Il est fréquent d’entendre parler de la compromission des smartphones de nos jours. Ces intrusions permettent d’atteindre les données stockées sur le téléphone ou d’y implanter un logiciel espion.
Le PEPR Cybersécurité et son initiative REV (ANR-22-PECY-0009) bénéficient du soutien de l’Agence nationale de la recherche (ANR), qui finance la recherche sur des projets en France. Son rôle consiste à encourager et promouvoir le développement de recherches fondamentales et finalisées dans toutes les disciplines, tout en renforçant le dialogue entre la science et la société.
Sommaire
La complexité des smartphones : entre vulnérabilités, intrusions et enjeux de sécurité
Il est courant d’entendre parler de la compromission des smartphones de nos jours, avec ces intrusions qui permettent d’accéder aux données stockées sur le téléphone ou d’y implanter un logiciel espion. Actuellement, c’est la complexité des smartphones qui les rend particulièrement vulnérables aux intrusions, tant sur le plan de leur architecture que de leur fonctionnement, les rendant difficiles à sécuriser complètement d’un point de vue technique.
Le scandale Pegasus, révélé en 2021, a porté à la connaissance du grand public que des intrusions ou attaques de téléphones peuvent se produire à distance. Elles ont été utilisées notamment contre des journalistes de Mediapart pour le compte de gouvernements étrangers. Même Jeff Bezos, le PDG d’Amazon, aurait été piraté à distance par le biais d’une simple vidéo envoyée via la messagerie WhatsApp.
En revanche, l’exploitation de failles dans des téléphones sécurisés destinés aux criminels permet également aux forces de l’ordre de démanteler d’importants réseaux criminels, comme dans l’affaire EncroChat, dont les procès sont en cours.
Ces exemples mettent en évidence la tension constante entre le besoin d’accéder aux données protégées pour mener des enquêtes visant à protéger les citoyens, et la nécessité de protéger les citoyens contre les abus de ces accès. Ainsi, se pose la question : faut-il sécuriser au maximum les téléphones d’un point de vue technique, ou au contraire aménager des “portes dérobées” pour les services de police et de renseignement ?
Qui a le droit, et aura le droit, d’accéder aux smartphones ?
En France, le code de procédure pénale et le code de la sécurité intérieure confèrent respectivement aux services de police judiciaire et aux services de renseignement le pouvoir de capturer des données informatiques, permettant ainsi la récupération d’informations affichées sur l’écran d’une personne (ou sur des périphériques externes) sans son consentement.
Depuis la loi du 23 mars 2019 sur la programmation 2018-2022 et la réforme de la justice, il est même possible d’utiliser des moyens de l’État soumis au secret de la défense nationale pour enregistrer, conserver ou transmettre les données stockées dans un système informatique. En outre, l’État peut mandater des experts, notamment des sociétés privées spécialisées, pour pénétrer dans ces systèmes.
En 2023, le gouvernement a tenté une nouvelle fois d’étendre les pouvoirs de la police en intégrant dans le projet de loi d’orientation et de programmation du ministère de la Justice 2023-2027 une disposition autorisant l’activation à distance des appareils électroniques sans le consentement de leur propriétaire ou possesseur, permettant ainsi la localisation en temps réel, l’activation du microphone ou de la caméra, ainsi que la récupération d’enregistrements.
Cette disposition controversée a été partiellement censurée par le Conseil constitutionnel le 16 novembre 2023. Le Conseil a jugé que l’activation à distance du microphone ou de la caméra d’un appareil électronique porte atteinte de manière disproportionnée au droit au respect de la vie privée, notamment en raison de la possibilité d’écouter ou de filmer des tiers sans lien avec l’affaire en cours.
Seule la possibilité de géolocaliser en temps réel une personne grâce à l’activation à distance de son téléphone ou de tout autre appareil informatique, tels que des tableaux de bord de véhicule, a été déclarée conforme à la Constitution.
Comment les intrusions sont-elles possibles d’un point de vue technique ?
Indépendamment de la légalité d’une telle action, l’accès technique à un smartphone peut se faire en exploitant ses “vulnérabilités”, soit les failles existantes au niveau matériel ou logiciel.
L’exploitation des vulnérabilités est extrêmement diversifiée, étant donné la multitude d’intrusions possibles à différents niveaux. Les attaques peuvent être lancées à distance, à travers le réseau, ou directement sur le téléphone en cas d’accès physique, comme lors d’une perquisition. Dans ce dernier cas, les attaquants peuvent utiliser des méthodes telles qu’une “attaque par canal auxiliaire” (par exemple, la consommation électrique d’un téléphone révélant des informations) ; provoquer des erreurs artificielles (par “injection de fautes”) ; ou attaquer physiquement les cartes à puce ou les microprocesseurs. Ces attaques permettent de récupérer les clés de chiffrement nécessaires pour accéder aux données de l’utilisateur stockées sur le téléphone, comme illustré par le projet européen EXFILES.
En progressant dans les couches du téléphone, il est également possible d’exploiter les failles des systèmes d’exploitation des téléphones (leurs bugs, pour ainsi dire). Plus un système est complexe et comporte de fonctionnalités, plus il est difficile à sécuriser, voire à définir les propriétés de sécurité attendues.
Dans la plupart des cas, une seule attaque ne suffit pas à s’introduire dans le téléphone cible. C’est pourquoi un exploit moderne combine de nombreuses vulnérabilités et techniques de contournement des contre-mesures présentes.
Enfin, les intrusions peuvent cibler les applications installées sur le smartphone ou les protocoles de communication. Ces attaques visent des phases cruciales de l’utilisation des applications, telles que la négociation des clés, l’appairage des appareils ou les mises à jour des firmwares over-the-air. Par exemple, en 2019, l’équipe “Project Zero” de Google a découvert des vulnérabilités exploitables à distance sur les iPhones (pourtant réputés pour leur niveau de sécurité élevé), permettant de prendre le contrôle du téléphone avec un simple SMS.
Comme cette équipe, de nombreux chercheurs et fabricants découvrent et signalent les vulnérabilités dans le but de les corriger. Cependant, d’autres entreprises tirent profit de ces vulnérabilités en créant des “exploits” – des ensembles complexes de vulnérabilités et de techniques, permettant d’exploiter les téléphones contre leurs utilisateurs et vendus au plus offrant, y compris des États, pour des sommes pouvant atteindre plusieurs millions d’euros.
Faut-il renforcer la sécurité ou introduire des “portes dérobées” dans les smartphones ?
Au cours des dix dernières années, le niveau de sécurité a connu une évolution significative. Les opérateurs privés mettent en œuvre diverses mesures techniques pour garantir un niveau de sécurité de plus en plus élevé, en utilisant de nouveaux langages de programmation, des modes à haut niveau de sécurité tels que le mode “lockdown” sur les iPhones, qui désactive de nombreuses fonctionnalités pour réduire la “surface d’attaque”.
Cependant, il est impossible de proposer des systèmes complexes et totalement sûrs à 100 %, notamment en raison de la variable humaine. Les attaques “zéro clic”, qui compromettent le téléphone de manière transparente pour l’utilisateur, existent tout comme les attaques “un clic”, où l’intervention de l’utilisateur est nécessaire, comme cliquer sur un lien ou ouvrir une pièce jointe. Dans tous les cas, la ruse, la contrainte physique, psychologique ou juridique reste souvent un moyen rapide et efficace d’accéder aux données. Les faiblesses humaines demeurent le maillon faible exploitable dans une cyberattaque.
La complexité croissante des intrusions dans les smartphones pousse les forces de l’ordre à demander la création de “portes dérobées” permettant un accès privilégié aux téléphones. Les tensions entre les autorités et les opérateurs privés peuvent surgir lorsque ces demandes sont formulées, comme cela a été le cas entre Apple et le FBI en 2019.
L’idée de créer des portes dérobées dans les systèmes de sécurité suscite des débats, car certains estiment que cela pourrait nuire à la sécurité générale. Certains gouvernements européens ont proposé des certificats qui pourraient être utilisés pour intercepter les communications sécurisées des citoyens, suscitant des préoccupations quant à la protection de la vie privée.
Nous soutenons l’idée que réduire la sécurité des systèmes en introduisant des portes dérobées compromet la sécurité de tous. Au contraire, renforcer la sécurité des smartphones protège les citoyens, en particulier dans les pays où les libertés individuelles sont remises en question.
La question de savoir si l’exploitation de vulnérabilités existantes serait un moyen plus “démocratique” de collecter des informations à des fins judiciaires est soulevée. Ces techniques sont généralement plus ciblées et leur coût élevé. Cependant, avec l’amélioration constante de la sécurité des téléphones, la question se pose de savoir jusqu’à quand il sera économiquement viable pour les services de police et judiciaires de les exploiter. Bien que l’élimination de toutes les vulnérabilités soit probablement illusoire, il reste à voir si le coût de leur découverte et de leur exploitation deviendra prohibitif ou si l’évolution des techniques de détection des vulnérabilités permettra de réduire leur coût.
