaution aucune dans les espaces publics. Et tout y passe, les adresses, les noms, les dates de naissance quand ce ne sont pas les codes eux-mêmes. Ils sont donc accessibles à toute oreille attentive. Au-delà des problématiques purement techniques, il y a une éducation de l’utilisateur qu’il convient de reprendre et d’instaurer ce que nous pourrions qualifier d’hygiène informatique.

Si ces téléphones nous permettent d'enregistrer toute notre vie ou presque, quels sont les risques auxquels s'exposent les détenteurs de Smartphones ? 

Le souci majeur vient de la capacité technique des smartphones à stocker, gérer vos données tant professionnelles que personnelles, avec une grande facilité. Et ce, à point tel, que le législateur est récemment intervenu pour inscrire dans la loi le droit à la déconnexion. Or, une majorité des utilisateurs de smartphones, des enfants, ados et adultes, quel que soit le statut ou le niveau de responsabilité de chacun, reste connecté de manière quasi permanente, en tous lieux, sans faire de transition de sécurité (certains hauts responsables passent d’un environnement sécurisé à des connexions publiques ou familiales sans aucune précaution).

Nous avons donc deux faits qui se cumulent. D’un côté nous stockons de plus en plus de données professionnelles et personnelles (mails, pièces jointes… et puis photos souvenirs, snap shots, liens favoris etc.) qui restent sur le smartphone puisqu’il en a la capacité physique et que nous transférons éventuellement, pêle-mêle sur le Cloud ! Nous constituons donc une banque de données formidable à la disposition de celui qui pénètrera dans le téléphone (vols, perte, échange – le « vieux » téléphone va à votre ado … mais une partie des fichiers, voire des connexions automatisées vers l’entreprise restent). Au passage, nous noterons qu’en l’absence de code clavier, le contenu est en « open bar ». Avec un code à quatre chiffres, il faut moins de quarante minutes à un bon professionnel équipé pour casser le code. Cela se complique si le code est à six chiffres et plus. Et les systèmes à empreintes digitales sont encore d’inégale valeur. D’autre part, le type de contenu est extrêmement mélangé. La vie familiale, personnelle, quelquefois même les côtés très intimes y côtoient les messages et le contenu professionnel sans distinguer ce qui est de l’usage courant de ce qui devrait rester confidentiel et stocké de manière adéquate.

Le risque pour l’utilisateur est donc de se trouver mis en danger en cas de piratage, de vol ou tout simplement de revente (sans avoir pris la précaution de nettoyer totalement l’appareil et de le reformater). Bien sûr, tout le monde n’a pas des secrets d’état ou industriels dans son téléphone ou dans sa tablette. Mais chacun a son intimité, ses secrets personnels, ses joies et ses peines. Nous lisons trop souvent les ravages causé par des expositions idiotes ou agressives de photos, vidéos, informations etc. notamment chez les ados, mais aussi chez les adultes (divorce, vengeance de voisinage…).

Les chercheurs ont travaillé sur ces signaux afin de prévoir des ripostes en cas d'attaques sur un smartphone. Quel peut-être l'arsenal auquel peut avoir recours un utilisateur pour protéger ses données présentes dans son portable ? 

Il n’y a pas, à mon sens, de remède ou de solution miracle et définitive. Nous sommes dans la lutte permanente de l’obus et de la cuirasse. Chaque jour, de nouvelles failles sont découvertes et chaque jour des chercheurs patchent ces failles. Je crois beaucoup plus à l’hygiène cyber en termes de sécurité informatique. Il faut d’abord être conscient, sans être parano, que le monde est plein de prédateurs, que le vecteur informatique est devenu un agent majeur de notre quotidien et que, forcément, ceux qui recherchent des gains faciles et rapides au dépend d’autrui, l’utilisent à leur profit et à votre détriment.

Il faut donc, dans la mesure du possible et de ses moyens, éviter de stocker sur un smartphone des données sensibles (professionnelles ou personnelles). Faire régulièrement le ménage dans ses mails, c’est d’ailleurs salutaire pour la planète.

Sur le plan des connexions, il faut avoir une discipline personnelle. On ne se connecte pas compulsivement n’importe où, au risque de s’exposer (nous faisons à titre de sensibilisation, des démonstrations avec de faux hot spots gratuits sur lesquels beaucoup de monde se connecte sans aucune précaution). Il faut essayer d’utiliser un VPN et / ou des machines virtuelles. Et, ne pas croire que l’on est chez soit dans un wagon ou dans un aéroport lorsque l’on parle à son assistant personnel informatique.

La machine reste un outil. Quand on est conscient de ses limites, on s’en sert de manière optimale, dans le cas contraire, on risque de faire des dégâts.