Cette conférence a démontré les vulnérabilités de l’implémentation de la sécurité dans les téléphones actuels ; quelle que soit la marque et l’Os. Pour ne pas crier au loup sans ne jamais l’avoir vu, quelles sont les craintes actuelles des utilisateurs dans le domaine ? Que l’on utilise cet équipement à titre personnel ou professionnel on souhaite essentiellement deux choses : conserver le caractère privée des communications et, accessoirement, la maîtrise des coûts de communication.

Cette présentation a donc eu pour objectif de rappeler combien ces merveilles de technologie étaient fragiles, et pour une fois, quel que soit le comportement de son utilisateur. Nous verrons comment il est possible aujourd’hui sur un mobile :
• De modifier les paramètres du téléphone, pour une utilisation frauduleuse,
• En récupérer les données : carnet d’adresses, SMS échanges,
• Et tellement plus encore…

Jarno a pris soin de présenter sa démarche, les outils et les solutions existantes dans l’environnement de la téléphonie mobile pour circonscrire ces problèmes.

Les spywares à l’assaut de nos mobiles…

Dès les premières planches Jarno Niemelä nous plonge dans les méandres du monde des « hackers », de ceux qui créer des outils permettant comme sur un traditionnel PC de déployer des virus, vers et autres joyeusetés du même genre sur les mobiles. Jarno nous emmène alors à découvrir plus particulièrement une nouvelle espèce que nos DSI combattent avec force et conviction : les spywares. Cette forme de virus/vers qui n’ont pas pour vocation première de détruire les données ou perturber la disponibilité des ordinateurs, mais simplement de dérober de l’information. La démonstration est édifiante ; il existe des logiciels disponibles pour une poignée d’Euros, et oui en Dollars ça tient plus dans la main, qui permettent de créer à sa guise et pour une population ciblée un spyware. Le plus étonnant pour ne pas dire hallucinant, est que leurs éditeurs, pris d’une poussée d’éthique, distribuent leurs outils avec des capacités limitées si vous ne leur fournissez pas par avance le n° du terminal visé ! Autrement dit, puisqu’il s’agit d’un vrai commerce, le numéro de licence est le n° IMEI (i.e. le numéro de série du téléphone de la victime).

… mais les procédures de hacking nécessite un accès physique au terminal

Petit bémol tout de même à la procédure de hacking, il faut préalablement avoir eu un accès physique au terminal pour récupérer cette information. Mais ne dit-on pas : occupez-vous de mes amis, mes ennemis je m’en charge ! De plus cet accès physique sera nécessaire pour installer l’espion dès que ce dernier aura été « customisé » et téléchargé. Après quoi, le logiciel installé et opérationnel pourra collecter des informations et les transmettre par différents canaux, cachés ou pas : memory card, http/e-mail, BlueTooth…

Les « éditeurs » de ce type de programme développent les mêmes compétences que ceux écrivant et propageant les virus/vers/spyware à destination des environnements informatiques traditionnels. Nous apprendrons dans la suite des conférences qu’il y a aujourd’hui plus de téléphones mobiles que d’ordinateurs sur terre ! Avec une nuance importante dans les capacités techniques de ce parc, beaucoup ne sont que de simple téléphone. Dans le domaine de la sécurité informatique, nous connaissons tous l’impact de l’effet de volume sur les communautés de hackers et leur(s) cible(s).

Les informations que tentent de récupérer les « ayants droits », ceux ayant acquis le logiciel donc le résultat de son usage, sont nombreuses. Sans en faire une taxinomie, voici quelqu’une des informations :
• Correspondance et trafic SMS/MMS,
• Correspondance et trafic E-Mail,
• Les informations de la carte SIM,
• Les données d’appels : numéros entrant et sortant,
• L’enregistrement d’une conversation téléphonique,
• L’insertion dans une conversation et son écoute passive,
• L’écoute à distance, utiliser le mobile comme un micro pour espionner l’entourage,
• Le reroutage du trafic Data vers un WLAN au lieu du GPRS/3G/4G,
• Récupérer les données de géolocalisation,
• Récupérer toutes les saisies clavier comme un keylogger.

Jarno a présenté quelques uns de ces produits, leur interface d’administration à distance, avec une sécurité, les moyens de déploiement et de contrôle.

Mais commet maîtriser ces logiciels et prévenir leur usage ?

Le premier d’entre eux est sans nul doute la sécurité physique du terminal : toujours le conserver sous son propre contrôle. Mais cela ne suffit pas toujours. Il est vrai que les éditeurs et constructeurs de mobiles font de réels efforts pour offrir une certaine sécurité du terminal. Jarno rapporte comme exemple le cas de Symbian S60 2nd Edition qui comporte des éléments de sécurité du code installé par reconnaissance de la signature du code d’une application. Jusque là le principe très bien ! Mais le problème, est qu’un éditeur malveillant à fait certifier le code d’une soit disant application de sauvegarde qui en fait est un spyware activable par des « cheat codes » comme sur un vulgaire jeu vidéo… La structure des systèmes d’exploitation embarquée ne permet pas non plus une sécurité efficace : peu de gestion des privilèges utilisateurs, visibilité par l’ensemble des programmes actifs des ressources systèmes et machines…

Vous connaissez l’adage : A tout problème une solution, sinon…

Jarno a donc proposé quelques méthodes d’investigation permettant de découvrir et de nettoyer son terminal de tels spywares. Bien sûr ces méthodes d’investigation demandent une bonne connaissance des systèmes d’exploitation en général et plus particulièrement ceux des smartphones. Il a donc présenté les processus de découverte de ces programmes malicieux. Méthode assez traditionnel pour les amateurs de forensic :

• Analyse des processus systèmes et de leurs ressources,
• Privilèges applicatifs associés : appels systèmes, I/O sur la configuration…
• Analyse du système de fichiers,
• Comparaison avec un terminal réputé sain,
• Étalonner vos coûts de communication avec une SIM test (détection du trafic non sollicité et mais facturé dû à l’activité du spyware),
• …

Si les nouveaux OS semblent plus sûrs, il ne faut pas négliger quelques bonnes règles de prudence

Pour conclure sa présentation, Jarno a laissé un peu d’espoir. Déjà le niveau de sécurité dans les smartphones semble s’améliorer (i.e. Symbian S60 3thd Edtition), d’autres parts quelques bonnes pratiques s’imposent, comme :
• Mettre à jour son téléphone régulièrement quand cela est rendu possible par le constructeur,
• Sauvegarder la configuration et les données et restaurer après un reset,
• Verrouiller son téléphone et le garder en lieur sûr,
• N’autoriser que des applications signées et reconnues par le fournisseur,
• Et bien sûr, utiliser un anti-virus à jour sur votre mobile…