Les smartphones piratés

Les smartphones piratés
Votre notation : Aucun Moyenne : 3.5 (67 votes)
<obtenir le code d'intégration de la vidéo>
Publié le 14 septembre 2010

Journaliste: Géraldine Jacot

Infographie: Jean-Daniel Kneubühler

Mixage: Philippe Lahaye

Montage: Ulrich Teiger

L’année passée 55 millions de smartphones se sont vendus dans le monde. Blackberry, iPhone et tous les autres ont transformé notre quotidien. Mais voilà, nos meilleurs amis sont aussi très vulnérables.

 Costard, cravate et ordinateur portable sous le bras… avec ses airs d’homme d’affaires, Paul Such est un hacker éthique. Nous le retrouvons dans un café genevois pour une petite démonstration de piratage. En moins d’une minute, Paul Such se connecte au réseau wifi et détecte un téléphone. Il ne lui faudra que quelques secondes de plus pour accéder au contenu de l’appareil. Photos, SMS, dernières positions GPS, emails, tout est accessible. Paul Such enverra même un faux SMS dans lequel il se fait passer pour la copine de la victime. Tout ceci est évidemment une mise en scène, mais elle nous permet d’imaginer ce qu’il est possible de faire. Dans ce cas précis, le téléphone était jailbreaké et le propriétaire n’avait pas modifié le mot de passe par défaut.

L’autre façon de pirater un smartphone, c’est de prendre la main via une application. « Quand on installe une application, on n’est jamais sûr qu’elle fait uniquement ce qu’elle est censée faire. En d’autres termes, on n’est jamais sûr qu’elle ne contient pas un cheval de Troie  qui va permettre au pirate d’accéder au téléphone » précise Paul Such, directeur de la société de sécurité informatique SCRT.

Les conseils de Paul Such

« Des solutions techniques commencent à apparaîtrent pour se protéger des risques au fur et à mesure qu’ils surviennent. Mais, comme pour toutes les technologies émergentes, il n’y a pas de recul au niveau de la sécurité. On est dans un monde réactif » précise Stéphane Adamiste, directeur de la société de conseil en sécurité IlionSecurity.

Des anti-virus? Stéphane Adamiste répond

Pour parer à ce genre d’attaque, le monde professionnel s’organise. Parmi les cibles potentielles des pirates, il y a les établissements bancaires. A Genève, la banque privée Bordier & Cie a pris une mesure radicale. Les gérants de fortunes n’utilisent pas de téléphones portables comme outils de travail car « nous sommes très conscients du danger » nous explique Julia Aymonier, directrice de la sécurité de l’information. «  C’est un cauchemar car on ne peut pas empêcher les gens d’utiliser des smartphones. Donc nous sommes en train de chercher une solution ». A l’avenir, les gérants de fortunes pourront se connecter au serveur de la banque de manière totalement sécurisée. Pour accéder aux informations qui resteront stockées dans la banque, ils devront coupler leur téléphone avec un petit boîtier. Une solution efficace pour lutter contre les pirates et le vol de données.

Après les banques, les prochaines victimes des pirates pourraient être, tout simplement, leurs clients. La possibilité, à l’avenir, de payer en ligne via son smartphone fait déjà grincer des dents les service d’intelligence suisse. «Les smartphones vont entrer dans le marché des paiements et de l'e-banking. Si on commence à faire de l'authetification sur des sites à travers son smartphone, nous commencerons à avoir des problèmes", explique Mauro Vignati, analyste pour la sûreté de l'information de la Confédération (MELANI).

Les solutions de sécurité n’ont pas suivi l’explosion des ventes de smartphones. Aujourd’hui, la meilleure des protection est encore le comportement sûr de l’utilisateur.

Commentaires

Portrait de Julien

Énorme... Reportage très amusant. Non pas à cause des journalistes, qui du reste ont fait un travail correct, mais à cause des soit-disant experts en sécurité qui jètent de la poudre aux yeux ! Ils s'appuient sur une démonstration qui a été faite il y a plusieurs années maintenant, et qui aujourd'hui ne concerne qu'un nombre très mineur d'utilisateur, pour ne pas dire plus personne. Du grand n'importe quoi... ça frôle le pathétique. Surtout lorsqu'on voit que ces même soit-disant experts ne sont pas capables de protéger leurs propres sites Web. Il suffit de jeter un oeil sur http://xssed.com/mirror/66742/, http://xssed.com/mirror/68698/, http://xssed.com/mirror/68733/ ou http://xssed.com/mirror/66717/ pour s'en apercevoir.

Portrait de Anonyme

Etrange...les antivirus pour téléphones portable existent depuis longtemps, en tout cas pour Symbian, Android et Blackberry.

Ils détectent les malwares qui permettent de prendre le contrôle du smartphone, même sans jailbreak.

Il y a eu plein d'articles sur le piratage d'iphones non jailbreaké. Les données utilisateurs ont pû être extraites.

C'est une des problèmes d'Android et iOS. C'est des platformes qui se font régulièrement hacker. Les données entreprise peuvent être protégées grâce à des solutions logicielles entreprise, mais le pauvre particulier n'est pas super protégé (vie privée).

Je n'ai jamais vu un Blackberry jailbreaké ou hacké (hors malware).

Portrait de oliricha

Le problème avec ce reportage est tout d'abord la cible du public qu'il vise. En passant au 19h30, il s'adresse au "tout public" et ce genre de public ne sais pas ce que veux dire "jailbreak" par exemple. Que ce reportage passe dans l'émission Nouvo, pourquoi pas puisqu'il s'adresse principalement à un public averti.

Deuxièmement, un iPhone Jailbreaké n'a pas de serveur SSH par défaut. Pour que celui-ci puisse communiquer avec un autre appareil par SSH, il lui faut un serveur comme par exemple OpenSSH.

Par contre, contrairement à ce que laisse suggérer certains commentaires, il ne suffit pas de changer le mot de passe de l'utilisateur "root" mais également de celui de "mobile" car les deux ont comme mot de passe par défaut "alpine".

Portrait de Pitteloud Stéphane

De mieux en mieux dans "des anti-virus ? Stéphane Adamiste Répond" !

"les produits de sécurité ne sont pas à la hauteur, il n'y a pas encore d'anti-virus" !
Dites moi monsieur le "spécialiste", à quoi diable sert un anti-virus si il n'y a pas de virus pour la plateforme en question ? Citez-moi le nom d'un virus pour un systeme quelconque basé sur un noyeau Mach (au hazard, macosX, Darwin, Ios) ?

"apple n'autorise pas un logiciel à tourner en tâche de fond"
Il faudrait vraiment voir à vous documenter avant de raconter des bonniments. Il existe un SDK parfaitement documenté qui permet à chaque programmeur de faire tourner une application en tache de fond sans sourciller sur Ios4, et ce depuis un bout de temps déjà.
Encore une fois, si apple ne valide pas d'application anti-virus, c'est parce qu'il n'y a pas de virus sur ce systeme d'exploitation, de même qu'il n'y a pas besoin d'anti-virus sur un systeme Unix !

Portrait de Eloniss

C'est bien ce qui est reproché à ce reportage, de crier au loup sans vraiment expliquer pourquoi une faille de sécurité est possible et faire l'apologie de programmes payants qui ne servent à rien dans l'immédiat.

Portrait de Pierre

Vous rappelez vous... Il y a quelques années nous ne fermions pas nos portes à clé, nous ne cadenassions pas nos vélos, nous fumions sans penser à notre santé et nous faisions l'amour sans préservatifs... Mais aujourd'hui, on connait les risques. Pour les smartphones c'est pareil, il faut apprendre! Personnellement, je ne baigne pas dans un milieux d'initiés comme ceux qui se sont exprimés sur cette page et j'ai appris des choses comme faire attention aux applications que je télécharge et changer le mot de passe si je jailbreak mon téléphone. A ce propos, pour ne parler que de l'iPhone, j'ai fais un petit test auprès de mon entourage: 4 personnes ont jailbreaké leur téléphone et 1 seulement avait changé son mot de passe. Mais je le répète, je n'évolue pas dans un milieu d'initiés bien au contraire.

Portrait de manuel

Dommage que NOUVO se fasse connaitre par le buzz autour de ce "reportage". Par curiosité, j'en ai visionné d'autres et leur traitement n'est pas aussi idiot (1).

Mon conseil à la rédaction : retirer ce sujet, ou faites un reportage réponse - plus difficile à présent ... pour cause:
Vous êtes en train de vous faire mauvaise presse dans les milieux compétents (2), vous vous fermez les portes des meilleures équipes de R&D, réseau et informatique pour vos futurs sujets. Comme le soulignait quelqu'un: tout le monde peut se tromper ... encore faut-il, simplement, le reconnaître pour en sortir indemne.

(1) Voici, pour les profanes, traduis à l'aide de métaphores équivalentes, les points clé de ce reportage:

- Nous avons démontré que si une personne se jète de sa voiture lancée à 30 km/heure elle peut, potentiellement, se faire mal. (sans intérêt)
- (implicitement) Les gangsters se détournent du braquages des banques, trop juteux, pour s'en prendre à l'argent de poche des élèves à la sortie des écoles primaires. (faux)
- Les airbags créent une "bulle de sécurité" autour des neurones du conducteur pour empêcher les hémorragies méningées. (mauvaise vulgarisation)
- Dans un futur proche il sera possible de prendre l'avion pour aller jusqu'à New-York (si, si !), cela inquiète les services de douanes suisses. (anachronisme, nous y sommes déjà depuis longtemps)

(2) Qui en l'occurrence sont loin d'être peuplés que de geeks.

Portrait de Nord

Merci pour ce reportage qui rappelle simplement que les smartphones ne sont pas infaillibles, surtout depuis que ce sont des mini-ordinateurs !

Du calme à tous les geeks qui s'excitent sur la pauvre équipe de Nouvo.

Pour moi qui ne comprends rien à rien à la sécurité des téléphones, je ne "jailbreak" (c'est le mot) pas mon iPhone, donc je ne me sens pas visé. C'est expliqué dans le reportage, 'faut écouter: "jailbreaké, ou déverrouillé en d'autres termes", c'est parfaitement clair dès le départ. Sachant cela, je ne me sens pas visé et je fais confiance à Apple. Quand on achète un produit, c'est aussi parce qu'on fait confiance à l'entreprise.
J'ai aussi lu quelque part que l'iPhone renferme Mac OS X en version simplifiée. Sachant qu'il n'existe aucun virus sur Mac, je suis davantage tranquillisé.

Merci à l'Équipe Nouvo de nous sortir des reportages variés !

Portrait de Pitteloud Stéphane

Du grand n'importe quoi ! Ok pour la première partie, qui reste plausible. Malheureusement, votre exposé est trop partial, car les conditions requises pour que ceci soit réalisable sont nombreuses : ça ne marche que sur un Iphone, il faut qu'il soit "jailbreaké", il faut que son utilisateur qui l'a jailbreaké n'aie pas changé le mot de passe SSH, il faut que la victime et le pirate soient sur le même réseau Wifi, et finalement il faut que le pirate aie de très bonne connaissance des outils d'injection pour faire plus que copier des fichiers (envoyer un sms en SSH, mort de rire, vraiment). Mais admetons, jusque là on peut en discuter.

Là ou ça devient ridicule, c'est prétendre que les smartphones ne sont pas protégés car il n'ont pas d'anti-virus ni de firewall. Donc, si on vous écoute, un utilisateur sous Windows équipé de ces deux logiciels magiques est en sécurité, alors qu'un utilisateur d'iphone est à la merci des pirates ! C'est oublier un peu vite que l'OS de l'iphone est un Unix à part entière, et qu'il est totalement sécurisé (hors jailbreak) car ne possède pas de compte root par défaut, ne permettant tout simplement pas à un pirate de le pénétrer. La seul faille connue à ce jour sur l'iphone venait de Safari mobile qui pouvait injecter du code à partir d'une image. Cette faille a été corrigée, il suffit de mettre à jour son appareil, chose que vous conseillez aisément sur toute machine windows si ma mémoire est bonne. Vous êtes partials et vous comparez d'un côté un smartphone avec un ordinateur pour ce qui vous arrange dans votre démonstration (le firewall et l'anti-virus), mais vous occultez completement ce qui dans cette comparaison détruit votre démonstration, à savoir que même équipé d'un firewall et d'un antivirus, Windows est vulnérable et relativement facilement attaquable. La preuve ? Il n'existe pas de virus sur mac osX, il n'y a à ce jour pas de moyen de pirater ce système autrement que par l'action de l'utilisateur (lancer lui-même un logiciel, donner un mot de passe par social engineering). Ce fait est admis, pourtant vous le renversez completement quand on parle de smartphone. Savez-vous que l'os de l'Iphone à la même base que Mac osX ?

Votre spécialiste informatique ne parle aucunement de sécurité matérielle, mais uniquement de Social engineering, il n'y a aucun rapport avec la sois-disante non sécurité des smartphones. Au cas ou, Apple fournit tout les outils pour se protéger aux paranos qui croient que tout pirate qui se respecte puisse entrer dans leur machine : la gestion des réseaux VPN est intégrée et facile à mettre en place et il est possible via son compte MobileME d'effacer son smartphone à distance depuis n'importe ou dans le monde pour peut qu'il soit allumé et sur le réseau mobile.

Vous finissez en disant qu'il n'y a toujours pas d'anti-virus pour les smartphones, comme si c'était une évidente necessité ! Depuis quand dans le reportage on parle de virus ? On parle de Hacking, rien à voir. Etant donné qu'il n'existe pas de virus actuellement pour le systeme IOS, ni même pour Mac osX, que peut apporter un anti-virus ?

Franchement, arretez de faire du sensationnel alors que vous ne maitrisez pas le sujet, allez voir des vrais spécialistes qui vous renseigneront, parce que là, vous avez réussi à faire deux choses : faire peur aux personnes non initiées à l'informatique et faire rire à gorge déployée ceux qui travaillent avec. En tout cas, dans mon cercle professionnel, ça nous à bien fait marrer.

Portrait de Gael

Bonjour l'équipe de nouvo....;-)

Il a effectivement eu un petit dérapage sur cette épisode, à mon gout.... de manière globale ce qui a été montré est possible mais à certaines conditions et cela n'a pas été précisées... Comme quoi l'erreur est humaine... Mais peut être que les supers geeks, anti-media sont immunisés contre les erreurs...?? je sais pas ;-)

Je suis dans le domaine et le reportage ne ma pas effrayé, même si il pourrait... si j'étais un sous-douée de l'informatique, je me poserais quand même la question suivante...
Si cela est possible et dangereux pourquoi y'a que nouvo qui en parle ??? et donc apres un coup de file à mon pote google je pourrais être rassuré....

Donc les gars pas besoin de s'emballer et de crier au scandale... Keep cool !!!
Si vous trouvez que la TSR est pas assez de bonne qualité je vous invite à regarder TF1 ou le câble américain... :D

Même si cette épisode boitait un peu de la patte comme si il sortait d'un apéro prolongé, je vais continuer à regarder Nouvo, une émission de qualité ou l'info technologique est traité avec humour...

pour les autres il y a peut être encore des rediff des frangins bogdanov sur youtube... MDR

Portrait de Kévin

En tant que professionnel dans le domaine des télécommunications je trouve votre reportage intéressant mais le problème, pour les utilisateurs lambda, c'est qu'il ne met pas l'accent sur le fait que cette situation est extrêmement rare. De plus, la grande majorité des personnes qui pourraient "paniquer" à la vue de votre reportage sont les utilisateurs que n'ont aucune idée de jailbreaker quoi que ce soit.

Mais encore, à ma connaissance, ce problème n'existe que sur iPhone et pas sur tous les smartphones, comme le titre du reportage le laisse sous entendre.

Par ailleurs, je cite la remarque d'"Etienne" : "Je trouve que cette émission n'a aucun sens et surtout que dans les entreprise le jailbreak est interdit...". A ma connaissance les entreprises ne contrôlent pas les téléphones privés de leurs employés. S'il est fourni par l'entreprise, passe encore, mais du moment qu'il s'agit d'un bien privé...

Continuez à nous faire de bons (à mon avis) reportages.

Portrait de JamesNitro

Reportage trop court et incomplet, dommage, car le sujet est intéressant. Mais il faut surtout en retirer que c'est le comportement des utilisateurs de smartphone qui crée les brèches de sécurité (jailbreak). Et que les société comme Apple, par exemple, sortent des patches de correction pour les autres failles (si ils y en as).

Vraiment incomplet, quand on parle de technologie, il faut prendre sont temps et expliquer le tout, le plus simplement possible.

Dommage...

Portrait de MrPatate

Comme le dit si bien un utilisateur de mac4ever.

"En bref, si vous supprimez les sécurités de l'iPhone, il peut être piraté en 3 minutes...

Si vous ne fermez pas votre maison en partant, on peut y rentrer en 3 minutes..."

Merci pour ce reportage. J'ai déjà des échos de personnes pensant pouvoir être piratées en utilisant leur iPhone 4. Comme quoi. Pensez à la force des médias avant de raconter "n'importe quoi".

Nouvo fait bien mieux que ça d'habitude.

Portrait de Sandok

Géraldine, si c'est difficile d'être exhaustif en 4 minutes de reportage, alors pourquoi faire le reportage?

Vous induisez en erreur votre spectateur et donc, en effet, votre reportage est ... nul.

La dernière version de iOS (4.1) est non jailbreaké et donc, tous les iPhones 4 (ou 3G ou 3GS) sont en effet "inhackable".

De plus, même si jailbreaké, par WIFI, comme a indiqué Eloniss, ce n'est pas aussi "facile" que dans votre reportage.

Et ensuite nous avons RIM avec leur BB qui est très sécurisé, Android qui est aussi très bon et ainsi de suite.

Ahhh, ce que les journalistes sont prêt à faire de nos jours pour tenter d'avoir une histoire "intéressante".

Portrait de Etienne

je suis révolté contre le sens de cette émission. On n'explique pas au 95% de la population ce que veut dire jailbreaké, et surtout que Apple le déconseille pour la sécurité...

Je trouve que cette émission n'a aucun sens et surtout que dans les entreprise le jailbreak est interdit...

nouvo

Bonjour Eloniss,

Vous avez tout à fait raison de préciser. Nous avons ajouté un bonus video sur cette page pour donner deux conseils de base aux utilisateurs qui sont nombreux a jailbreaker leur iPhone sans changer le mot de passe.
C'est malheureusement difficile d'être exhaustif en 4 minutes de reportage. Bonne journée!

Portrait de Eloniss

Geraldine,

Pour se connecter a un iPhone jailbreaké, il faut utiliser le protocole SSH. Pour ce faire, il faut un nom d'utilisateur et un mot de passe.

Là où le danger intervient, c'est qu'après jailbreak de la machine on obtient un nom d'utilisateur (Root) et un mot de passe (alpine) qui est le même pour TOUS les iPhones qui sont passés par le jailbreak. Il est donc à porté de tout le monde de se conncecter à un iPhone dont ces données n'ont pas été modifiées (un bête changement de mot de passe).

Pour exemple, votre reportage est applicable aux routeur Wifi dont le nom d'utilisateur et le mot de passe (admin et 1234) n'ont pas été modifiés par l'utilisateur. Il s'agit donc là d'une maladresse de la part du propriétaire de l'iPhone et non pas d'une faille de la machine. Ce qui équivaudrait à se balader avec une carte bancaire dont le code NIP est 1234...

nouvo

Re-bonjour,

Merci d'avoir pris le temps de répondre, mais malgré vos 3715 signes, mes collègues et moi n'avons toujours pas compris ce que vous nous reprochez réellement.
Notre but n'était pas de faire du sensationalisme, mais de démontrer que les smartphones sont vulnérables. Nous sommes contents de vous avoir fait rigoler. Bon week-end!

Portrait de manuel

Bonjour,

Je ne souhaitais pas spécialement épiloguer dans cette tribune, néanmoins puisque vous me sollicitez je me dois d'être poli et de vous donner quelques explications.
Il y a long à dire sur les aspects "techniques", à commencer par un problème l'identification des cibles et des voies plus probables visées par les efforts déployés par les hackers, du point de vue d'une infrastructure réseau (traduisez par: le côté serveurs plutôt que côté clients, bien sûr, même si ... etc).

Sans entrer dans ces détails ésotériques, je pense que ce reportage manque cruellement de bon sens et de rigueur, les points clés de ma position sont les suivants:

- parlez nous plutôt de cas concrets, de personnes dont les données stockées sur leur téléphone mobile ont été volées over-the-air (via BlueTooth ou le WIFI) au lieu de proposer ces spéculations audacieuses. L'exercice risque d'être extrêmement difficile et ce malgré les millions d'utilisateurs de smartphones.
- le faisceau des conditions requises à l'expérience de hacking de l'iPhone telle que montrée dans votre reportage, est si peu probable qu'il nécessite, en gros, soit une mise en place volontaire soit une série de maladresses qui relève de la débilité.
- en faisant encore fonctionner le bon sens: le marché du téléphone mobile (et des devices connectés en général) est tellement colossal et compétitif qu'aucun constructeur ne peut se permettre de voir une telle fiction, les impliquant, arriver.

Tout ceci reprend en substance le premier post "Anonyme" de cette discussion.
J'ajouterais:

- il existe de nombreux marchés qui utilisent l'ignorance légitime du profane (individu ou entreprise) pour exister, lui vendre de la peur et les solutions, souvent superfétatoires, qui viennent avec. La technologie est souvent un espace de jeu privilégié pour ce genre d'exercices. Il est d'ailleurs intéressant de visionner ce reportage sous cet angle.
- il y a concordance entre les aspirations de ces bonimenteurs et celles des "media" (pardon pour cette amalgame et simplification grossière). Les derniers offrant souvent la parole aux premiers afin de faire choux gras. C'est sans doute pour cette raison que la désinformation occupe une place de plus en plus proéminente un peu partout. Vous trouverez toujours quelqu'un pour vous parler de l'imminente fin du monde...

Pour illustration : au lieu de nous informer sur la façon dont aujourd'hui, au quotidien, des milliers d'entreprises comme Apple, BlackBerry, HTC, la Société Générale, American Express, Paypal mais aussi et surtout eBay, Amazon, iTunes Store, gèrent des milliers d'ordres d'achat émanant de millions de téléphones mobiles, et ce en garantissant la fiabilité et la sécurité de ces transactions (https existe depuis 1994), vous préférez nous lancer, dixit: "La possibilité à l'avenir de payer en ligne via son smartphone fait déja trembler les services d'intelligence suisses".
Pour votre information: ces transactions existent et sont opérées massivement depuis l'existence du browser web sur les devices mobiles, c'est à dire, par exemple, pour l'iPhone depuis janvier 2007 (date de son lancement)...

Ce reportage est pour ces raisons, et d'autres, un cas d'école : une tentative de déformation/occultation de la réalité à des fins sensationnelles. Je n'irais pas jusqu'à dire que cela était volontaire, mais pour le moins il existe mille et une façons plus intéressantes, et sérieuses, d'aborder cette question.

Vous auriez intérêt à faire fonctionner davantage votre bon sens et vous renseignez un minimum sur votre sujet avant de vous lancer corps et âme dans ce genre de thèses, en l'occurrence réfutables au coin de la rue. Au moins, comme je le disais, vous nous avez fait beaucoup rire.

nouvo

Bonjour "Manuel",
Qu'entendez-vous par "inepties"? Pouvez-vous argumenter? Nous sommes surpris car nous avons eu des retours très positifs des personnes interviewées. Mais nous sommes toujours prêts à en discuter.

Portrait de manuel

J'ai rarement vu autant d'inepties à la minute ... du grand reportage! Aussi grossier et ridicule que le SMS envoyé pour illustration.
Pour info cette video, fait le tour des startups high tech, et fait rire aux larmes.

Portrait de Anonyme

Il faut relativiser, comme vous l'avez dit au début du reportage, il faut que l'iPhone soit jailbreacké.

Donc si on utilise l'iPhone comme Apple a prévu qu'il soit utilisé, on diminue fortement les risques de piratage.

Je n'ai encore jamais entendu parler d'un piratage d'un iPhone non jailbreacké.

Je pense que les constructeurs de téléphone intègrent à leur système des protections et des limites. Maintenant si on les contourne, il ne faut pas s'étonner si le téléphone devient vulnérable.

Poster un nouveau commentaire

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement. If you have a Gravatar account associated with the e-mail address you provide, it will be used to display your avatar.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <script> <iframe>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Insert SoundCloud track or set with the [soundcloud:URL] tag.
  • You may insert videos with [video:URL]

Plus d'informations sur les options de formatage