En direct
Best of
Best of du 8 au 14 juin
En direct
© Reuters
Je suis ton père
Votre smartphone entend des voix... Et vous auriez grand tort de sous-estimer les problèmes causés
Publié le 25 janvier 2017
Les technologies embarquées dans les smartphones sont utiles à bien du monde au quotidien. Utiliser son assistant vocal pour demander certaines tâches à son portable peut rendre de grands services. Toutefois, de nouvelles attaques arrivent aussi avec ces nouvelles technologies. Des mises en gardes sont à prévoir.
Frank Puget est directeur général de KER-MEUR S.A (Suisse), société d'intelligence économique, cyber sécurité et formation.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frank Puget
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frank Puget est directeur général de KER-MEUR S.A (Suisse), société d'intelligence économique, cyber sécurité et formation.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Les technologies embarquées dans les smartphones sont utiles à bien du monde au quotidien. Utiliser son assistant vocal pour demander certaines tâches à son portable peut rendre de grands services. Toutefois, de nouvelles attaques arrivent aussi avec ces nouvelles technologies. Des mises en gardes sont à prévoir.

Atlantico : Les technologies de reconnaissance vocales se sont multipliées ces dernières années. Elles sont apparues avec Siri d'Apple. Toutefois, des chercheurs des Université de Georgetown et Berkeley sont parvenus à créer des signaux sonores qui pouvaient être décryptés par les Smartphones au détriment des commandes initiées par les possesseurs. En quoi est-ce que ces assistants peuvent être une menace pour les propriétaires de ces appareils ? Quels sont les messages qui pourraient provoquer une telle action contre le gré des propriétaires ?

Frank Puget : Il y a d’abord un effet mécanique. Plus vous créez d’ouvertures, qu’elles soient physiques ou logiques, plus vous multipliez les possibilités que l’une ou l’autre ait une faille et permette ou favorise une intrusion. Lorsqu’il y a encore cinq ou six ans vous deviez saisir à la main les commandes que vous vouliez utiliser, il fallait pour être piraté que le hacker ait votre téléphone ou votre ordinateur dans la main ou qu’il l’ait préalablement pollué par un logiciel malicieux. Avec la multiplication des interconnexions entre les machines il existe deux difficultés majeures pour conserver des échanges sécurisés :

Le fait que, structurellement, tous les équipements, provenant souvent de constructeurs différents et ayant des destinations très diverses, travail, loisirs par exemple, ne sont pas sécurisés au même niveau. Un smartphone professionnel fera l’objet de l’attention du DSI et sera configuré de façon à résister à la plupart des agressions. En revanche, une montre interconnectée qui sert d’assistant sportif mais qui dialogue avec le smartphone, lequel synchronisera avec l’ordinateur ou la tablette familiale via la box de la maison, crée des vulnérabilités. C’est le principe du maillon faible dans une chaîne.

Les voies de connexions deviennent elles-mêmes des vecteurs de pénétration et de pollution. Si nous reprenons l’exemple de l’assistant sportif (montre intelligente qui fait podomètre et tachymètre), elle se connecte en Blue Tooth avec le téléphone sur lequel est stockée l’application sportive. Cette connexion n’est pas aussi sécurisée que celle mise en place par le service informatique de l’entreprise qui a peut-être prévu un VPN. Mais, entre les deux machines, rien. Elle est donc vulnérable à une autre connexion de proximité, non autorisée celle-ci, et qui peut permettre une captation ou une intrusion.

Et, dans les deux cas, on a beau être le possesseur d’une machine de combat en termes de smartphone ou de lap top, si on y ajoute un autre appareil n’ayant pas le même niveau de sécurité ou si nous commençons à jouer avec les applications ludiques ou sportives, etc. sans précaution, rien n’est réellement évitable.

Bien entendu, le fait maintenant de simplifier l’usage des assistants personnels grâce à des commandes vocales, va créer, et pour un certain temps encore, d’autres vulnérabilités. Certains services, banques, assurances, service après-vente… mettent à votre disposition des serveurs vocaux. Lorsque vous les sollicitez, ils vous demandent de dicter à haute et intelligible voix les commandes que vous désirez activer. Bien des gens le font sans précaution aucune dans les espaces publics. Et tout y passe, les adresses, les noms, les dates de naissance quand ce ne sont pas les codes eux-mêmes. Ils sont donc accessibles à toute oreille attentive. Au-delà des problématiques purement techniques, il y a une éducation de l’utilisateur qu’il convient de reprendre et d’instaurer ce que nous pourrions qualifier d’hygiène informatique.

Si ces téléphones nous permettent d'enregistrer toute notre vie ou presque, quels sont les risques auxquels s'exposent les détenteurs de Smartphones ? 

Le souci majeur vient de la capacité technique des smartphones à stocker, gérer vos données tant professionnelles que personnelles, avec une grande facilité. Et ce, à point tel, que le législateur est récemment intervenu pour inscrire dans la loi le droit à la déconnexion. Or, une majorité des utilisateurs de smartphones, des enfants, ados et adultes, quel que soit le statut ou le niveau de responsabilité de chacun, reste connecté de manière quasi permanente, en tous lieux, sans faire de transition de sécurité (certains hauts responsables passent d’un environnement sécurisé à des connexions publiques ou familiales sans aucune précaution).

Nous avons donc deux faits qui se cumulent. D’un côté nous stockons de plus en plus de données professionnelles et personnelles (mails, pièces jointes… et puis photos souvenirs, snap shots, liens favoris etc.) qui restent sur le smartphone puisqu’il en a la capacité physique et que nous transférons éventuellement, pêle-mêle sur le Cloud ! Nous constituons donc une banque de données formidable à la disposition de celui qui pénètrera dans le téléphone (vols, perte, échange – le « vieux » téléphone va à votre ado … mais une partie des fichiers, voire des connexions automatisées vers l’entreprise restent). Au passage, nous noterons qu’en l’absence de code clavier, le contenu est en « open bar ». Avec un code à quatre chiffres, il faut moins de quarante minutes à un bon professionnel équipé pour casser le code. Cela se complique si le code est à six chiffres et plus. Et les systèmes à empreintes digitales sont encore d’inégale valeur. D’autre part, le type de contenu est extrêmement mélangé. La vie familiale, personnelle, quelquefois même les côtés très intimes y côtoient les messages et le contenu professionnel sans distinguer ce qui est de l’usage courant de ce qui devrait rester confidentiel et stocké de manière adéquate.

 

Le risque pour l’utilisateur est donc de se trouver mis en danger en cas de piratage, de vol ou tout simplement de revente (sans avoir pris la précaution de nettoyer totalement l’appareil et de le reformater). Bien sûr, tout le monde n’a pas des secrets d’état ou industriels dans son téléphone ou dans sa tablette. Mais chacun a son intimité, ses secrets personnels, ses joies et ses peines. Nous lisons trop souvent les ravages causé par des expositions idiotes ou agressives de photos, vidéos, informations etc. notamment chez les ados, mais aussi chez les adultes (divorce, vengeance de voisinage…).

Les chercheurs ont travaillé sur ces signaux afin de prévoir des ripostes en cas d'attaques sur un smartphone. Quel peut-être l'arsenal auquel peut avoir recours un utilisateur pour protéger ses données présentes dans son portable ? 

Il n’y a pas, à mon sens, de remède ou de solution miracle et définitive. Nous sommes dans la lutte permanente de l’obus et de la cuirasse. Chaque jour, de nouvelles failles sont découvertes et chaque jour des chercheurs patchent ces failles. Je crois beaucoup plus à l’hygiène cyber en termes de sécurité informatique. Il faut d’abord être conscient, sans être parano, que le monde est plein de prédateurs, que le vecteur informatique est devenu un agent majeur de notre quotidien et que, forcément, ceux qui recherchent des gains faciles et rapides au dépend d’autrui, l’utilisent à leur profit et à votre détriment.

Il faut donc, dans la mesure du possible et de ses moyens, éviter de stocker sur un smartphone des données sensibles (professionnelles ou personnelles). Faire régulièrement le ménage dans ses mails, c’est d’ailleurs salutaire pour la planète.

Sur le plan des connexions, il faut avoir une discipline personnelle. On ne se connecte pas compulsivement n’importe où, au risque de s’exposer (nous faisons à titre de sensibilisation, des démonstrations avec de faux hot spots gratuits sur lesquels beaucoup de monde se connecte sans aucune précaution). Il faut essayer d’utiliser un VPN et / ou des machines virtuelles. Et, ne pas croire que l’on est chez soit dans un wagon ou dans un aéroport lorsque l’on parle à son assistant personnel informatique.

 

La machine reste un outil. Quand on est conscient de ses limites, on s’en sert de manière optimale, dans le cas contraire, on risque de faire des dégâts.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Véhicules propres : la Chine abandonne l'électrique pour miser sur la voiture à hydrogène
02.
Mariage de Karine Ferri : Nikos n'est pas venu, les autres stars non plus; Laeticia Hallyday se rabiboche avec son père, Meghan Markle aurait fait fuir sa mère, Rihanna renoue avec son milliardaire;  Kate Middleton snobe Rose, Britney Spears s'arrondit
03.
Crise au sein de LREM dans le Nord : six députés claquent la porte
04.
Laura Smet a épousé Raphaël Lancrey-Javal au Cap Ferret
05.
Le "chat renard", une nouvelle espèce de félin découverte en Corse
06.
Stars ET milliardaires : quand la puissance de la célébrité transforme Jay Z ou Rihanna en magnats des affaires
07.
Vous pensiez qu’un verre de lait et un jus d’orange étaient le petit-déjeuner parfait ? Voilà pourquoi vous avez tort
01.
Véhicules propres : la Chine abandonne l'électrique pour miser sur la voiture à hydrogène
02.
Mariage de Karine Ferri : Nikos n'est pas venu, les autres stars non plus; Laeticia Hallyday se rabiboche avec son père, Meghan Markle aurait fait fuir sa mère, Rihanna renoue avec son milliardaire;  Kate Middleton snobe Rose, Britney Spears s'arrondit
03.
Cette nouvelle technique du dépistage du cancer de la prostate qui pourrait sauver de nombreuses vies
04.
Justification des violences contre les femmes : les étonnants propos de l’imam de l’université la plus prestigieuse du monde sunnite
05.
Révolution sur canapé : une enquête montre que 92% des activistes berlinois d’extrême-gauche vivent chez papa-maman
06.
Crise au sein de LREM dans le Nord : six députés claquent la porte
01.
PMA : la droite est-elle menacée de commettre la même erreur qu’avec le progressisme des années 60 qu’elle a accepté en bloc au nom de l’évolution de la société ?
02.
“Droite moderne”, “LREM pragmatique pour le bien du pays” : mais au fait, qu’est ce que cela veut vraiment dire ?
03.
Justification des violences contre les femmes : les étonnants propos de l’imam de l’université la plus prestigieuse du monde sunnite
04.
Mais pourquoi s’abstenir de faire des enfants pour sauver la planète alors que le pic démographique est passé ? Petits arguments chiffrés
05.
Réforme des retraites : pourquoi les salariés du privé ont toutes les raisons de s’inquiéter
06.
De Benalla à Loiseau en passant par Castaner : ces déceptions personnelles d'Emmanuel Macron qui montrent son incapacité à bien s'entourer
Commentaires (1)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
edac44
- 26/01/2017 - 12:43
Je vais vous confier un secret mais chut !...
"le roi midas a des oreilles d'âne" !...