Les experts en sécurité avertissent : tous les smartphones ne sont pas sécurisés
La société de cybersécurité Group-IB, basée à Singapour, a averti que toute personne possédant un smartphone, qu'il utilise iOS ou Android, pourrait être la cible d'attaques.
Ainsi, les récentes découvertes du logiciel Cellebrite Premium, un puissant outil médico-légal conçu pour extraire et analyser les données des smartphones, ont clairement démontré que les appareils modernes, apparemment sûrs, peuvent être facilement exploités.
Le logiciel a été largement utilisé par les forces de l’ordre et les organismes de sécurité pour collecter des informations à partir de smartphones verrouillés ou cryptés.
L'outil est devenu célèbre après que le FBI l'a utilisé pour pirater le téléphone d'un suspect qui a tenté d'assassiner Donald Trump, complétant le processus en seulement 40 minutes.
Cet événement met non seulement en évidence les capacités supérieures de Cellebrite, mais soulève également des inquiétudes quant à la sécurité réelle des appareils que nous considérons toujours comme « inviolables ».
Récemment, un rapport d'Amnesty International a critiqué le gouvernement serbe pour avoir utilisé ce produit pour pirater illégalement les téléphones portables personnels des journalistes et militants de l'organisation.
Ce ne sont là que quelques exemples de la facilité avec laquelle les appareils mobiles peuvent être exploités. Group-IB soulève des questions urgentes sur la transparence et la sécurité des utilisateurs.
« Des découvertes récentes montrent que les fabricants de smartphones minimisent ou cachent souvent les vulnérabilités en matière de sécurité, exposant ainsi les particuliers et les entreprises à des risques tels que les violations de données, le vol d'identité et l'espionnage d'entreprise », a déclaré Group-IB dans un rapport.
Des outils médico-légaux avancés ont révélé le fait inquiétant que la plupart des smartphones modernes risquent de voir leurs données extraites juste après avoir été déverrouillés pour la première fois.
« Non seulement les appareils plus anciens sont vulnérables, mais même les modèles de smartphones les plus récents ne sont pas à l'abri », souligne le rapport du Group-IB. « Malheureusement, tout utilisateur de smartphone moderne sous Apple iOS ou Google Android risque d'être piraté. »
Que peuvent faire les outils de déverrouillage de téléphone ?
Les nouvelles fonctionnalités de Cellebrite permettent de jailbreaker les iPhones, compatibles avec les appareils fonctionnant sous iOS 12.5 à 17.2.1. Cela permet d'accéder aux appareils verrouillés sans connaître le mot de passe.
De plus, la mise à jour étend également la prise en charge du jailbreaking de la série Samsung Galaxy S24, y compris les modèles utilisant des processeurs Qualcomm et Exynos, permettant à l'outil d'extraire des données à partir d'appareils Android plus haut de gamme.
Il est à noter que l'outil jailbreake même les nouveaux modèles de smartphones, notamment les séries Pixel 8 et iPhone 15. Le fournisseur précise que les smartphones les plus récents sont vulnérables dès le premier déverrouillage.
GrayKey, un autre outil de déverrouillage et de récupération de données pour téléphone portable, peut également accéder partiellement à n'importe quel iPhone exécutant iOS 18 ou une version antérieure, mais selon Group-IB, l'outil a du mal avec les dernières mises à jour iOS.
GrayKey a notamment montré que tous les appareils Google Pixel sont vulnérables aux attaques immédiatement après le premier déverrouillage, créant ainsi une grave faille de sécurité pour les utilisateurs.
« Les appareils plus anciens, tels que l’iPhone X et les appareils antérieurs, présentent de très grandes vulnérabilités et peuvent être facilement exploités », ont déclaré les chercheurs du Group-IB.
Malgré les technologies de chiffrement avancées, les appareils modernes restent vulnérables aux attaques. En fait, même les appareils les plus récents le sont, surtout en mode Après Premier Déverrouillage (AFU).
Même les smartphones les plus sécurisés peuvent être exploités en cas de vol ou de perte, avertissent les chercheurs.
Comment les utilisateurs peuvent-ils se protéger ?
Cellebrite et d’autres outils ont le potentiel d’exposer les utilisateurs de smartphones à une variété de risques, notamment les violations de données, le vol d’identité, la falsification de preuves ou même l’espionnage d’entreprise.
Group-IB recommande aux utilisateurs iOS d'activer le mode de verrouillage car il limite la possibilité d'exploiter et de mettre à niveau le matériel du smartphone aussi souvent que possible.
Les utilisateurs d'Android devraient opter pour des téléphones sécurisés comme le Google Pixel 8 et les appareils plus récents, en particulier ceux dotés de fonctionnalités de sécurité intégrées aux nouveaux processeurs pour protéger les données personnelles contre les menaces de sécurité.
« Les utilisateurs expérimentés peuvent envisager d'utiliser un système d'exploitation personnalisé pour passer du déverrouillage après le premier déverrouillage (AFU) au déverrouillage avant le premier déverrouillage (BFU), tout en s'assurant que le chargeur de démarrage est verrouillé pour plus de sécurité », recommande Group-IB.
Les fabricants devraient améliorer la sécurité du matériel en permettant de désactiver complètement les ports de connexion des smartphones lorsque l'appareil est en mode verrouillé (autorisant uniquement la charge), protégeant ainsi le matériel du port et interrompant toute transmission de données, garantissant ainsi la sécurité de l'appareil contre les menaces d'intrusion.
De plus, les fabricants devraient s’inspirer d’Apple en mettant en œuvre une fonctionnalité qui fait passer les smartphones en mode de pré-déverrouillage après une période d’inactivité plus courte, ce qui améliore la sécurité et prévient les risques potentiels.
« Il est nécessaire de renforcer la sécurité du chargeur de démarrage en détectant et en corrigeant les vulnérabilités, et en veillant à ce qu'elles soient signalées rapidement. Certains anciens modèles de smartphones peuvent être attaqués par force brute pour déchiffrer les mots de passe. Il est donc important d'appliquer la recommandation relative à la longueur minimale des mots de passe pour prévenir ce risque », a souligné le Group-IB.
Enfin, les utilisateurs doivent mettre à niveau leurs systèmes de sécurité biométriques et leurs mécanismes antivol, afin de garantir un niveau de protection plus élevé.