L'Agence nationale de sécurité américaine recommande aux utilisateurs de téléphones mobiles de renforcer leur sécurité.
Récemment, l'Agence nationale de sécurité américaine (NSA) a formulé un certain nombre de recommandations à l'intention des utilisateurs de téléphones mobiles afin d'accroître leur sécurité, comme redémarrer leur téléphone chaque semaine, désactiver le Bluetooth lorsqu'il n'est pas utilisé, ne pas utiliser les réseaux Wi-Fi publics, etc.
À l'ère du numérique, les téléphones portables sont devenus indispensables à notre quotidien. Cependant, outre leurs nombreux avantages pratiques, ils présentent également des risques pour la sécurité. Il est donc primordial d'assurer leur protection.
Les utilisateurs devraient redémarrer leur téléphone portable chaque semaine pour renforcer la sécurité.
Dans un document détaillant les bonnes pratiques de sécurité pour téléphones mobiles, la NSA recommande aux utilisateurs d'éteindre puis de rallumer leur téléphone chaque semaine afin de se protéger contre les attaques « zero click ». Les vulnérabilités de type « zero click » sont souvent exploitées par les pirates pour intercepter les conversations et collecter des données.
Une vulnérabilité « zéro clic » est une faille de sécurité logicielle dangereuse qui permet à un attaquant de compromettre l'appareil d'un utilisateur sans que ce dernier n'ait à effectuer la moindre action, comme cliquer sur un lien ou ouvrir une pièce jointe. Un attaquant peut exploiter cette vulnérabilité pour installer un logiciel malveillant, voler des données ou prendre le contrôle de l'appareil de l'utilisateur.
Un attaquant peut exploiter cette vulnérabilité à distance, sans aucune interaction de l'utilisateur. C'est ce qui rend les vulnérabilités « zéro clic » bien plus dangereuses que les autres types de failles de sécurité, car l'utilisateur n'a aucune possibilité de détecter ou d'empêcher l'attaque.
De plus, redémarrer son téléphone portable peut également atténuer la menace d'attaques de phishing ciblées par e-mail visant des individus ou des organisations spécifiques (attaques spear-phishing). Contrairement aux attaques de phishing classiques, les attaques spear-phishing sont plus sophistiquées et personnalisées afin de tromper les victimes et de leur faire croire qu'elles reçoivent un e-mail légitime d'une personne ou d'une organisation de confiance.
Cependant, le document de la NSA avertit également que le fait d'éteindre et de rallumer un téléphone portable n'empêche parfois que partiellement la réussite de ces attaques et ne constitue pas une mesure de sécurité absolue.
L'Agence nationale de sécurité américaine a également déclaré : « Les menaces qui pèsent sur les appareils mobiles sont de plus en plus fréquentes, tant en ampleur qu'en complexité. Certaines fonctionnalités des smartphones, bien que pratiques, se font au détriment de la sécurité. Par conséquent, les utilisateurs de téléphones mobiles doivent prendre des mesures proactives pour sécuriser leurs appareils et leurs données. »
Il est important de noter que ces recommandations ne constituent pas une solution miracle à tous les problèmes de sécurité. Bien qu'elles fournissent des conseils généraux utiles, éteindre et rallumer votre appareil ne vous protégera pas contre la plupart des logiciels malveillants et espions sophistiqués, programmés pour se recharger au redémarrage.
En effet, redémarrer son téléphone portable est une méthode courante pour rafraîchir le système après une utilisation prolongée, fermer les applications en arrière-plan et vider le cache, ce qui améliore le fonctionnement du téléphone. Redémarrer le téléphone permet également de résoudre certains problèmes de signal et d'obtenir une meilleure réception.
Vous devez désactiver la connexion Bluetooth lorsqu'elle n'est pas utilisée, ne pas utiliser les réseaux Wi-Fi publics ni les bornes de recharge publiques,...
La NSA recommande également aux utilisateurs de téléphones portables de désactiver les connexions Bluetooth lorsqu'ils ne les utilisent pas, de mettre à jour leurs appareils dès que possible lorsque de nouvelles mises à jour du système d'exploitation et des applications sont disponibles, et de désactiver les services de localisation lorsqu'ils ne sont pas nécessaires.
Comme on peut le constater, la plupart des conseils portent sur le choix entre sécurité et praticité. De plus, la NSA déconseille l'utilisation du Wi-Fi public et des bornes de recharge publiques, même si de nombreux experts en sécurité estiment que le risque est assez faible dans la plupart des cas d'utilisation réels. Cela risque d'être contraignant pour de nombreux utilisateurs de smartphones.
En matière de Wi-Fi public, il existe une différence entre les risques potentiels et les risques réels auxquels les utilisateurs sont exposés. Si les pirates informatiques peuvent exploiter les réseaux non sécurisés à des fins malveillantes, cela consiste généralement à inciter les utilisateurs non avertis à se connecter à leur propre point d'accès Wi-Fi plutôt qu'à celui fourni par une gare, un aéroport ou un café.
Il s'agit d'un type d'attaque de réseau Wi-Fi où l'attaquant utilise un faux point d'accès Wi-Fi portant un nom identique ou similaire à celui du réseau légitime auquel l'utilisateur souhaite se connecter. Ainsi, lorsque l'utilisateur tente de se connecter au réseau légitime, il se connecte à son insu au faux point d'accès créé par le cybercriminel.
Pour garantir la sécurité en public, le Centre national britannique de cybersécurité (NCSC) recommande également aux utilisateurs de se connecter aux réseaux mobiles 4G ou 5G, car ils intègrent des fonctions de sécurité. La plupart des appareils mobiles permettent également de connecter son ordinateur portable au réseau de son smartphone grâce à la fonction de partage de connexion, ce qui s'avère utile pour des opérations sensibles comme les opérations bancaires en ligne.
De plus, la NSA recommande aux utilisateurs d'utiliser un code PIN ou un mot de passe de verrouillage d'écran « fort », comportant au moins six caractères, et de configurer le téléphone pour qu'il efface automatiquement les données après 10 saisies incorrectes et qu'il se verrouille automatiquement après cinq minutes d'inactivité.
Oliver Page, expert en cybersécurité et PDG de la société Cybernut (UK), a déclaré que les utilisateurs devraient créer des mots de passe forts et uniques pour chaque compte à l'aide d'un gestionnaire de mots de passe et éviter d'utiliser des phrases courantes ainsi que de réutiliser les mots de passe sur plusieurs comptes.
La NSA met également en garde contre l'ouverture des pièces jointes et des liens, même si l'expéditeur semble légitime, car cela peut facilement entraîner la transmission involontaire de contenu malveillant ou le piratage de votre compte. Oliver Page recommande par ailleurs d'apprendre à reconnaître les tentatives d'hameçonnage en vérifiant l'adresse électronique de l'expéditeur, l'adresse du site web et en examinant le contenu du courriel afin de déceler tout signe de falsification.
Et les recommandations de la Commission fédérale des communications des États-Unis
Outre les recommandations de la NSA, la Commission fédérale des communications (FCC), agence indépendante du gouvernement américain, a également publié plusieurs recommandations pratiques en matière de sécurité pour les utilisateurs de smartphones. Si certaines de ces recommandations recoupent celles d'autres organismes gouvernementaux et forces de l'ordre, quelques points méritent d'être soulignés.
Ne modifiez pas les paramètres de sécurité par défaut de votre smartphone :Selon la FCC, le fait de modifier les paramètres d'usine d'un téléphone, par exemple en le débridant ou en intervenant directement dans le système pour obtenir un accès privilégié (rootage), affaiblit les fonctions de sécurité intégrées fournies par les opérateurs de téléphonie mobile et les fabricants de smartphones, rendant ainsi l'appareil plus vulnérable aux attaques.
Soyez prudent lorsque vous accordez des autorisations aux applications :La FCC met en garde contre l'exploitation abusive des autorisations des applications : il est essentiel de bien les comprendre, car elles peuvent être utilisées pour contourner certaines mesures de sécurité. Bien que les systèmes d'exploitation mobiles modernes aient rendu ces autorisations plus transparentes, il reste important d'être conscient des risques potentiels. Selon la FCC, les utilisateurs doivent faire preuve de prudence lorsqu'ils autorisent des applications à accéder à leurs informations personnelles sur leur téléphone ou à exécuter des fonctions sur celui-ci.
Configurer la désactivation de l'accès à distance et l'effacement des données à distance pour les téléphones mobiles :En configurant la désactivation de l'accès à distance et l'effacement des données à distance, les utilisateurs peuvent protéger leurs téléphones contre les accès non autorisés et leurs données personnelles en cas de perte ou de vol.
Effacer les données et réinitialiser les paramètres d'usine avant de vendre ou de jeter le téléphone :Enfin, effacez toujours les données du téléphone portable de l'utilisateur et réinitialisez-le aux paramètres d'usine avant de le vendre ou de vous en débarrasser afin d'éviter que des données importantes ne tombent entre de mauvaises mains.
