Archives de catégorie : Téléphonie

Cybersécurité, Smartphone, Téléphonie, Vie privée

Votre smartphone, cible numéro un : comment le transformer en forteresse numérique

La banalisation des smartphones les a rendus indispensables, mais aussi terriblement vulnérables. En 2025, ils concentrent nos vies numériques… et attirent les cybercriminels.

Avec l’arrivée des assistants basés sur l’intelligence artificielle, la gestion financière, les communications, l’identification biométrique, la double authentification, les pièces d’identité numérisée et l’accès aux services critiques passent désormais par nos smartphones. Véritables clones numériques, ces objets du quotidien sont devenus les points d’entrée favoris des pirates informatiques. La menace ne se limite plus à quelques codes malveillants : aujourd’hui, les attaques s’appuient sur des deepfakes réalistes, des intelligences artificielles offensives et des logiciels espions indétectables. Pourtant, il suffit de quelques gestes simples mais efficaces pour transformer votre appareil en véritable citadelle. Data Security Breach vous propose un tour d’horizon des pratiques essentielles à adopter — que vous soyez utilisateur lambda ou professionnel aguerri.

Le mot de passe, première ligne de défense

Vous utilisez encore un code PIN à quatre chiffres ou un schéma de verrouillage rudimentaire ? Vous ouvrez une brèche béante dans vos défenses. En 2025, les experts en cybersécurité recommandent des mots de passe longs, complexes, composés de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Un mot de passe de huit caractères constitue le minimum vital. En complément, les technologies biométriques telles que l’empreinte digitale ou la reconnaissance faciale ajoutent une couche de sécurité précieuse, difficilement contournable.

Mais le mot de passe seul ne suffit plus. La double authentification (2FA) est devenue incontournable. En cas de fuite de votre mot de passe, un code supplémentaire généré par une application dédiée (comme Google Authenticator) ou une clé physique de type Fido empêchera l’accès non autorisé à vos comptes. Cette mesure est aujourd’hui déployée par tous les grands acteurs du numérique, de Google à Apple.

80 % des piratages sont dus à des systèmes ou applications non mis à jour

Autre point crucial : la gestion des notifications. Beaucoup d’utilisateurs laissent apparaître sur leur écran verrouillé des messages contenant des codes de validation ou des alertes bancaires. Ce détail en apparence anodin peut offrir sur un plateau des informations sensibles à un observateur malveillant. Un paramétrage minutieux des notifications est donc essentiel pour ne rien laisser filtrer. Cela évitera l’utilisation de techniques de Social Engineering pour mettre la main sur ces informations sensibles.

Applications intrusives et permissions excessives

Chaque application que vous installez peut être une porte d’entrée pour des cyberattaques. Trop souvent, des applications anodines — un simple réveil ou une lampe torche — réclament des accès injustifiés à vos contacts, votre géolocalisation ou votre micro. La vigilance doit être permanente. Vérifiez régulièrement les autorisations accordées à vos applications, en particulier l’accès à la caméra, au micro et à la localisation. Sur Android, cela se fait via le menu « Paramètres → Applications → Autorisations » ; sur iOS, par « Réglages → Confidentialité ».

La prudence s’impose également lors des téléchargements. Privilégiez les stores officiels (Google Play et App Store), qui procèdent à des contrôles réguliers pour écarter les applications malveillantes. Les fichiers APK provenant de sources inconnues sont, quant à eux, des nids à logiciels espions. Même si le risque zéro n’existera jamais, ces boutiques sont plus sécurisées que des boutiques « externes« .

Le « jailbreaking« , retirer la sécurité imposée par les opérateurs ou les marques est fortement déconseillé. Retirer les couches de sécurité ouvrent des portes malveillantes insoupçonnées.

Le chiffrement, bouclier invisible

L’un des atouts majeurs contre le vol de données est le chiffrement intégral de l’appareil. Sur iOS, ce chiffrement est activé par défaut dès que vous définissez un mot de passe. Sur Android, il doit être activé manuellement dans les paramètres de sécurité. Il empêche toute extraction lisible des données, même si l’appareil est physiquement compromis. Un élèment qui a d’ailleurs remué de nombreux pays dont certains députés souhaitaient « affaiblir » les chiffrements. Le Royaume-Uni, par exemple, a affaibli iCloud à la demande d’une loi votée concernant la sécurité intérieure.

Autre bouclier numérique : le VPN. En vous connectant à un réseau Wi-Fi public, vous exposez votre trafic à des interceptions. Les cybercriminels rôdent dans les aéroports, les cafés et les hôtels, à l’affût d’un appareil vulnérable. L’utilisation d’un VPN fiable permet de chiffrer vos échanges et de préserver la confidentialité de vos activités en ligne. Prudence aux VPN qui font BEAUCOUP de publicités dans les médias et sur Youtube. Enfin, pensez à désactiver la connexion automatique aux réseaux Wi-Fi. Un smartphone qui se connecte sans votre accord à une borne inconnue peut être dirigé vers un faux hotspot conçu pour intercepter vos données. Bref, le VPN est INDISPENSABLE.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Mettez vos mots de passe à l’abri

Naviguer sur le web avec des mots de passe enregistrés dans le navigateur revient à stocker ses clés sous le paillasson. Pour éviter cela, optez pour un gestionnaire de mots de passe. Ces outils chiffrent vos identifiants, génèrent des mots de passe complexes et vous permettent de les retrouver facilement en toute sécurité. Les mises à jour sont également une étape souvent négligée. Pourtant, 80 % des cyberattaques exploitent des failles déjà corrigées par les éditeurs. Si vous n’avez pas mis à jour votre système ou vos applications depuis plusieurs mois, vous devenez une cible facile. Activez les mises à jour automatiques pour vous assurer de bénéficier des derniers correctifs de sécurité.

En 2025, le smartphone est la porte d’entrée de votre identité numérique

Les entreprises, souvent premières visées par les cyberattaques, doivent aller plus loin. Les solutions MDM (Mobile Device Management) permettent un contrôle centralisé des appareils professionnels : effacement à distance des données, restriction des applications installées, renforcement des politiques de mots de passe… Autant de leviers pour renforcer la sécurité des flottes mobiles. Certaines de ces options sont présentes dans les appareils pour le grand public.

Quand l’attaque a déjà eu lieu

Malgré toutes les précautions, aucune protection n’est infaillible. Si vous suspectez un piratage, agissez immédiatement. Retirez la carte SIM. Coupez l’accès à internet en activant le mode avion. Modifiez en priorité les mots de passe de vos comptes critiques, notamment la messagerie et les services bancaires. Une modification a effectuer sur un ordinateur sécurisé. Procédez ensuite à une réinitialisation complète du smartphone afin de supprimer les éventuelles menaces. Enfin, restaurez avec précaution. L’ennemi se cache peut-être dans la sauvegarde.

Et pour éviter de nouvelles attaques, remettez à plat vos habitudes. Faites régulièrement une auto-évaluation : utilisez-vous le même mot de passe pour plusieurs comptes ? Vos mises à jour sont-elles à jour ? Vos mots de passe sont-ils stockés dans votre navigateur ? Avez-vous téléchargé un VPN gratuit ? Quatre réponses positives sont déjà le signe d’un risque accru.

Bref, la sécurité mobile ne s’improvise pas, elle se construit jour après jour. Il ne suffit pas d’adopter une fois quelques bonnes pratiques : elles doivent devenir des réflexes. Vérifiez régulièrement les autorisations de vos applications, ne négligez jamais une mise à jour, utilisez des outils de chiffrement et de connexion sécurisée, et surtout, restez informé. Et vous, à l’heure où nos téléphones deviennent le cœur de nos vies numériques, êtes-vous prêt à en faire une forteresse imprenable ?

Cybersécurité, Téléphonie

Un concours pour combattre la fraude au clonage vocal

La Federal Trade Commission (FTC) invite désormais les candidats à participer à un concours innovant. Son objectif ? Stimuler le développement de solutions et de politiques pour protéger les consommateurs contre l’usage malveillant de la technologie de clonage vocal, une branche de l’intelligence artificielle en pleine expansion.

Ce concours s’inscrit dans les efforts de la FTC pour promouvoir des approches multidisciplinaires visant à surveiller et prévenir l’exploitation frauduleuse du clonage vocal. Les candidatures, ouvertes depuis quelques jours, devaient être soumises avant le 12 janvier. Tous les détails de participation sont disponibles sur le site de la FTC. À la clé pour le gagnant : un prix de 25 000 dollars.

Si le clonage vocal offre des bénéfices légitimes, comme l’aide aux personnes ayant des difficultés de parole ou la commodité pour les conducteurs utilisant des dispositifs mains libres, il présente également un risque d’usurpation d’identité vocale. En mars, la FTC a mis en garde contre l’utilisation de cette technologie par des escrocs pour extorquer de l’argent et des informations personnelles.

Jusqu’à présent, la FTC n’a pas encore traité d’incidents impliquant explicitement le clonage vocal. Cependant, certaines victimes ne réalisent pas que cette technologie a été utilisée contre elles.

Les propositions pour le concours doivent aborder des aspects spécifiques : comment empêcher l’utilisation frauduleuse de logiciels de clonage vocal, améliorer la capacité des consommateurs à détecter le clonage vocal en temps réel et fournir des moyens pour identifier les voix clonées dans les enregistrements audio.

« Nous utiliserons tous les moyens à notre disposition pour prévenir les préjudices liés à l’abus de la technologie de clonage vocal« , a déclaré Samuel Levine, directeur du Bureau de protection des consommateurs de la FTC, lors du lancement du concours en novembre. « Notre objectif est d’intervenir avant que ces dommages n’atteignent le marché et d’appliquer la loi en cas d’infraction.« 

La FTC a déjà organisé des concours similaires pour lutter contre les appels automatisés et les failles de sécurité dans les appareils connectés à Internet.

En lançant ce défi, la FTC souligne que les problèmes posés par l’IA et le clonage vocal ne peuvent être résolus uniquement par des moyens technologiques. L’agence envisage d’utiliser son pouvoir réglementaire et ses capacités d’application de la loi pour protéger les consommateurs contre les fraudes basées sur l’IA.

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.

backdoor, Cybersécurité, IOT, Téléphonie

Temu, Epik, Etc. ces applications qui aspirent vos données personnelles

Vous avez toujours rêvé de vous voir figurer dans un annuaire à l’américaine des années 90, avec votre portrait aux côtés de Backstreet Boys et Spice Girls ? Vous adorez acheter des produits chinois ? Les applications Epik et TEMU cachent des collecteurs de données que vous ne pourrez plus maitriser !

Epik, une application d’intelligence, une « IA » qui vous offre la possibilité de donner à votre photo une touche rétro des années 90. Derrière cette « pseudo » expérience nostalgique, des questions juridiques et éthiques se posent. À l’instar d’applications telles que Faceapp, qui permet de visualiser son visage vieilli, ou des filtres Snapchat de transformation masculine/féminine, l’application EPIK – AI Photo Editor, une filiale de la société sud-coréenne Snow Corporation, propose de créer une soixantaine d’images inspirées des années 1990 à partir de 8 à 12 de vos photos personnelles, incluant des tenues et coiffures rétro.

Les résultats de cette application semblent séduire un grand nombre d’utilisateurs, ce qui lui a valu une place parmi les applications les plus populaires sur l’App Store d’Apple, dans la catégorie Photos et vidéos. Sur le Play Store de Google, elle a déjà été téléchargée plus de 50 millions de fois. Un certain nombre de Youtubeur et « vedettes » ont diffusé des posts et autres vidéos vantant l’outil. A se demander, d’ailleurs, si nous n’avons pas là de la promotion cachée, ou du simple « p*te à clic » mettant en danger les données des viewers ainsi attirés.

Soyons clairs, les préoccupations liées à la sécurité et à la confidentialité des données via Epik doivent se poser. Pour générer ces images, l’application utilise la technologie de reconnaissance faciale, collectant ainsi des données biométriques et d’autres informations sensibles. La politique de confidentialité de l’application fournit très peu d’informations et de garanties concernant la protection des données personnelles. Autant dire que le RGPD, alors qu’ils doivent le suivre dans la mesure ou l’application est utilisée par des Européens, n’est pas vraiment cité dans le mode d’emploi. L’application a été développée en Corée du Sud, les lois encadrant les données biométriques y sont moins contraignantes. Il suffit d’ailleurs de lire ce mode d’emploi pour découvrir que l’application collecte pratiquement toutes les données disponibles, y compris des informations sur les autres photos stockées sur votre téléphone.

Bref, à votre de fournir votre visage au diable, le diable n’aura plus besoin de vous pour vous damner !

Application TEMU : logiciel espion possible

En avril 2023, l’application de commerce électronique d’origine chinoise [siège social aux USA], TEMU [concurrent de Wish, AliExpress et d’Amazon], a fait son entrée au Canada, puis en France et a rapidement gagné en popularité. Une société qui a déversé des millions de dollars en publicités sur le sol Américain [lors du Super bowl, entre autre].

Cependant, selon une enquête menée par la société américaine Grizzly Research, qui analyse les plus grandes sociétés cotées du monde, il pourrait y avoir des raisons de s’inquiéter quant à son utilisation. En seulement quelques semaines, TEMU est devenue l’une des applications les plus téléchargées en France, avec une tendance similaire observée aux États-Unis suite à une publicité diffusée lors du Super Bowl. Contrairement à ses concurrents, chinois ou américains, TEMU a réussi à attirer un public inattendu, en particulier parmi les personnes de plus de 40 ans, dont la part du chiffre d’affaires est 65 % supérieure à la moyenne des autres vendeurs Cependant, Grizzly Research a soulevé des préoccupations sérieuses concernant l’application. Selon leurs analyses, TEMU semble comporter des fonctions cachées qui permettent une exfiltration massive de données personnelles des utilisateurs, sans leur consentement explicite.

L’application a un accès pratiquement illimité à toutes les données stockées sur les smartphones des utilisateurs. Comme j’ai pu l’expliquer sur l’antenne de BFM TV ou dans le journal Le Point, les données peuvent, ensuite, être exploitées à de multiples fins [espionnage, marketing agressif, Etc.]. La réputation de TEMU et son succès commercial ne doivent pas occulter les inquiétudes quant à la sécurité et à la confidentialité des données. Il est crucial que les utilisateurs restent vigilants et conscients des risques potentiels associés à l’utilisation de cette application, en particulier en ce qui concerne la protection de leurs informations personnelles.

Bref, deux cas d’applications qui doivent inquiéter. Les avantages commerciaux, le côté « FUN » et la facilité d’utilisation ne doivent pas primer sur la sécurité en ligne.

Android, Cybersécurité, Sécurité, Téléphonie

Prince au persia hacker

L’auteur des chevaux de Troie Android CypherRAT et CraxsRAT s’est révélé être un pirate syrien nommé EVLF.

Selon un rapport publié récemment par Cyfirma, CypherRAT et CraxsRAT sont des chevaux de Troie conçus pour attaquer les utilisateurs Android, permettant à l’opérateur d’accéder à distance à l’appareil mobile de la victime. Des logiciels malveillants permettant à l’attaquant de contrôler la caméra du smartphone, de suivre la localisation de l’utilisateur et d’écouter à l’aide du microphone.

L’auteur de CypherRAT et CraxsRAT propose ces malwares à d’autres cybercriminels selon le modèle « malware-as-a-service » (MaaS). Environ une centaine de malfaiteurs ont acquis une licence à vie pour utiliser ces chevaux de Troie au cours des trois dernières années.

Le pirate syrien EVLF, suspecté d’être le créateur de ces chevaux de Troie, gère une boutique en ligne où les deux malwares sont disponibles depuis septembre 2022.

CraxsRAT, par exemple, est conçu pour que l’opérateur puisse contrôler l’appareil mobile infecté depuis un ordinateur Windows. De plus, l’auteur continue d’améliorer le cheval de Troie en fonction des demandes des clients. Des options permettent de personnaliser et d’obscurcir [cacher] la charge utile, à choisir l’icône, le nom de l’application et les fonctionnalités. Il est même possible de définir des autorisations individuelles que le malware demandera au système d’exploitation. (Cyfirma)

Cybersécurité, ID, Téléphonie

Comment bloquer n’importe quel compte WhatsApp !

WhatsApp, le géant des messageries, est devenu le terrain d’une nouvelle vulnérabilité qui a touché pas moins de 2 milliards d’utilisateurs.

Une attaque de type Déni de Service (DoS) a été découverte dans le fonctionnement de WhatsApp, permettant à des personnes mal intentionnées de désactiver un compte de la messagerie appartenant à META (Facebook) en envoyant simplement une lettre au support technique. Cette faille, qui a déjà été exploitée, a généré des blocages de comptes intempestifs.

La vulnérabilité de désactivation de compte sur WhatsApp

Contrairement à ce que l’on pourrait penser, la désactivation d’un compte WhatsApp n’était pas limitée au seul propriétaire du compte. Toute personne ayant le numéro de téléphone enregistré dans le compte pouvait également envoyer une demande de désactivation au support technique. Cette demande pouvait être répétée à partir de différentes adresses e-mail, entraînant ainsi un déni de service d’une durée d’un mois. Initialement, la désactivation de compte était prévue pour les situations où un téléphone était perdu ou volé. L’utilisateur pouvait alors envoyer un e-mail au support technique avec la phrase clé « perte/vol, veuillez désactiver le compte » et le numéro de téléphone associé, ce qui bloquait l’accès pour une période de 30 jours. Cependant, pendant cette période, les contacts pouvaient toujours voir le profil du propriétaire et lui envoyer des messages, qui seraient accessibles une fois le compte réactivé sur un autre appareil.

Une faille exploitable pour les attaques DoS

La simplicité de cette procédure de désactivation a suscité des inquiétudes quant à sa vulnérabilité. Jake Moore, expert médico-légal et consultant en cybersécurité chez ESET, a mis en évidence cette faille en montrant comment un individu malveillant, connaissant simplement le numéro de téléphone de la victime, pouvait envoyer de multiples demandes de désactivation. En automatisant ce processus, une attaque DoS de 30 jours pouvait être mise en place, entraînant une interruption prolongée du compte de la victime.

Réaction de WhatsApp face à l’attaque

Suite à la révélation de cette vulnérabilité, WhatsApp a réagi rapidement pour contrer les attaques DoS. Dans un premier temps, l’option de désactivation via le support technique a été désactivée. Ensuite, toutes les demandes de désactivation ont commencé à renvoyer une confirmation de réception. Actuellement, WhatsApp exige en plus un document de confirmation du droit au numéro de téléphone spécifié avant de procéder à la désactivation. Ces mesures ont été mises en place pour réduire le risque de manipulations malveillantes.

Mesures de sécurité recommandées

Bien que WhatsApp ait pris des mesures pour résoudre cette vulnérabilité, certains utilisateurs pourraient toujours être confrontés au besoin de désactiver leur compte en cas de perte ou de vol de leur téléphone. Pour se prémunir contre de telles attaques, je vous recommande d’activer l’authentification à deux facteurs (2FA) sur WhatsApp. Cette option, qui est désactivée par défaut, ne permettra la désactivation du compte que si la demande provient de l’adresse e-mail associée au compte.

Cybersécurité, Téléphonie

Les logiciels espions Cytrox et Intellexa blacklistés par les USA

Le département du commerce US met sur liste noire les logiciels espions commercialisés par les entreprises Cytrox et Intellexa. Les utilisateurs sont dorénavant considérés comme étant dans l’illégalité.

L’une des méthodes du département du commerce américain, mais aussi de l’administration fiscale de l’Oncle Sam, est de mettre sur liste noire les entreprises et/ou leurs dirigeants. Bilan, les entreprises ne peuvent plus faire du business sur le sol des USA, mais aussi avec la moindre société américaine ou ayant des appointances avec les Etats-Unis d’Amérique. Par exemple, une banque travaillant avec une société blacklistée, et travaillant avec les USA, doit stopper son interaction avec le mouton noir au risque d’être poursuivi par les autorités étasuniennes.

Dans le nouveau cas repéré, la mise sur liste noire des sociétés Cytrox et Intellexa. Ces actions constituent la première initiative majeure sur les logiciels espions depuis que Biden a publié un décret exécutif restreignant l’utilisation par le gouvernement des logiciels de surveillance. Le département américain du Commerce a ajouté à sa liste noire commerciale les fournisseurs de logiciels espions Cytrox et Intellexa. Deux entreprises liées à des opérations d’espionnage de journalistes, d’hommes politiques et d’un dirigeant de Meta en Grèce. La raison invoquée pour l’inclusion sur la liste noire est « pour le trafic de cyber-exploits utilisés pour accéder aux systèmes d’information, menaçant ainsi la vie privée et la sécurité des individus et des organisations dans le monde entier« .

La liste complète des entités incluses est Intellexa SA basée en Grèce, Cytrox Holdings Zrt. en Hongrie, Intellexa Limited en Irlande et Cytrox AD en Macédoine du Nord.

Intellexa est connu pour son logiciel espion Android Predator qui a été décrit par les chercheurs comme l’un des logiciels espions les plus répandus après Pegasus de la société israélienne NSO. Cytrox a également été précédemment interdit par Meta pour des opérations de surveillance sur la plate-forme. Dans le cas de Meta [Facebook] 300 comptes liés à la société Black Cube, basée en Israël, ont été supprimés. Ils fonctionnaient comme des personnages fictifs pour établir des contacts avec des cibles. La société a supprimé des centaines de comptes appartenant à des sociétés connues sous le nom de Israel Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX (basée en Inde), Cytrox et une entité inconnue en Chine.

Pendant ce temps, sur Twitter

Trois comptes Twitter semblant être liés au gouvernement chinois ont été identifiés pour diffuser de la propagande auprès du public en Amérique latine. Les chercheurs de la société de cybersécurité Nisos ont publié une analys, indiquant que malgré les efforts précédents abandonnés par la société de médias sociaux pour étiqueter les médias d’État, ces comptes ont réussi à échapper à cette mesure.

Ces comptes Twitter transmettent des messages pro-Pékin au Paraguay, au Costa Rica, au Chili et au Brésil, et ils sont probablement liés au China News Service, une branche de propagande gouvernementale active dans le monde entier. Le réseau de comptes Twitter identifié fait partie d’un réseau plus large comprenant des comptes gouvernementaux chinois, des groupes de réflexion sino-latino-américains, des journalistes autoproclamés et d’autres acteurs diffusant des messages pro-chinois similaires.

Ces trois comptes Twitter ont été créés en juillet 2021 pour le plus ancien et en novembre 2021 pour les deux autres, à une époque où Twitter étiquetait encore les comptes affiliés à des États. Cependant, en avril 2023, Twitter a suspendu l’étiquetage de ces comptes suite à des critiques concernant la manière dont elle avait qualifié la National Public Radio de « média affilié à l’État« .

L’un des comptes connectés à ces trois comptes Twitter propose un lien vers une application qui, une fois téléchargée, recueille des informations personnellement identifiables auprès des utilisateurs. Ce compte demande également des autorisations à Twitter qui pourraient donner accès aux comptes des utilisateurs ainsi qu’aux comptes de médias sociaux chinois, Weibo et Weixin (WeChat).

Les chercheurs ont averti que cela pourrait permettre au gouvernement chinois de surveiller potentiellement les récits et d’obtenir des informations sur les dissidents résidant à l’étranger, une activité déjà signalée par des acteurs liés au gouvernement chinois par d’autres moyens.

Les chercheurs ont souligné que bien qu’ils ne puissent pas établir définitivement le lien entre ces comptes Twitter et le gouvernement chinois, les comptes identifiés font des efforts pour éviter de lier directement les utilisateurs au China News Service, qui est l’organisation médiatique chinoise liée à l’État d’où provient la majorité de leur contenu lié à la Chine.

Selon un rapport de juin 2020 d’Alex Joske, un chercheur du renseignement sino-australien, le China News Service est l’un des plus grands réseaux médiatiques du Parti communiste chinois, disposant de nombreux bureaux à l’étranger.

Ces opérations en Amérique latine font partie de l’avancée majeure de la Chine dans cette région au cours des deux dernières décennies, tant sur le plan économique que technologique. Le rapport indique que la Chine a renforcé ses liens militaires avec des pays comme le Venezuela, l’Argentine, la Bolivie, l’Équateur et le Pérou, tandis que Cuba a également cherché à renforcer ses liens militaires avec la Chine, comme en témoigne la présence présumée d’une base d’espionnage chinoise sur l’île.

La Chine chercherait à influencer les perceptions politiques et culturelles dans cette zone géographique, en particulier pour contrer les perceptions défavorables suite à la pandémie de COVID-19 présumée originaire de Chine.

Bien que les comptes Twitter identifiés (« hoy_paraguay », « hoy_chile » et « hoyCosta ») aient un nombre limité d’abonnés, le réseau implique également des diplomates et des ambassades chinois. De plus, ils sont suivis par un compte en portugais (« NmqbChinaNews ») qui se concentre sur les relations sino-brésiliennes.

Cybersécurité, Smartphone, Téléphonie

Une entreprise accusée d’utiliser des données cellulaires pour évaluer la fiabilité de milliards d’utilisateurs

Une entreprise américaine, en collaboration avec une société de détection de fraude, est actuellement confrontée à des accusations portées par une organisation européenne de défense des droits numériques. Ils se serviraient de milliards de données de téléphones portables sans autorisation.

Ces allégations soutiennent que les lois sur la confidentialité ont été violées par la collecte et le transfert de données cellulaires de la moitié de la population mondiale, utilisées ensuite pour établir des scores personnalisés de fiabilité pour chaque individu. Cette affaire, déposée auprès de l’Autorité belge de protection des données par le Centre européen pour les droits numériques (noyb), met en cause BISC, une société de télécommunications opérant avec plus de 500 opérateurs mobiles dans plus de 200 pays, TeleSign, une entreprise spécialisée dans l’intelligence artificielle et la prévention de la fraude, ainsi que leur société mère, Proximus.

Les accusations portées contre BISC et TeleSign font suite à un article paru en mars 2022 dans le journal Le Soir, qui révélait que le fournisseur de télécoms collectait des données sur l’activité téléphonique des clients et les partageait secrètement avec TeleSign. Ces données incluaient des informations telles que le type de technologie utilisée pour passer des appels ou des SMS, la fréquence et la durée des appels.

Grâce à l’utilisation d’un algorithme sophistiqué, TeleSign attribue ensuite à chaque utilisateur des « scores de confiance » qui sont prétendument utilisés par des géants de l’industrie tels que Microsoft, Salesforce et TikTok pour décider si les utilisateurs doivent être autorisés à créer des comptes.

Classement par activité téléphonique !

Cependant, lorsque certains plaignants ont demandé l’accès à leurs propres données conformément au Règlement général sur la protection des données (RGPD) de l’Union européenne, ils ont découvert qu’ils avaient effectivement été classés par TeleSign en fonction de leur activité téléphonique. Dans un exemple cité dans la plainte, l’un des plaignants s’est vu attribuer un niveau de risque qualifié de « moyen-faible« .

Bien que le RGPD autorise certaines concessions en matière de protection de la vie privée, notamment dans le cadre de la détection des fraudes et des utilisations malveillantes des réseaux et services, la plainte soutient que l’étendue de l’activité de TeleSign et de BISC est injustifiée. Selon les plaignants, « le transfert systématique et massif de tous les numéros de téléphone à TeleSign pour qu’il puisse attribuer une note à chaque numéro n’est pas proportionné ». Ils estiment que cela revient à surveiller tous les utilisateurs dont les communications passent par BISC, alors que la conservation systématique de telles données à des fins policières et judiciaires n’est autorisée que dans des cas très précis.

Violation du RGPD ?

De plus, les plaignants allèguent que ce système de classement viole l’interdiction du RGPD de profiler les individus à l’aide d’algorithmes prédictifs. En effet, la loi interdit « le traitement automatisé de données à caractère personnel… pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des facteurs concernant les performances au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les mouvements de cette personne physique« .

En outre, la plainte souligne que les transferts de données de BISC à une société basée en Californie exposent potentiellement les informations des citoyens européens aux forces de l’ordre américaines, ce qui soulève des préoccupations supplémentaires quant à la protection de la vie privée des utilisateurs.

Un porte-parole de TeleSign a répondu à la plainte en affirmant que l’entreprise avait mis en place un programme de confidentialité des données, conformément aux réglementations mondiales telles que le RGPD et la loi californienne sur la protection des consommateurs. L’entreprise affirme également revoir en permanence ses politiques et pratiques internes pour se conformer à l’évolution du paysage réglementaire.

Le Centre européen pour les droits numériques demande à l’autorité belge des données d’agir en faveur des plaignants. Ils réclament l’arrêt des transferts de données de BISC et le traitement des données par TeleSign. De plus, ils demandent une amende pouvant atteindre 236 millions d’euros (257,4 millions de dollars), correspondant à 4 % du chiffre d’affaires annuel de Proximus, conformément au RGPD et la législation européenne.

Biométrie, Téléphonie

BrutePrint : une faille expose les smartphones Android à des attaques par force brute des empreintes digitales

Des chercheurs de l’Université du Zhejiang et de Tencent Labs ont découvert un nouveau vecteur d’attaque baptisé BrutePrint. Il exploite la faiblesse des mécanismes de sécurité des empreintes digitales sur les smartphones Android.

Cette vulnérabilité permet à un attaquant de mener des tentatives d’authentification par force brute afin de prendre le contrôle d’un appareil mobile. En exploitant les vulnérabilités Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL), les chercheurs ont pu contourner les limites de tentatives d’authentification infructueuses imposées par les smartphones Android modernes.

Les détails techniques de BrutePrint ont été publiés sur la plateforme Arxiv par les auteurs de l’étude. Ils ont identifié des lacunes dans la sécurité des données biométriques au niveau de l’interface périphérique série (Serial Peripheral Interface, SPI) des capteurs d’empreintes digitales. Cette vulnérabilité permet une attaque de l’homme du milieu et l’accès aux images d’empreintes digitales. Les chercheurs ont testé leur vecteur sur dix modèles de smartphones populaires et ont pu mener un nombre illimité de tentatives d’authentification sur Android OS et HarmonyOS (Huawei). Dans le cas d’iOS, ils ont réussi à éliminer seulement dix tentatives supplémentaires.

Il est important de souligner que l’exécution de BrutePrint nécessite un accès physique à l’appareil ciblé. De plus, l’attaquant doit avoir accès à une base de données d’empreintes digitales, ce qui peut être obtenu pour un coût modeste d’environ 15 $.

Les résultats des tests ont révélé que tous les smartphones expérimentés étaient vulnérables à au moins l’un des bugs décrits. Les appareils Android permettaient un nombre illimité de tentatives de sélection d’empreintes digitales, tandis que les appareils Apple étaient légèrement plus fiables dans leur limitation des tentatives.

Cette découverte met en évidence la nécessité de renforcer la sécurité des données biométriques et des mécanismes d’authentification sur les smartphones Android. Les fabricants et les développeurs doivent prendre des mesures pour corriger ces vulnérabilités et améliorer la protection des empreintes digitales, qui sont de plus en plus utilisées comme moyen d’authentification. Les utilisateurs doivent également être conscients de ces risques potentiels et prendre des mesures pour protéger leurs données en utilisant des méthodes d’authentification supplémentaires, comme les codes PIN ou les mots de passe, en plus des empreintes digitales. (Arxviv)

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.