La DCRI explique comment pirater un smartphone

Nous avions été intrigués en consultant le programme du congrès du Club des directeurs de sécurité des entreprises (CDSE), qui s'est tenu jeudi à Paris. Le document promettait en effet une "démonstration sur les capacités de cyberattaque par un représentant de la DCRI", le service de renseignement intérieur français. Nous n'avons pas hésité une seconde : nous y sommes allés. Et nous n'avons pas été déçus.

Si le commissaire de la Direction centrale du renseignement intérieur (DCRI) n'a pas fait de démonstration en "live" pour ne pas risquer de "dévoiler les photos de la maîtresse d'un des participants", il a toutefois expliqué à quel point il était facile de pirater un smartphone, captures d'écran à l'appui. Son but : sensibiliser les responsables de sécurité informatique des entreprises. Les smartphones des employés sont déjà un outil majeur pour l'espionnage industriel et étatique. La DCRI a donc réalisé "une présentation pédagogique de ce que risque une entreprise ou une organisation publique".

Un logiciel qui fait tout

"Aujourd'hui, le niveau de prise de conscience du risque est de zéro", a regretté le commissaire en relevant que le taux d'équipement de 10 % des smartphones en antivirus correspond au taux d'équipement des PC en 1990. Et le smartphone, "ça se pirate comme un ordinateur". Le scénario présenté par la DCRI est celui du vol à l'arraché d'un iPhone, mais personne n'est dupe : ça sent le vécu, comme on dit...

"En 30 secondes, le voleur a extrait la carte Sim", ce qui signifie que "l'opérateur ne peut plus effacer les données du téléphone à distance". Ensuite, il suffit au voleur d'extraire les données "avec un logiciel qui fait tout" et qui coûte "le prix de trois places pour le concert des Rolling Stones". Soit entre 400 et 1 500 euros (selon le placement !). Le code de verrouillage du téléphone passe à la casserole en quelques minutes. "Un code à quatre chiffres est cassé en trois à dix minutes, selon l'appareil."

"Apple, un château fort au pont-levis en carton"

Et mauvaise nouvelle pour les geeks : plus le téléphone est puissant, plus son processeur cassera rapidement son propre code à l'aide du fameux logiciel. Les codes à six chiffres tiennent jusqu'à 50 heures, et les codes à huit chiffres, jusqu'à 165 jours. "Tout peut être cassé, mais l'important ici est de ralentir l'accès aux informations sensibles", pour avoir le temps de prendre les mesures nécessaires, comme le changement des mots de passe et des clés de sécurité. Et de rappeler que huit chiffres, c'est bien, sauf si l'on met sa date de naissance ou celle de l'un de ses proches, trop faciles à deviner pour un espion.

Une fois le code de verrouillage du téléphone cassé, le logiciel s'attaque au "keychain", un fichier rassemblant de nombreuses informations sensibles. Temps nécessaire : 40 minutes. Et il ne faut pas se fier aux apparences : "Apple est un château fort... dont le pont-levis est en carton", ironise le commissaire. Grâce au keychain, l'espion trouvera toutes vos informations personnelles. Vraiment tout. Les identifiants pour se connecter à votre messagerie électronique, les codes d'accès au réseau de votre entreprise, tous les lieux où vous vous êtes rendu grâce à la mémoire du GPS, tous les codes Wi-Fi que vous avez un jour enregistrés, l'historique de votre navigateur web, vos photos et la géolocalisation qui les accompagne éventuellement, vos identifiants bancaires si vous avez installé l'appli de votre banque, etc. "Après un vol de smartphone, qui pense à changer sa clé Wi-Fi en rentrant chez lui ?" s'interroge l'homme. Avec raison...

Vos données lisibles à 15 mètres

Du côté du NFC (Near Field Contact), une technologie d'échange d'informations sans contact utilisée dans les smartphones, mais aussi dans les cartes de métro ou les documents d'identité, le constat est alarmant. Si les fabricants assurent que la lecture des données ne peut se faire qu'à trois centimètres d'une borne, la DCRI affirme pouvoir collecter ces informations à 15 mètres, soit 500 fois plus loin. Une révélation effrayante si l'on songe au respect de la vie privée. D'autant plus au moment où les banques proposent des cartes bancaires NFC, et des outils de paiement intégrés aux smartphones via le NFC.

"N'importe qui pourrait scanner vos données bancaires, même à trois centimètres. Cela peut se produire facilement dans le métro, par exemple", explique encore le commissaire. Avec une portée de 15 mètres, impossible de ne pas songer aux pires scénarios de science-fiction où les personnes sont suivies à la trace dans tous leurs déplacements... Hollywood n'avait simplement pas imaginé que cela se ferait via les cartes de métro ou les cartes bancaires...

La présentation du commissaire de la DCRI a eu le mérite de sensibiliser les responsables de sécurité présents dans la salle. Pour enfoncer le clou, il a diffusé à la fin de son intervention une vidéo prise en caméra cachée dans une chambre d'un "hôtel asiatique", où l'on voit des agents de sécurité s'intéresser au contenu du téléphone d'un visiteur européen pendant son absence. Leçon du jour : le smartphone, c'est l'outil parfait pour l'espionnage. Et de conclure sur une citation de l'acteur et humoriste Francis Blanche : "Il vaut mieux penser le changement que changer le pansement." Essayons d'y penser...