Il y a des données plus précieuses que d’autres en cyberdéfense mobile, l’une des principales d’entre elles, votre numéro de téléphone.
Souvent une action réflexe, nous communiquons notre numéro de téléphone à tout le monde : des services en ligne, des entreprises, des programmes de fidélité, pour des jeux ou des inscriptions.
Pourtant votre n° de téléphone est une porte d’accès privilégiée à votre smartphone. Pegasus, QuaDream, Opération Triangulation, ces noms ne vous disent peut-être rien, il s’agit pourtant des principaux virus mobiles ayant fait la une de l’actualité ces derniers mois. Ces logiciels espions n’ont pas ciblé des millions de personnes au hasard, ils ont minutieusement choisi leurs cibles dont la fonction, l’organisme ou l’institution est particulièrement stratégique. Des journalistes, des représentants politiques, des militants d’associations ou d’ONG, des ambassadeurs, des représentants d’organismes comme le Parlement Européen et tous ceux dont nous ne savons pas s’ils ont été ou si, ils sont toujours aujourd’hui la cible de ces logiciels.
Tous ces virus ont un point commun dans le schéma d’attaque : le numéro de téléphone. Il permet de cibler précisément un individu en s’assurant de sa disponibilité. Votre ligne est connectée en permenance au réseau cellulaire et en particulier aux réseaux 4G et 5G sur tout le territoire national. La couverture data des forfaits mobiles français allant de 10 à 200 GO jusqu’à l’illimitée, assure aux acteurs malveillants de pouvoir exploiter à distance des failles zero-day voir zero-click et télécharger en arrière-plan des virus parfois lourds. Un autre avantage considérable, votre smartphone est toute la journée, voir parfois toute la nuit allumé et connecté à internet.
Sommaire
Mais alors, qui peut obtenir votre numéro de téléphone ?
Absolument tout le monde. Ne vous faites pas d’illusions, un attaquant compétent en informatique n’aura aucun mal à retrouver votre numéro de téléphone en quelques minutes et tout le monde est concerné, même ceux n’ayant pas de profils sur les réseaux sociaux ou de comptes en ligne. Comment est-ce possible ? Plusieurs éléments de réponses :
- Information publique car mal configuré sur vos réseaux sociaux, par exemple votre numéro est en clair sur votre profil Linkedin et n’importe qui peut y accéder.
- Vous laissez sciemment cette information sur internet en publiant par exemple une annonce sur Leboncoin avec votre numéro ou encore en publiant un CV ou un document.
- Vous téléchargez des applications légitimes sur l’App store ou le PlayStore qui accèdent à votre carnet d’adresses (avec votre autorisation explicite) et qui envoient l’intégralité de vos contacts à des serveurs externes. Ceci n’est pas illégal et vous acceptez souvent le traitement de vos données personnelles dans les conditions générales d’utilisation. Dans ce cas, il existe 3 possibilités. Premièrement, l’application communique ces données (l’ensemble de vos contacts et leurs numéros) à des partenaires. Deuxièmement, ces applications revendent vos données à des sociétés achetant des données personnelles à l’origine destinées à améliorer les publicités et le ciblage commercial. Dans le dernier cas, un piratage des bases de données des serveurs contenants ces informations.
- L’utilisation d’extensions permettant de récupérer des numéros sur Linkedin par exemple. Ces extensions achètent d’importantes bases de données pour proposer des services de génération de leads. En vous rendant sur le profil de quelqu’un vous pouvez en un clic récupérer son adresse e-mail et son numéro. Ces techniques sont regroupées sous la notion d’OSINT (Open Source Intelligence). Nous reviendrons dans un article prochainement sur ces techniques d’obtention d’informations.
- L’exploitation de bases de données piratées disponibles parfois gratuitement sur le Darknet et quelques forums et communautés de cyber en accès libre sur le web classique.
Cette liste est évidemment non exhaustive et de nombreuses méthodologies approfondies sont également possibles reposant principalement sur le profilage des individus ou l’exploitation détourné de services légitimes.
Quel est le risque avec mon numéro de téléphone ? Que peut faire concrètement un attaquant ?
La liste des possibilités est extrêmement longue, parfois même les attaquants exploitent des outils que vous ne pensiez voir que dans les films. Votre numéro est une donnée personnelle de première importance.
- Réaliser des actions de spam dans le but de vous gâcher la vie avec des centaines de faux sms, d’appels, etc…
- Lancer une campagne de phishing pour vous voler vos identifiants (Le phishing est une technique de cybercriminalité qui consiste à se faire passer pour un site légitime et récupérer vos informations de connexions).
- Réaliser une arnaque et tenter d’accéder à vos comptes en banque ou comptes importants ou vous subtiliser des fonds.
- Piratage de vos comptes ou tentative d’exploitation à des fins de chantage ou de menace.
- Réaliser du SIM Swapping, cette technique, particulièrement dangereuse est une véritable menace. Pour faire simple, un attaquant vol à distance votre carte sim et récupère par conséquent votre numéro et tous les appels et SMS qui vous sont destinés. Ceci permet d’obtenir des codes de double authentification bancaire par exemple. Découvrez notre article sur le sujet.
- Faire du spoofing, cette technique est particulièrement en vogue et consiste à usurper l’identité d’un numéro. Un attaquant peut ainsi faire croire à n’importe qui que c’est vous qui appelez le destinataire, en réalité l’attaquant est au bout du fil et se fait passer pour vous. Cette usurpation est de plus en plus utilisée dans la fraude bancaire et les attaquants se font passer pour votre conseiller bancaire avec son numéro.
- Exploiter des technologies d’OSINT permettant de connaître les sites sur lesquels vous êtes inscrits. Par exemple en saisissant votre numéro, un attaquant est capable de connaître votre compte Google ou même savoir si vous possédez un compte Deliveroo ou encore Amazon.
- Faire crasher votre ligne téléphonique. Imaginons que vous attendiez un appel important ou une information sur votre smartphone et qu’un attaquant ou un concurrent faisant de l’espionnage économique (illégal) en soit informé. Il peut à distance lancer un « raid » sur votre ligne téléphonique générant plusieurs centaines d’appels et de SMS à la seconde qui va conduire au blocage de votre ligne par sécurité.
- Obtenir des informations sur votre ligne comme votre opérateur téléphonique permettant de vous piéger par la suite.
- Intercepter vos communications (appels et SMS) à l’aide d’outils très spécifiques pouvant être utilisé à distance (quelques centaines de mètres) comme les IMSI Catchers (illégaux, et réservés aux autorités) mais exploités malgré l’interdiction par des acteurs malveillants. Vous pouvez consulter notre article sur le sujet.
- Récupérer à distance le contenu de votre messagerie Whatsapp. Disponible pour quelques dizaines d’euros sur le Darknet, ce piratage semble être répandu et permet d’aspirer l’intégralité de vos conversations.
- Vous géo-localiser en temps réel partout dans le monde à distance depuis un simple ordinateur. En effet les réseaux mobiles actuels en Europe et plus généralement dans le monde contiennent de nombreuses failles, celles-ci peuvent être exploitées à distance pour réaliser des actions illégales et particulièrement dangereuses. N’importe qui avec une compétence informatique avancée peut en temps réel connaître votre position et vous n’avez aucun moyen de vous en apercevoir ni même de lutter contre avec votre smartphone classique.
- Utiliser un logiciel espion simple disponible pour quelques centaines d’euros sur le Darknet et sans nécessairement avoir besoin de compétences techniques. Ces logiciels espions sont dangereux et permettent de récupérer la majeure partie du contenu du smartphone.
- Utiliser un logiciel espion plus technique, disponible dans les profondeurs du Darknet. Ces logiciels permettent d’exploiter le contenu en temps réel des utilisateurs à distance. Ils peuvent également déclencher le micro et la caméra de votre smartphone et enregistrer ce qu’il s’y passe.
- Utiliser un logiciel espion avancé comme Pegasus, quasiment industrielle dans le procédé, ces logiciels s’installent en quelques minutes sur les téléphones des cibles et récupèrent l’intégralité du contenu du smartphone. Ils ne nécessitent pas forcément une action de l’utilisateur comme un clic sur un lien malveillant.
Tout comme les techniques d’obtention d’un numéro, cette liste est non exhaustive et est susceptible d’évoluer.
Maintenant que vous avez compris l’enjeu de votre numéro de téléphone, une question doit vous venir en tête :
Comment me protéger ?
Disons le clairement, si vous n’occupez pas de fonctions stratégiques ou de postes dans des organisations de premier plan, vous avez peu de chance d’être victime de ce type d’attaques, cependant ce n’est pas parce que les chances sont faibles qu’il n’y a pas un risque.
Vous pouvez chercher à protéger votre confidentialité de façon simple. Faire un premier pas dans la cyberdéfense mobile c’est être conscient du problème, être conscient que votre numéro est une donnée ultra stratégique. Il faut également prendre en compte que les smartphones actuels ne sont pas conçus pour lutter contre les virus et les logiciels espions, au contraire ils développent de plus en plus de fonctionnalités et ouvrent de plus en plus les systèmes pour que l’expérience utilisateur soit optimale. Les failles vont continuer à se multiplier dans les années à venir et les logiciels espions feront de même.
Preuve en est, régulièrement, des chercheurs en cybersécurité trouvent des failles voir même directement des virus dans des applications téléchargées des centaines de milliers de fois.
Voici quelques conseils pour vous protéger :
- Ne communiquez pas votre numéro de téléphone, préférez l’utilisation de messageries instantanées avec identifiants pour communiquer avec des amis ou des collègues.
- Souscrivez une deuxième ligne téléphonique pour les comptes en ligne et les programmes de fidélités.
- Ne cliquez jamais sur les liens que vous recevez par SMS même s’ils semblent légitimes et officiels.
- Utilisez sur Android, un antivirus ou un pare-feu permettant de bloquer les communications réseaux de certaines applications ou logiciels qui vous sembleraient non légitimes.
- Utilisez des applications de messagerie sécurisées comme Olvid
Utilisez un smartphone sécurisé Pacem comme notre iPhone Spectre, notre Samsung Knox Shadow ou encore notre smartphone ultra sécurisé Phantom.
Nos smartphones sécurisés permettent de neutraliser les failles réseaux utilisées pour intercepter vos communications, voler vos données, ou bien encore diffuser des logiciels espions.
Ils utilisent également une carte SIM sécurisée Pacem Network fonctionnant en mode protégé, neutralisant le SIM Swapping et les menaces de localisation en temps réel et d’exploitation de failles comme les SMS silencieux.
Nous intégrons des technologies anti-downgrade réseau permettant de bloquer les IMSI Catchers, ainsi que des technologies inédites d’anonymisation de trafic, d’invisibilité réseau pour notre smartphone Phantom réservé aux institutions et personnes menacées.
Nos pare-feux Pacem Snow et Pacem X intégrés nativement dans nos mobiles sécurisés, protègent contre les attaques zero-days et zero-click comme Pegasus ou autre logiciels espion avancés. Enfin, les communications de nos smartphones sont sécurisées, les appels et SMS transitent sur un réseau chiffré jusqu’au destinataire pour empêcher les écoutes illégales (les lignes téléphoniques étant françaises, il est possible pour l’offre Spectre et Shadow de procéder à des écoutes légales requises par les autorités françaises).
Pour résumer : faites attention à vos données personnelles, elles valent de l’or pour les attaquants.