Cet article fait partie de notre guide: Prism : un scandale aux vastes retombées

Ecoutes NSA : quelle menace pour les smartphones ?

Selon nos confrères allemands du Spiegel, la NSA pourrait piocher dans les données des utilisateurs de smartphones. Mais pas forcément de les intercepter. LeMagIT fait le point.

Nouvelles révélations ce week-end sur les capacités d’espionnage de la NSA : selon le quotidien allemand Der Spiegel, la NSA serait capable de piocher dans les données des utilisateurs de smartphones. Nos confrères basent leurs affirmations sur des documents internes à l’agence de renseignement américaine mentionnant les iPhone, les smartphones Android et les Blackberry. La NSA aurait en outre mis en place des groupes de travail dédiés à chaque système d’exploitation pour réussir à accéder aux données spécifiquement.  L’agence pourrait ainsi accéder aux données «d’au moins 38 fonctionnalités» des iPhone.

L’iPhone, sûr malgré tout ?

De quoi inquiéter les utilisateurs en entreprise de ces appareils ? Pas sûr. De fait, la NSA aurait besoin, pour accéder à ces données, d’un accès direct aux sauvegardes du contenu de l’appareil réalisées automatiquement par iTunes lors des synchronisations. Des sauvegardes qui ne sont pas chiffrées par défaut mais qui peuvent l’être sur simple demande de l’utilisateur. Mais nos confrères ne disent mot de ce cas. De nombreux logiciels disponibles sur Internet permettent en outre d’extraire aisément des données de ces sauvegardes d’iPhone lorsqu’elles ne sont pas chiffrées.

Dans la version complète de son article, Der Spiegel explique que la NSA a réussi à «percer les communications BlackBerry» jusqu’à mai/juin 2009. La mise en place d’un nouvel algorithme de compression des données a alors posé problème. Des difficultés apparemment levées en 2010. La NSA aurait bien été capable de «voir et lire» les SMS envoyés depuis des BlackBerry, ainsi que de «collecter et traiter les e-mails envoyés via BIS», le service de messagerie grand public de BlackBerry. Le serveur d’entreprise, BES, serait-il plus sûr ? A l’occasion de son bras de fer avec le gouvernement indien, BlackBerry a régulièrement assuré ne rien pouvoir faire pour aider les autorités à intercepter les communications passant par BES. Mais selon nos confrères, «un e-mail d’une agence gouvernementale mexicaine, qui apparaît sous le titre Collecter des données BES, révèle que [le NSA] l’applique avec succès ».

Android : un débat lancé avec le scandale Prism

La situation d’Android est particulièrement ambigüe. Nos confrères du Spiegel ne s’y attardent pas. Mais il est de notoriété publique que la NSA a travaillé sur Android, avec un double objectif de compréhension et d'amélioration de la sécurité au sein de l'OS, notamment dans l’isolation des applications pour protéger leurs données. En juillet dernier, Bloomberg soulignait que le Samsung Knox, approuvé par l’agence et censé offrir une sécurité renforcée, contenait justement du code versé par cette dernière. Par chance, le code source d’Android est librement accessible. Encore faut-il que la communauté garde un oeil très attentif sur les contributions.  

L’espionnage ciblé, la vraie menace

Et comme pour les iPhone, il existe de nombreux logiciels permettant d’accéder au contenu de smartphones Android et de BlackBerry, à commencer par celui adossé au service Mobile Spy, que nous avait déjà indiqués Denis Maslennikov, analyste chez Kasperky. Ce service se vante d’une compatibilité complète avec tous les terminaux Android jusqu’à la 4.2.2. Le terminal n’a même pas besoin d’être rooté pour accéder aux données de Gmail, de Facebook Messenger, de Twitter et de WhatsApp. Et sur BlackBerry, l’outil est compatible jusqu’à la version 7.1 du système d’exploitation. Mobile Spy ne fonctionne toutefois que sur un iPhone jailbreaké. Et c’est le cas de tous les logiciels espions pour le smartphone d’Apple.

Mais dans tous les cas, un accès direct au téléphone est nécessaire pour l’installation de l’outil. Ce qui renvoie moins à de la surveillance de masse qu’à de l’espionnage économique ou industriel ciblé. Un risque régulièrement soulevé.

Pour approfondir sur Cyberdéfense

Close