Pentest

p. 06   SCCM : Some Credentials Could be Mine
p. 18   Maîtriser l’instrumentation de code des applications Android

Exploit

p. 28   Introduction à la sécurité des hyperviseurs

Malware

p. 42   Malwares à la chaîne
p. 52   Chaîne d’infection de Rhadamanthys

Système

p. 66   OpenBSD : réduire la surface d’attaque avec pledge(2)

Réseau

p. 74   Authentification des courriels : retour d'expérience d’une implémentation « réussie » de DMARC en entreprise 

Suis-je surveillé ? Mon téléphone et mes données sont-ils compromis ? Ai-je la possibilité de le vérifier par moi-même ? Sans être omniprésentes, ces questions me passent régulièrement par la tête au gré de l’actualité, et des dernières vulnérabilités affectant les appareils que j’utilise au quotidien.

Le sujet de la surveillance numérique n’est bien entendu pas nouveau, mais il a évolué techniquement pour s’adapter à notre utilisation massive du chiffrement des communications de bout en bout. Ainsi, intercepter du trafic, sur Internet ou via des IMSI catchers, devient de moins en moins intéressant, seules quelques métadonnées étant encore visibles. Pour surveiller efficacement, il faut donc être au plus proche des utilisateurs, et cela implique de compromettre leurs appareils, ou d’accéder directement à leurs comptes.

La plupart de nos contenus et leurs accès sont désormais centralisés dans le cloud chez une poignée d’acteurs, appartenant à quelques grands groupes américains. Cela simplifie également les contrôles que l’on peut effectuer soi-même. En effet, certains d’entre eux mettent à disposition des outils simples de contrôle, par exemple sur une interface web dédiée recensant les alertes liées aux accès récents, et de pouvoir réagir en cas de doute. Cette centralisation implique néanmoins de faire confiance à ces acteurs, et d’espérer que les données ne peuvent pas être consultées en dehors d’un cadre légal.

Auditer ses appareils personnels est à l’inverse beaucoup plus complexe, et loin d’être à la portée de tout le monde. Une poignée d’outils comme Mobile Verification Toolkit et iVerify permettent de contrôler plus ou moins simplement des téléphones sur Android et iOS, et rechercher des indicateurs de compromission, mais ce ne sont ni des fonctionnalités natives, ni exhaustives. Pourtant, les révélations sur les logiciels espions, comme Candiru, Pegasus et Predator, ont démontré qu’il est désormais nécessaire de pouvoir aisément contrôler des téléphones.

Contrairement à ce qu’affirment leurs concepteurs, ces logiciels espions ne sont pas seulement utilisés pour lutter contre les criminels et les terroristes, mais bien pour surveiller des journalistes, des activistes, et des opposants politiques. Ils représentent des menaces pour l’ensemble de la société civile, et les gouvernements les ayant acquis n’hésitent pas à les utiliser en dehors de leurs frontières. Qui plus est, la campagne Operation Triangulation renforce encore la paranoïa, car des chercheurs de Kaspersky en ont été la cible, et l’on peut aisément imaginer que d’autres ont pu être ciblés à leur insu.

Le sujet est préoccupant, et plusieurs actions en justice, notamment à l’initiative d’Apple et de WhatsApp sont en cours, et visent à interdire l’usage des ces logiciels contre leurs utilisateurs. Au-delà d’actions issues du secteur privé, plusieurs pays se sont rencontrés début 2024 dans le cadre du processus de Pall Mall afin de lutter contre la prolifération et l’usage irresponsable de ces logiciels espions. L’actualité évolue très vite et, fin juillet 2024, Microsoft et Google ont indiqué soutenir les victimes internationales de ces logiciels espions pour intenter une action en justice aux États-Unis.

À notre niveau, il me semble désormais crucial d’obtenir les moyens de mieux contrôler l’usage de nos appareils, et l’accès à nos données. Il est également essentiel de soutenir les initiatives visant à réguler l’usage des logiciels espions et d’inciter les concepteurs de nos téléphones à plus de transparence pour les utilisateurs.

Guillaume VALADON  
@guedou – guillaume@miscmag.com