Mobile
OTAN : l’iPhone et l’iPad certifiés pour les données sensibles
L’iPhone et l’iPad deviennent les premiers appareils grand public capables de traiter des informations classifiées de l’OTAN. Cette reconnaissance, accordée après une évaluation rigoureuse menée par l’administration allemande, confirme que les protections intégrées d’iOS 26 et d’iPadOS 26 répondent aux exigences strictes des environnements à accès restreint. Apple franchit ainsi une étape stratégique en démontrant qu’un appareil grand public peut atteindre un niveau de sécurité auparavant réservé aux solutions spécialisées.
Certification OTAN : un tournant pour les appareils mobiles
L’OTAN autorise désormais l’usage de l’iPhone et de l’iPad pour manipuler des données classifiées jusqu’au niveau « Diffusion restreinte ». Cette décision ne nécessite ni logiciels supplémentaires ni configurations complexes. Elle repose sur l’architecture de sécurité native d’Apple, déjà validée par le gouvernement allemand après des tests approfondis du BSI. Grâce à cette certification, les deux appareils rejoignent le Catalogue des produits de sécurité de l’information de l’OTAN.
Une sécurité intégrée dès la conception
Apple conçoit ses appareils autour d’un principe simple : la sécurité doit être un élément fondamental, pas un ajout. Cette approche se traduit par un chiffrement avancé, une authentification biométrique robuste avec Face ID et des mécanismes innovants comme le Memory Integrity Enforcement. Ces protections, pensées pour tous les utilisateurs, répondent désormais aux standards internationaux les plus exigeants.
Une reconnaissance qui change les pratiques gouvernementales
Avant cette certification, les organisations devaient investir dans des solutions sur mesure pour garantir la sécurité de leurs communications. L’iPhone et l’iPad bouleversent ce modèle. Ils offrent une plateforme sécurisée prête à l’emploi, capable de répondre aux besoins opérationnels des gouvernements et des institutions internationales. Cette évolution marque une nouvelle ère où les appareils grand public peuvent rivaliser avec les solutions spécialisées.
Attaque contre la Commission européenne : l’importance de l’analyse de compromission mobile
Les infrastructures mobiles, une cible stratégique pour les attaquants
Les cyberattaques visant les grandes institutions rappellent régulièrement une vérité essentielle : aucun système n’est totalement imperméable. L’exemple récent de la Commission européenne, confrontée à une intrusion dans son infrastructure de gestion des appareils mobiles, illustre parfaitement cette réalité. Les plateformes MDM, indispensables au fonctionnement quotidien des organisations, concentrent des privilèges élevés et un accès étendu aux terminaux. Leur compromission potentielle représente donc un risque majeur.
Lorsqu’une activité suspecte est détectée au sein d’un système MDM, l’enjeu dépasse la simple intrusion technique. Ces plateformes administrent les smartphones professionnels, appliquent les politiques de sécurité, déploient les mises à jour et contrôlent les accès. Elles constituent un point névralgique du réseau. Une attaque réussie peut exposer des informations sensibles, comme des identités, des numéros de téléphone ou des métadonnées d’usage, même si les terminaux eux‑mêmes ne sont pas compromis.
Le rôle central des MDM dans la sécurité des organisations
Dans les entreprises comme dans les institutions publiques, les solutions de Mobile Device Management jouent un rôle déterminant. Elles permettent de configurer les appareils à distance, de restreindre certaines fonctionnalités, d’imposer des règles de sécurité ou encore d’effacer un terminal perdu ou volé. Cette centralisation est indispensable, mais elle crée également un point de concentration des risques.
Parce qu’ils disposent d’un accès administratif étendu, les MDM attirent naturellement les cybercriminels. Une intrusion dans cette couche critique peut offrir une visibilité sur les terminaux gérés, voire sur certaines données associées. Même lorsque les appareils ne sont pas directement touchés, l’exposition d’informations périphériques peut suffire à fragiliser une organisation.
Réagir vite, contenir, analyser : les fondamentaux d’une réponse efficace
Face à ce type d’incident, la rapidité d’intervention reste déterminante. Les équipes de cybersécurité doivent activer immédiatement leurs procédures, isoler les systèmes concernés, analyser les vecteurs d’intrusion et restaurer un environnement sain. Une réponse structurée permet de limiter l’impact, de réduire l’exposition des données et d’éviter une propagation plus large.
Les enquêtes post‑incident jouent ensuite un rôle essentiel. Elles permettent de comprendre l’origine de l’attaque, d’identifier les vulnérabilités exploitées et de renforcer durablement la posture de sécurité. Dans un contexte où les menaces évoluent en permanence, cette capacité d’analyse devient un avantage stratégique.
International ICS : expertise en analyse de compromission mobile iOS et Android
Les attaques visant les infrastructures mobiles montrent à quel point les smartphones sont devenus des vecteurs critiques. Pour répondre à cette réalité, International ICS accompagne ses clients dans l’analyse de compromission sur smartphones iOS et Android.
Nos équipes Cyber réalisent des investigations techniques approfondies pour déterminer si un appareil a été infiltré, si des données ont été exfiltrées ou si des applications malveillantes ont été installées. Cette expertise couvre l’analyse des journaux système, la détection d’anomalies, l’identification de comportements suspects et la vérification de l’intégrité du terminal.
Ce service permet aux organisations de reprendre le contrôle, de comprendre précisément l’étendue d’un incident et de renforcer leurs défenses mobiles. Dans un monde où les terminaux personnels et professionnels se confondent de plus en plus, cette capacité d’analyse devient indispensable.
Un paysage de menaces en constante évolution
Les cyberattaques visant les institutions publiques et les grandes organisations ne datent pas d’hier. La Commission européenne elle‑même a déjà été confrontée à plusieurs incidents majeurs au cours de la dernière décennie. Cette récurrence souligne l’importance d’une approche proactive, fondée sur la résilience, la transparence et la capacité à réagir rapidement.
Les organisations doivent accepter que le risque zéro n’existe pas et investir dans des stratégies capables d’absorber les chocs, de limiter les impacts et de restaurer la confiance.
Anticiper, maîtriser, renforcer
Les intrusions dans les systèmes de gestion mobile rappellent que la sécurité numérique repose autant sur la technologie que sur la capacité à réagir. Les organisations doivent renforcer leurs infrastructures, surveiller leurs points critiques et s’appuyer sur des partenaires capables d’intervenir rapidement.
International ICS s’inscrit dans cette logique en offrant une expertise complète en analyse de compromission mobile et en réponse aux incidents. Dans un paysage où les menaces évoluent sans cesse, la résilience devient la clé d’une sécurité durable.
Espionnage, connexions invisibles : configurer son iPhone pour survivre aux zones à risques
Un contexte de risques accrus
Dans un monde où les déplacements internationaux des dirigeants d’entreprise sont devenus incontournables, la sécurité numérique s’impose comme un enjeu majeur. Les salons professionnels, les aéroports, les hôtels et les espaces publics constituent autant de zones à risques où les appareils mobiles peuvent être ciblés par des tentatives d’espionnage, de piratage ou de captation de données sensibles. Les téléphones, et en particulier l’iPhone (utilisé par la majorité des dirigeants), sont des portes d’entrée privilégiées pour des acteurs malveillants cherchant à exploiter les connexions extérieures ou les failles de configuration. Dans ce contexte, il est essentiel pour tout dirigeant ou cadre en déplacement de transformer son smartphone en véritable bastion numérique, capable de résister aux intrusions et de protéger les informations stratégiques.
Voici quelques conseils de nos experts cyber International ICS.
1. Verrouiller l’accès physique à l’appareil
La première étape consiste à sécuriser l’accès direct au téléphone. Un code d’accès robuste, idéalement alphanumérique et long, doit remplacer les codes simplistes à quatre chiffres. L’activation de Face ID ou Touch ID ajoute une barrière biométrique efficace, tandis que l’authentification à deux facteurs pour l’identifiant Apple garantit que même en cas de compromission du mot de passe, l’accès aux données iCloud reste protégé. Ces mesures de base sont indispensables pour réduire les risques liés à la perte ou au vol de l’appareil dans des environnements fréquentés.
2. Protéger les données iCloud avec le chiffrement avancé
Au-delà de l’accès physique, la confidentialité des données stockées dans le cloud est un enjeu critique. Apple propose désormais la Protection avancée des données pour iCloud, une fonctionnalité qui chiffre de bout en bout les sauvegardes, photos, notes et autres contenus. En activant cette option dans les réglages, l’utilisateur s’assure qu’Apple lui-même ne peut accéder à ses informations. Il est recommandé de configurer un contact ou une clé de récupération afin de garantir l’accès en cas de problème d’identification. Pour un dirigeant en déplacement, cette mesure représente une garantie supplémentaire contre l’espionnage industriel ou la compromission de documents sensibles.
3. Bloquer les connexions extérieures
La gestion des connexions extérieures constitue un autre pilier de la sécurité.
- Le Bluetooth et AirDrop doivent être désactivés lorsqu’ils ne sont pas utilisés, et AirDrop limité aux Contacts uniquement.
- Les réseaux Wi-Fi publics, souvent vulnérables, doivent être supprimés de la liste des réseaux enregistrés et la connexion automatique désactivée.
- Quant aux services de localisation, ils doivent être configurés avec discernement : autoriser uniquement les applications légitimes comme Plans ou certaines apps de transport, et toujours en mode Uniquement lors de l’utilisation.
- Les services système non essentiels, tels que les suggestions basées sur la localisation ou la publicité ciblée, peuvent être désactivés pour réduire les risques de traçage.
Cette approche permet de conserver l’utilité de la géolocalisation pour la navigation, tout en limitant l’exposition aux collectes abusives.
4. Exploiter les paramètres de confidentialité intégrés
Les paramètres de confidentialité d’iOS offrent des protections avancées :
- Le blocage du suivi inter-applications empêche les publicitaires de croiser les données entre différentes apps.
- Safari propose une prévention du suivi intersites et la possibilité de masquer l’adresse IP face aux traqueurs.
- Dans Mail, la protection de la confidentialité bloque le chargement invisible de pixels espions.
- Enfin, il est crucial de vérifier régulièrement les autorisations accordées aux applications pour l’accès au micro, à la caméra, aux contacts ou aux photos, et de supprimer celles qui ne sont pas indispensables.
5. Adopter des bonnes pratiques quotidiennes
Ces réglages doivent s’accompagner de gestes simples mais essentiels :
- Maintenir l’iPhone à jour pour bénéficier des correctifs de sécurité.
- Redémarrer régulièrement l’appareil pour purger certaines connexions temporaires.
- Éviter de cliquer sur des liens suspects reçus par SMS ou email.
- Se méfier des chargeurs publics ou des ordinateurs non sécurisés.
- Utiliser un VPN fiable pour renforcer la protection des communications sur les réseaux Wi-Fi ouverts.
Un enjeu stratégique pour les entreprises
La sécurité numérique des dirigeants en déplacement ne peut être laissée au hasard. Dans les zones à risques que sont les salons, les aéroports ou les hôtels, un iPhone mal configuré devient une cible facile pour des acteurs malveillants. En combinant la Protection avancée des données iCloud, une gestion sélective de la localisation, le blocage des connexions extérieures et une discipline d’usage rigoureuse, il est possible de transformer son smartphone en véritable forteresse numérique. Cette vigilance n’est pas seulement une précaution technique : elle constitue un acte stratégique de protection des informations, de la réputation et de la souveraineté des entreprises.
Attaque Salt Typhoon : Failles des SMS révélées
Salt Typhoon a révélé une vérité troublante : les SMS ne peuvent plus être considérés comme confidentiels. Une grande partie du trafic SMS mondial est interceptée, ce qui rend vulnérables toutes les applications qui reposent sur des codes reçus par SMS.
Les applications de messagerie qui utilisent un numéro de téléphone comme identifiant sont particulièrement affectées. Les pirates peuvent intercepter vos messages, en envoyer en votre nom et même accéder à votre historique de conversations.
Cette attaque montre l’importance d’utiliser des applications comme Olvid, Threema ou d'autres, qui ne reposent pas sur des identifiants faibles comme les numéros de téléphone pour assurer la sécurité.
Le 25 octobre, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié une déclaration conjointe avec le FBI. Ils ont indiqué que plusieurs réseaux de télécommunication civils avaient été compromis. La menace, appelée Salt Typhoon, est probablement affiliée au Ministère de la Sécurité de l'État chinois.
Les données compromises incluent les SMS, accessibles en clair sur les réseaux des opérateurs. Deux officiels du FBI, dans une interview à NBC News, recommandent l’utilisation de messageries instantanées chiffrées plutôt que les SMS, dont la confidentialité est maintenant compromise.
Le SMS : Un Moyen de Communication Vulnérable
Les SMS utilisent une technologie des années 90 qui ne garantit pas la confidentialité. Les attaques de sim swappingpermettaient déjà à des pirates d’usurper votre numéro pour recevoir vos SMS. Maintenant, ces messages peuvent être interceptés en clair par des pirates sur les réseaux de certains fournisseurs d’accès majeurs.
Le contenu d’un SMS ne doit plus jamais être considéré comme confidentiel. Il faut partir du principe que « tout le monde » y a accès. Même si ce n’est pas le cas en pratique, cette approche évite de graves déconvenues.
L’Impact Potentiel de l’Attaque Salt Typhoon
L’attaque Salt Typhoon a des implications plus vastes qu’il n’y paraît : vos SMS peuvent être interceptés. Les pirates peuvent prendre le contrôle de tous vos comptes utilisant ce type d’authentification. Il est crucial d’opter pour des solutions de messagerie sécurisées et de se méfier des méthodes d’authentification utilisant les SMS.
Comment se Protéger ?
Est-il suffisant de suivre les recommandations du FBI et d'utiliser des messageries chiffrées de bout en bout ? Pas forcément.
Nous l’avons souligné lors du piratage des comptes Telegram de plusieurs députés : choisir une messagerie dont l’identifiant est un numéro de téléphone est une erreur de sécurité. Pourquoi ? Il faut prouver que vous détenez ce numéro, souvent via un code reçu par SMS. Quiconque accède à ce SMS peut se faire passer pour vous. Ce code doit rester confidentiel pour garantir la sécurité, mais comme nous l’avons vu, rien de ce qui est envoyé par SMS ne peut être considéré comme tel.
En résumé : le contenu d’un SMS n’est pas confidentiel. Une messagerie reposant sur la confidentialité d’un code SMS n’est pas sécurisée.
Cyber : Telegram est-il vraiment chiffré ?
Telegram a gagné en popularité, notamment auprès des utilisateurs soucieux de leur vie privée et de la sécurité. L’application se présente comme un messager sécurisé, mais qu’est-ce que cela signifie réellement ? Telegram est-il vraiment chiffré, et si oui, à quel point est-il sécurisé ?
Comprendre le Chiffrement dans les Applications de Messagerie
Avant de plonger dans le chiffrement de Telegram, il est important de comprendre ce que signifie le chiffrement dans le contexte des applications de messagerie. Les services de messagerie privée modernes utilisent souvent le chiffrement de bout en bout (E2EE), qui garantit que seuls l’expéditeur et le destinataire peuvent lire les messages. Même le fournisseur de services, dans ce cas, Telegram, ne peut pas déchiffrer ces messages car il ne détient pas les clés de déchiffrement. Ce niveau de chiffrement est considéré comme le standard important pour la confidentialité et la sécurité des communications.
L’Approche de Telegram en Matière de Chiffrement
Telegram utilise un protocole de chiffrement personnalisé appelé MTProto, conçu pour sécuriser la communication entre les utilisateurs et les serveurs.
Par défaut, Telegram n’utilise pas le chiffrement de bout en bout pour tous les messages. Il s’appuie plutôt sur le chiffrement serveur-client pour les discussions standard. Cela signifie que, bien que les messages soient chiffrés entre votre appareil et les serveurs de Telegram, Telegram peut toujours les déchiffrer et les lire. Cette approche diffère fondamentalement du chiffrement de bout en bout plus sécurisé utilisé par d’autres applications de messagerie comme Olvid ou Signal, où même le fournisseur de services ne peut pas lire les messages.
Pour bénéficier d’un véritable chiffrement de bout en bout sur Telegram, vous devez activer manuellement une fonctionnalité appelée “Chats Secrets”. Cette fonctionnalité n’est disponible que pour les conversations en tête-à-tête, pas pour les discussions de groupe. C’est un inconvénient majeur. En pratique, cela signifie que la grande majorité des conversations en tête-à-tête sur Telegram et toutes les discussions de groupe sont probablement visibles sur les serveurs de Telegram.
Les Défis des Chats Secrets de Telegram
Si vous choisissez d’utiliser les Chats Secrets, il y a des limitations. Premièrement, les Chats Secrets sont spécifiques à l’appareil, ce qui signifie que si vous commencez un Chat Secret sur votre téléphone, vous ne pouvez pas le continuer sur votre tablette ou votre ordinateur. Le processus pour activer un Chat Secret n’est pas simple.
La Sécurité du Protocole MTProto de Telegram
Le protocole personnalisé MTProto de Telegram a été soumis à l’examen des cryptographes. Le protocole utilise un échange de clés Diffie-Hellman de 2048 bits, une méthode qui permet à deux parties d’établir une clé secrète partagée sur un canal non sécurisé. Le protocole repose sur le serveur pour choisir certains paramètres cryptographiques, ce qui introduit des vulnérabilités potentielles si le serveur est compromis.
MTProto utilise un mode de chiffrement unique appelé Infinite Garble Extension (IGE), qui n’est pas largement adopté dans la communauté cryptographique. Ce choix de mode de chiffrement a suscité des interrogations parmi les experts, qui préfèrent généralement des approches plus standard et rigoureusement vérifiées.
Qu’en Est-il des Métadonnées ?
Les métadonnées incluent des informations sur avec qui vous parlez, quand et pendant combien de temps. Ces données ne sont pas protégées par le chiffrement de bout en bout et peuvent être extrêmement précieuses pour des tiers, y compris les annonceurs et les gouvernements.
L’un des plus grands problèmes de confidentialité dans la messagerie est la disponibilité de nombreuses métadonnées, essentiellement des données sur qui utilise le service, avec qui ils parlent et quand ils parlent. Ces informations peuvent être stockées sur les serveurs de Telegram et potentiellement accessibles à quiconque dispose des outils ou de l’autorité légale appropriés.
Le Cadre Juridique : États-Unis vs. Europe
La manière dont Telegram gère les données des utilisateurs et le chiffrement est également influencée par les environnements juridiques des différents pays. Aux États-Unis, les entreprises sont souvent tenues de se conformer aux assignations à comparaître qui exigent l’accès aux données des utilisateurs, y compris les messages stockés sur les serveurs. Étant donné que Telegram n’utilise pas le chiffrement de bout en bout par défaut, il pourrait théoriquement remettre le contenu des messages aux forces de l’ordre.
En revanche, l’Europe a des réglementations de confidentialité plus strictes, telles que le Règlement Général sur la Protection des Données (RGPD). Cependant, même en Europe, les métadonnées associées aux utilisateurs de Telegram peuvent être collectées et stockées, posant des risques pour la vie privée.
Telegram est-il Vraiment Chiffré ?
Alors, Telegram est-il vraiment sécurisé ? La réponse est oui, mais avec quelques nuances. Bien que Telegram utilise le chiffrement, il ne propose pas par défaut le chiffrement de bout en bout pour tous les messages. Cela signifie que Telegram peut accéder à la plupart des messages envoyés via sa plateforme. Pour bénéficier d’un véritable chiffrement de bout en bout, vous devez activer manuellement les Chats Secrets, une fonctionnalité qui n’est pas disponible pour les conversations de groupe et qui peut être fastidieuse à mettre en place.
Si la sécurité et la confidentialité sont vos principales préoccupations, vous pourriez envisager des alternatives comme Olvid, recommandé par International ICS spécialiste TSCM, qui offre un chiffrement de bout en bout par défaut sans nécessiter d’étapes supplémentaires.
Assistant vocal : des sous-traitants écoutent
Dans un monde de plus en plus numérique, la question de la confidentialité et de la sécurité des données est devenue primordiale. Cet article explore l’expérience de Thomas Le Bonniec, un ancien employé d’un sous-traitant, qui a révélé des détails troublants sur l’opération "Crowd Collect" de la société. Il partage son expérience de traitement d’au moins 1 300 enregistrements par jour, recueillis à l’insu des utilisateurs de Siri. Depuis lors, Le Bonniec est devenu un lanceur d’alerte et un militant.
Oui, l’évolution des assistants vocaux nécessite l’intervention humaine pour corriger les erreurs via des enregistrements. Il est important que les utilisateurs comprennent que, malgré les réglementations en vigueur, l’homme reste indispensable au progrès technologique.
Thomas Le Bonniec, un ancien employé d’un sous-traitant de la marque a la pomme, un "data analyste" a révélé des détails troublants sur l’opération "Crowd Collect". Il a partagé son expérience de traitement d’au moins 1 300 enregistrements par jour, recueillis à l’insu des utilisateurs de Siri. Depuis lors, Le Bonniec est devenu un lanceur d’alerte et un militant.
Le Bonniec a critiqué la surveillance généralisée par les entreprises technologiques, avec le soutien des gouvernements. Il a annoncé la formation d’un collectif lors d’une réunion au Sénat.
Interrogé sur le projet de loi du ministère de la Justice, Le Bonniec a exprimé son inquiétude. “La possibilité d’activer à distance les smartphones était un secret de Polichinelle. On savait que les services de renseignements pouvaient le faire, on en avait eu la preuve par Pegasus, mais c’était illégal, et cela coûtait très cher. Si cette loi passe, elle permettra à l’État de s’emparer des moyens techniques des multinationales pour mettre en place, légalement, de la surveillance généralisée”, a-t-il déclaré.
Le Bonniec a également critiqué la justification de cette surveillance par les défenseurs de la loi, qui affirment que si nous partageons nos vies privées avec Google, nous devrions être prêts à faire de même avec l’État. Il a souligné que cela conduirait à l’utilisation de nos propres appareils pour mettre en place une surveillance de masse légale, un concept qu’il a attribué à la sociologue américaine Shoshana Zuboff comme étant du “capitalisme de surveillance”.
Le Bonniec a partagé son expérience personnelle de travail pour un sous-traitant de la marque à la pomme, où il a découvert qu’il travaillait sur de véritables enregistrements d’utilisateurs de Siri qui ignoraient qu’ils étaient écoutés. Il a décrit le processus de recrutement comme étant similaire aux tests qu’il avait passés à l’école, et a révélé qu’il avait été attiré par une offre de travail en Irlande avec un salaire de 2 600 euros brut par mois. Une fois sur place, après avoir signé une clause de confidentialité, il a découvert qu’il travaillait pour la marque à la pomme.
Il a été chargé de vérifier la transcription des conversations des utilisateurs et de la corriger si nécessaire.
D’autres collègues examinaient ensuite les autres données disponibles sur l’appareil, telles que les contacts, la localisation, la musique, les films, et étiquetaient des mots-clés, des lieux, des noms, et toutes les données sensibles définies par le règlement général de protection des données.
Le Bonniec a décrit son travail comme étant une forme de travail à la chaîne numérique, et s’est qualifié de “tâcheron du clic”. Il a déclaré avoir quitté son poste après huit semaines, mais pas sans preuves de ses allégations, ayant fait des captures d’écran de son travail.
Quinze jours après le départ de Le Bonniec, les premières révélations sur l’opération ‘Crowd Collect’ ont fait surface. D’autres employés avaient également parlé. Le Bonniec a alors pris contact avec plusieurs médias, dont Mediapart, El Pais et le Guardian.
Entre octobre et décembre 2019, Antonio Casilli, qui préparait un documentaire pour France Télévisions sur les travailleurs du clic, a pris contact avec Le Bonniec. Une question s’est posée : Le Bonniec devait-il rester anonyme ? Il a décidé en janvier 2020 de révéler son identité. En mai, il a envoyé une lettre ouverte à la Cnil et à toutes les agences de protection des données. Malheureusement, la pandémie de Covid-19 a interrompu cette dynamique.
La révélation de Le Bonniec soulève des questions importantes sur la confidentialité des données et la surveillance généralisée. Alors que les entreprises technologiques continuent de collecter et d’utiliser des données à grande échelle, il est essentiel que les utilisateurs soient conscients des pratiques en cours. De plus, il est crucial que les gouvernements et les organismes de réglementation prennent des mesures pour protéger les droits des individus et garantir que les entreprises sont tenues responsables de leurs actions. L’histoire de Le Bonniec est un rappel puissant de l’importance de la vigilance et de l’action dans la protection de nos données personnelles.
Alors si nous pouvons vous conseiller une petite chose, nous vous recommandons vivement de ne pas activer Siri ou un autre assistant vocal et de ne pas stocker de données sensibles sur votre cloud.
Olvid : une messagerie sécurisée
Olvid, une messagerie instantanée innovante, qui a été développée par des cryptologues et validée par des experts. Elle a reçu deux certifications, une première dans le domaine. Adoptée par le gouvernement français, Olvid offre une sécurité des conversations, indépendante des serveurs, et un chiffrement unique. Ces innovations font d’Olvid un leader en matière de sécurité des communications numériques français.
La messagerie instantanée Olvid a été conçue par une équipe de cryptologues qui ont développé des protocoles sur mesure, adaptant des protocoles théoriques aux contraintes du monde réel. Leur travail a été validé par Michel Abdalla, professeur à l’ENS, Directeur de Recherche au CNRS et Président du conseil d’administration de l’IACR (International Association for Cryptologic Research). Les résultats de cette validation ont été formalisés dans un article publié dans un ePrint de l’IACR.
En outre, Olvid a reçu non pas une, mais deux certifications de sécurité de premier niveau (CSPN) de l’ANSSI, faisant d’elle la première messagerie instantanée à obtenir cette distinction. Les cibles de sécurité, les rapports de certifications et les certificats ANSSI sont disponibles pour iOS et Android sur le site officiel. Dans un souci de transparence, Olvid a publié les deux Rapports Techniques d’Évaluation produits par l’équipe de Synacktiv. Cette démarche est rare dans le secteur, soulignant l’engagement d’Olvid envers la transparence et la sécurité.
Application utilisée par le gouvernement français.
Depuis décembre 2023, dans une démarche sans précédent, la Première ministre Élisabeth Borne a ordonné l’installation de l’application de messagerie française Olvid sur les appareils électroniques de tous les membres du Gouvernement et des cabinets ministériels, selon une circulaire datée du 22 novembre.
Cette décision marque une étape importante pour le Gouvernement français, qui adopte ainsi la première solution de messagerie entièrement privée.
En choisissant Olvid, le Gouvernement réaffirme son soutien indéfectible à la « French Tech » et souligne l’importance qu’il accorde aux enjeux stratégiques de cybersécurité, d’innovation et de souveraineté technologique de la France (hors serveurs). Cette initiative pourrait bien marquer un tournant dans la manière dont les gouvernements abordent la question de la sécurité des communications à l’ère numérique.
Les serveurs ?
Dans une avancée technologique sans précédent, Olvid révolutionne le modèle de sécurité des communications. Contrairement aux autres plateformes, Olvid ne dépend pas de serveurs pour sécuriser les échanges. Même en cas de piratage des serveurs, les contenus échangés restent inaccessibles et les identités des utilisateurs demeurent anonymes.
Olvid se distingue également par son approche unique du chiffrement. Non seulement les messages sont chiffrés, mais aussi les métadonnées, garantissant ainsi un anonymat total aux utilisateurs. De plus, Olvid assure l’authentification des utilisateurs, une fonctionnalité absente dans la plupart des messageries qui dépendent de tiers de confiance.
Les données sont stockées en utilisant les serveurs d’Amazon Web Services (AWS). Cette décision a été prise en dépit de l’existence d’options françaises, telles que OVH ou d'autres... D’après les développeurs d’Olvid, la principale motivation de leur décision était les performances supérieures offertes par AWS. Avec ces innovations, Olvid redéfinit les normes de sécurité dans le domaine des communications numériques.
Le chiffrement ?
Le processus de chiffrement des sauvegardes repose sur l’utilisation d’une « clé de sauvegarde » spécifique. Cette clé est composée de 32 caractères, qui sont une combinaison de lettres majuscules et de chiffres. Cependant, il est important de noter que les lettres O, I, S et Z sont exclues de cette combinaison. En termes d’entropie, qui est une mesure de l’incertitude ou de la complexité d’un ensemble de données, cette clé a une entropie de 160 bits.
Cette clé de sauvegarde n’est pas utilisée telle quelle. Au lieu de cela, elle sert de graine pour initialiser un générateur de nombres pseudo-aléatoires (PRNG). Une fois initialisé, le PRNG génère plusieurs éléments clés. Il s’agit notamment d’un identifiant unique de 32 bytes, d’une paire de clés de chiffrement (basée sur le système ECIES sur la courbe 25519) et d’une clé de MAC (basée sur le système HMAC SHA256).
Tous ces éléments, à l’exception de la clé privée de déchiffrement ECIES, sont conservés sur le smartphone de l’utilisateur. Ils sont utilisés pour effectuer les sauvegardes. La clé privée, quant à elle, ne peut être reconstruite qu’en connaissant la graine originale.
Une sauvegarde est un export au format JSON des éléments pertinents des bases de données d’identité. À cet export, on ajoute une horodatation et un numéro de version du format JSON utilisé. Ce JSON est ensuite compressé et chiffré à l’aide de la clé publique ECIES. Un MAC du chiffré est ajouté à la suite de ce dernier.
Après la création de la sauvegarde chiffrée, il est recommandé à l’utilisateur de sauvegarder le fichier sur son appareil. L’idée est que l’utilisateur stocke ce fichier dans un espace de stockage qui assure une bonne disponibilité des données.
Il est crucial de noter que seuls les éléments ayant une « durée de vie longue » sont sauvegardés. En particulier, aucune clé de canal sécurisé n’est sauvegardée. De nouveaux canaux doivent être créés après une restauration.
Le rapport ?
Selon le rapport technique d'évaluation (version 1.2), l’application a fait l’objet d’une évaluation rigoureuse de sa sécurité. Cette application, qui repose sur l’échange de messages courts (SAS) et ne fait pas confiance au serveur, a démontré un niveau de sécurité élevé.
L’évaluation a révélé que l’éditeur de l’application possède une compétence solide en matière de concepts cryptographiques. Aucune vulnérabilité critique n’a été découverte dans le périmètre défini. L’éditeur a fait le choix d’implémenter lui-même des protocoles dédiés ainsi que certaines primitives cryptographiques, notamment EdwardCurve, HMAC_DBRG et ECIES. Ce développement de qualité a été facilité par l’utilisation du langage Swift, dont le système de typage rend les problèmes potentiels moins probables. Bien que quelques faiblesses aient été identifiées, elles ne diminuent pas sensiblement la sécurité de l’application et ne remettent pas en cause les garanties annoncées par le constructeur. Ces faiblesses mériteraient d’être corrigées ou, à tout le moins, connues.
https://youtu.be/tAgzGsL3mik?feature=shared
En conclusion, Olvid se positionne comme une force dans le domaine de la messagerie instantanée. Grâce à son approche unique de la cryptographie et de la sécurité des communications, elle a non seulement gagné la confiance des experts du domaine, mais aussi celle du gouvernement français. En choisissant d’utiliser Olvid pour toutes les communications gouvernementales, la France souligne l’importance de la cybersécurité et de la souveraineté technologique.
Avec ses innovations en matière de chiffrement et de stockage des données, Olvid redéfinit les normes de sécurité et d’anonymat dans le domaine des communications numériques. Son choix d’utiliser AWS pour le stockage des données, malgré l’existence d’options françaises, témoigne du choix certainement économique et de la "performance". Olvid est un exemple de la manière dont la technologie peut être utilisée pour renforcer la sécurité et la confidentialité dans notre monde de plus en plus numérique.
Mobile : votre smartphone est-il surveillé ?
Le terme “Spyware” désigne un type de logiciel malveillant qui s’infiltre dans votre appareil mobile pour recueillir des informations sur vous, vos habitudes de navigation et d’utilisation d’Internet, ainsi que d’autres données.
Au sommet de la hiérarchie, on trouve les logiciels espions commerciaux utilisés par les gouvernements. Pegasus et Predator sont les exemples les plus récents et les plus connus. Présenté comme un outil pour les gouvernements dans la lutte contre le terrorisme et l’application de la loi, il a finalement été découvert sur des smartphones appartenant à des chefs d'entreprises, des journalistes, des militants, des dissidents politiques et des avocats.
Comme on peut s’y attendre, les spywares sont insidieux. Ils pénètrent généralement dans votre smartphone sans que vous vous en rendiez compte et sans votre consentement, puis ils s’installent sur votre système d’exploitation Android ou iOS pour maintenir une présence sur votre téléphone mobile. Il se peut même que vous ayez, sans le savoir, autorisé l’installation d’un logiciel espion en acceptant les conditions générales d’un programme apparemment légitime que vous avez téléchargé, sans prendre le temps de lire les petits caractères. Quelle que soit la méthode d’invasion, ils fonctionnent discrètement en arrière-plan, collectent des informations ou surveillent vos activités afin de déclencher des activités malveillantes liées à votre ordinateur et à son utilisation. Ces activités comprennent notamment l’enregistrement de vos saisies, de vos identifiants, de vos adresses e-mail personnelles, de données de formulaires Web, d’informations concernant l’utilisation d’Internet et d’autres informations personnelles telles que des numéros de cartes de crédit, ainsi que des captures d’écran.
Les logiciels espions peuvent arriver sur votre appareil par le biais du phishing, de pièces jointes d’e-mails malveillants, de liens de médias sociaux ou de SMS frauduleux.
Les spywares de base sont des formes génériques de logiciels malveillants qui volent les données du système d’exploitation et du presse-papiers, ainsi que tout ce qui peut avoir de la valeur, comme les données d’un portefeuille de cryptomonnaies ou les identifiants d’un compte. Ils ne sont pas nécessairement ciblés et peuvent être utilisés dans des attaques de phishing générales.
Les logiciels espions avancés, également appelés “stalkerware”, sont un niveau supérieur. Peu éthiques et parfois dangereux, ces logiciels malveillants se trouvent parfois sur les systèmes de bureau. Mais aujourd’hui, ils sont le plus souvent implantés sur les téléphones. Ces logiciels malveillants sont utilisés pour récupérer de l'information et harceler les utilisateurs. Ils permettent de surveiller les emails, les SMS envoyés et reçus, d’intercepter des appels en direct pour les écouter via des lignes téléphoniques standard ou des applications VoIP, d’enregistrer secrètement des sons ambiants ou de prendre des photos, de suivre les victimes par GPS, et de détourner des applications de médias sociaux comme Facebook et WhatsApp. Ils peuvent également avoir des fonctionnalités d’enregistrement de frappe. Les stalkerwares sont généralement utilisés pour surveiller une personne spécifique, en suivant ses actions, ses paroles et ses déplacements. Ces logiciels de harcèlement sont souvent associés à des cas de violence conjugale.
Le “nuisanceware”, ou logiciel nuisible, est souvent associé à des applications légitimes. Il perturbe votre navigation sur le web avec des pop-ups, modifie votre page d’accueil ou les paramètres de votre moteur de recherche, et peut aussi collecter vos données de navigation pour les vendre à des agences et réseaux publicitaires. Bien qu’il soit perçu comme de la publicité malveillante, le nuisanceware n’est généralement pas dangereux et ne représente pas une menace pour votre sécurité principale. Ces logiciels malveillants cherchent plutôt à générer des revenus illégaux en infectant les machines et en créant des affichages ou des clics publicitaires forcés.
Les conseils : si vous constatez des messages ou des courriels inhabituels ou suspects sur vos plateformes de médias sociaux, cela pourrait être une tentative d’infection par un logiciel espion. Il est préférable d’éliminer le message sans jamais cliquer sur un lien ou télécharger un fichier. Cela s’applique également aux SMS, qui peuvent contenir des liens incitant à télécharger des logiciels malveillants. Ces messages de hameçonnage visent à vous pousser à cliquer sur un lien ou à exécuter un logiciel qui contient un spyware ou un stalkerware. Ils essaieront de vous effrayer, par exemple en mentionnant un paiement d’impôt, un courrier de la banque ou un problème de livraison. Ils peuvent également usurper les adresses de vos contacts pour gagner votre confiance. Dans le cas des stalkerwares, les messages d’infection initiale peuvent être plus personnalisés et adaptés à la victime.
Dans les cas les plus détectés, un accès physique au dispositif ou une installation non intentionnelle d’un logiciel espion par la victime est requis. Cependant, l’installation de certaines versions de logiciels espions et de logiciels de harcèlement peut se faire en moins d’une minute. Si vous constatez que vous avez perdu le contrôle de votre téléphone pendant un certain temps et que des modifications ont été apportées à vos paramètres, ou si vous observez des changements que vous n’avez pas effectués, cela pourrait indiquer une infection.
Si vous avez un doute, la société International ICS, département Cyber, peut vous aider a analyser votre smartphone.
Mobile : Predator, le cyber espionnage
Ce logiciel malveillant créé par un ancien officier israélien spécialisé dans le cyber espionnage est vendu par Cytrox, une entreprise basée en Macédoine du Nord. Ce Predator semble prendre petit à petit la place du célèbre Pegasus, devenu un peu trop connu pour un dispositif censé rester discret.
Predator permet au parrain de l’attaque de pendre le contrôle complet du mobile à l’insu de son propriétaire. Le système espion peut lire tout le contenu de la mémoire (contacts, messages, photos…) et activer le micro et les caméras à distance. Le système utilise de faux comptes sur les réseaux sociaux et la copie de sites pour inciter les cibles de ses clients à cliquer sur un lien contaminé amenant à l'installation de ce dispositif malveillant.
Des chercheurs ont réussi à examiner deux versions de Predator, une pour iOS, le système d’exploitation des appareils mobiles d’Apple, et une autre pour les téléphones Android. Le rapport ne liste pas explicitement les actions possibles sur un téléphone pour un attaquant utilisant Predator, mais ces logiciels espions, comme Pegasus, sont conçus pour s’installer dans les appareils et obtenir l’autorisation d’activer le micro, la caméra, de lire les messages et d’enregistrer l’activité d’autres applications. De plus, le Citizen Lab n’a pas pu analyser les vecteurs d’infection utilisés par Predator pour contourner les sécurités d’ iOS et Android et s’installer sur les téléphones. Cependant, une piste potentielle est que les deux victimes ont reçu, lors de la phase d’approche, des messages contenant des liens vers des noms de domaine appartenant à l’infrastructure de Cytrox.
Certains pays qui utilisaient la solution Pegasus, utilisent désormais Predator pour espionner l'adversaire.
De manière intéressante, les chercheurs ont mis en évidence, sur la version iOS du logiciel, un mécanisme de persistance. C’est-à-dire un outil qui assure la présence continue du mouchard dans l’appareil, même après que celui-ci a été éteint et rallumé. Une telle fonctionnalité n’a pas été identifiée sur la version Android de Predator.
Predator, il repose sur deux composants : Tcore, la boîte à outils de l’espion parfait, et Kmem. Le premier comprend un enregistreur audio, la collecte d’informations à partir de Signal, WhatsApp et Telegram, ainsi que d’autres applications. Le second offre un accès arbitraire en lecture et en écriture à l’espace d’adressage du noyau. Cet accès est offert par Alien qui exploite la CVE-2021-1048, permettant au logiciel espion d’exécuter la plupart de ses fonctions.
Êtes-vous piégé ? International ICS analyse votre mobile pour vous.
Mobile : le logiciel d'espionnage Pegasus
Le logiciel espion en question est connu sous le nom très suggestif de Pegasus. Il est uniquement vendu à des États ou des agences gouvernementales, avec l’approbation du gouvernement israélien, par une entreprise appelée NSO, qui compte 750 employés à Herzliya, dans la banlieue de Tel Aviv, ainsi qu’à Chypre et en Bulgarie. Officiellement, son objectif est d’aider les services de renseignement à combattre la criminalité.
Sur son site web, NSO indique qu’elle “développe des technologies qui aident les agences gouvernementales à prévenir et à enquêter sur le terrorisme et la criminalité, afin de sauver des milliers de vies à travers le monde”.
Pour ce faire, Pegasus s’infiltre dans les smartphones, qu’ils soient équipés du système d’exploitation d’Apple, iOS ou de celui de Google, Android. Il a alors accès à tout : contacts, photos, mots de passe. Le logiciel Pegasus peut lire les courriels, suivre les conversations, même sur les messageries dites "cryptées", géolocaliser le smartphone et activer les micros et les caméras pour transformer le smartphone en véritable espion dans la poche.
“Nous nous engageons à vérifier l’utilisation appropriée de notre technologie (…) et nous enquêtons sur toute allégation crédible d’un mauvais usage de nos produits”, assure NSO sur son site. Il est vrai que la société a mis en place une adresse email dédiée aux lanceurs d’alerte qui auraient des informations sur un possible détournement de l’utilisation de son logiciel.
Des spécialistes ont traqué le logiciel espion Pegasus pendant un certain temps et avaient quelques pistes à son sujet. Ils ont récemment trouvé ce logiciel sur le téléphone portable d’un opposant. Lorsque ce dernier effectuait une recherche en ligne, une URL de redirection était automatiquement générée. Cette URL était associée à une signature liée à l’entreprise NSO Group. On peut alors se demander comment le logiciel a pu être installé sur le smartphone. Dans ce cas précis, il s’agit d’une attaque par injection de SMS silencieux sur le réseau, soit via un intercepteur IMSI, une station de base BTS compromise, ou directement par l’intermédiaire d’un opérateur mobile. Il est important de noter que ces URL de redirection ne se limitaient pas à surveiller l’activité en ligne, mais également l’activité sur d’autres applications comme Twitter à travers les liens partagés.
En approfondissant leurs recherches, les spécialistes ont mis au jour dans l’une des deux bases de données SQLite (plus précisément DataUsage.sqlite) présentes dans le système d’exploitation iOS, l’existence d’un processus étrange appelé « bh ». En mettant en parallèle leurs découvertes avec celles réalisées par Lookout, ils supposent que « bh » est une référence à BridgeHead, qui est le nom d’un module de Pegasus au sein du NSO Group. Ce composant a pour rôle de préparer le terrain en vue de l’installation de Pegasus.
En plus de l’injection réseau effectuée par les clients du NSO Group, l’entreprise israélienne propose d’exploiter des failles critiques dans les systèmes d’exploitation mobiles (iOS ou Android) ou certaines applications en mode zéro clic, c’est-à-dire sans aucune action de l’utilisateur. Cela a été le cas en 2019 avec plusieurs vulnérabilités découvertes sur iMessage et FaceTime, utilisées pour installer Pegasus sur des appareils. Le service Apple Music est également soupçonné d’être un moyen de compromission.
L'expert a également examiné l’infrastructure informatique derrière Pegasus et les nombreux domaines recueillis au cours de ses enquêtes. Ces dernières ont révélé que le NSO Group utilise récemment l’offre AWS CloudFront (CDN) pour lancer ses premières attaques. Suite à cette découverte, le fournisseur de cloud a rapidement réagi en annonçant dans un communiqué “la fermeture de toutes les infrastructures et les comptes concernés” (reconnaissant ainsi explicitement le lien contractuel entre AWS et NSO Group). De plus, l’étude montre que l’entreprise israélienne héberge ses serveurs dans plusieurs centres de données en Allemagne, au Royaume-Uni, en Suisse, aux États-Unis et en France (OVH). En France, elle disposerait de 35 serveurs chez l’hébergeur roubaisien. Amnesty International note que le NSO Group utilise principalement les centres de données européens gérés par des opérateurs américains pour gérer une grande partie de l’infrastructure d’attaque de ses clients.
La détection du système d'interception des données "Pegasus" peut s’avérer particulièrement difficile a détecter. Mais la société INTERNATIONAL ICS sait aujourd'hui analyser un smartphone et alerter son utilisateur en cas d'infection.