L’évolution récente du monde des smartphones et l’émergence d’applications mobiles utilisables dans toutes les situations sont à l’origine de l’augmentation de l’utilisation des smartphones et tablettes pour gérer des données sensibles. Qu’il s’agisse de votre CV sur LinkedIn, de vos photos privées envoyées à votre partenaire via WhatsApp, Viber ou autre app similaire, de vos mots de passe uniques pour accéder à votre compte bancaire en ligne, vous recevez et envoyez ce genre de données via votre appareil mobile. Malheureusement, la plupart des gens ne réalise pas à quel point il serait facile pour un inconnu assis à 10 mètres de là d’intercepter ces données.
Les pièces principales de ce puzzle de sécurité sont un réseau Wi-Fi qui n’est pas assez protégé et le manque de sécurité au sein des applications mobiles
L’Internet cellulaire reste souvent cher, surtout si vous voyagez à l’étranger. C’est pourquoi les gens utilisent souvent le Wi-Fi des aéroports, des cafés et des hôtels sans faire attention à leur sécurité. Dans des études réalisées par des experts de Sao Paulo juste avant la Coupe du monde afin de découvrir quel genre de chiffrement les gens utilisaient sur leurs réseaux sans fil, nous avons découvert que plus d’un quart des réseaux étaient complètement ouverts (aucun chiffrement).
Si vous utilisé un réseau ouvert, n’importe qui pourra espionner votre trafic et voir les données que vous envoyez. Si vous utilisez le WEP, le chiffrement pourra être craqué en moins de 5 minutes. En bref, de nombreux réseaux à travers le monde peuvent être espionnés par les criminels et ce, en quelques secondes uniquement.
Notre recommandation est d’essayer de vous connecter à des réseaux qui utilisent le WPA2. Néanmoins, il est vrai que vous aurez souvent à vous connecter à des réseaux non sécurisés. De plus, vous ne pouvez pas vraiment contrôler ce qui est transmis sur les connexions ouvertes. Quand vous utilisez un navigateur mobile, vérifiez que le petit cadenas et le protocole HTTPS sont bien présents dans la barre d’adresse.
C’est une toute autre histoire quand vous utilisez des applications mobiles. Vous ne pouvez pas vraiment savoir quel protocole les applications utilisent. Des experts en sécurité ont découvert que de nombreuses applications utilisent toujours un protocole ouvert pour leurs communications internes avec leurs serveurs, par exemple, HTTP au lieu de HTTPS, des connexions qui sont vulnérables aux piratages de session, au vol de mot de passe et à l’espionnage. Par exemple, si vous utilisez des services de messagerie instantanée, les gens pourront voir vos conversations en texte clair. Et je n’exagère rien, c’est un réel problème pour les applications mobiles. Même Google, Facebook ou Twitter ont eu des problèmes avec l’absence de SSL dans leurs applications mobiles en 2011. Jusqu’à l’été 2012, WhatsApp, une application de messagerie instantanée extrêmement populaire, transmettait tous les contenus sans les chiffrer. Si vous utilisez toujours Yahoo Messenger ou ICQ, j’ai une mauvaise nouvelle pour vous, ils utilisent toujours un protocole de texte clair : les chats ne sont donc pas chiffrés et il est très facile de les espionner sur un réseau Wi-Fi ouvert. Il est difficile de s’imaginer combien d’applications ne chiffrent pas leur contenu, et que même certaines entreprises très importantes n’utilisent pas encore le chiffrement.
Si l’on rentre dans les détails techniques, de nombreuses applications mobiles n’informent pas les utilisateurs des problèmes rencontrés avec les certificats SSL, rendant la détection des attaques de l’homme du milieux presque impossible.
Bien évidemment, il serait plus simple de donner de simples conseils comme « n’utilisez pas les applications mobiles pour communiquer des données sensibles », mais il est difficile de suivre ce conseil. En effet, suivre cette règle nous ramènerait au 20ème siècle. Je vous recommande donc de suivre une approche moins radicale :
- Utilisez la 3G/4G au lieu d’un réseau Wi-Fi public si vous le pouvez.
- Privilégiez toujours les connexions Wi-Fi chiffrées (WPA2).
- Utilisez un VPN sur votre appareil mobile.
- Évitez de réaliser des actions sensibles telles que consulter votre compte bancaire en ligne dans des lieux publics et sur des réseaux qui ne sont pas fiables (en bref, tous les réseaux sauf ceux privés ou professionnels).