Smartphone

SURFERS & PIRATES, ma sécurité, c’est blindé !

Conscients des risques de piratage de votre smartphone, en bons Geeks sérieux et responsables que vous êtes, vous avez souscrit au meilleur antivirus, Rooté votre smartphone et habilement paramétré les autorisations Android en les réduisant de façon drastique. Vous avez pris soin de le placer en aval de votre AV un VPN [Virtual Private Network] performant afin de rendre vos connexions IP, WIFI et Bluetooth totalement anonymes et a fortiori sécurisées. Excellent !

Les plus paranos, et les meilleurs configurateurs, auront quant à eux ajouté l’incontournable TOR et son navigateur, afin de verrouiller définitivement leur Fort Knox cybernétique. Ils se seront aussi dotés des outils disponibles pour vérifier en temps réel toute tentative de connexion sur leur réseau.

Quant aux fichiers top secrets 😉 ils auront été collés dans un conteneur genre Truecrypt, qui bien que réputé inviolable, reste repérable par TC Hunt. Vous les aurez donc cryptés eux aussi en RAR, et tant qu’à faire, et vous aurez supprimé l’extension du fichier. Evidemment, vous aurez investi dans un smartphone 4G plutôt puissant, un algorithme de création et de cryptage de mots de passe pour protéger l’accès à vos sites préférés, et vous aurez crypté l’accès à votre précieux smartphone par une double page d’accueil avec code + schéma, voire reconnaissance faciale ou d’empreinte.

Et cerise sur le gâteau, vous aurez paramétré finement quelques utilitaires un peu underground d’analyse de connexion à votre réseau …

Tout va pour le mieux dans le meilleur des mondes [Aldous Huxley] vous dites-vous ?
Pas totalement faux !
Sauf que …

Ça, c’était avant ! ☹

Oups ! Quelle désillusion … Le carrosse est-il en passe de redevenir citrouille !
Disons même, sans autres détails d’ailleurs interdits de diffusion, qu’il est déjà trop tard.

Des chercheurs ont en effet développé une technologie révolutionnaire basée exclusivement sur l’analyse un peu particulière des signaux radios FM émis par les téléphones portables les plus classiques.

A titre de démonstration, ces chercheurs ont utilisé un smartphone anonyme et plutôt du genre basique, qui avait été totalement déconnecté de tous les réseaux possibles : Internet, wifi, Bluetooth, NFC.

Sous contrôle et avec une facilité déconcertante, c’est-à-dire en temps réel, ce smartphone a été hacké via le repérage des données qui étaient tout simplement tapées sur son clavier.

Mais quoi ? Comment ça marche ?

L’algorithme utilisé est de type keylogger, ce qui jusque-là n’a rien de révolutionnaire, sinon qu’il a été rendu capable de récupérer les fréquences d’affichages des données lorsqu’elles passent ‘électriquement’ sous forme de fréquence radio, du clavier à l’écran …

A ce jour, ce procédé n’a jamais été utilisé, et il est réputé complètement nouveau et innovant. Toutefois, en l’état [supposé] des développements, il faut être à moins de 7 mètres du device ciblé [smartphone, tablette ou PC] pour que cela fonctionne.

En supposant que cette limite n’ait pas été dépassée, il y a de quoi revoir nos fondamentaux en matière de sécurité ! En tous cas, si l’information est devenue accessible, c’est que le procédé a déjà été dépassé par un autre encore plus intrusif.

Je pense personnellement qu’il y a tout à craindre de la propagation de cet algorithme, fortement susceptible d’accompagner l’engouement pour les paiements NFC largement promotionnés par nos banques toujours à la recherche du P’tit sous d’économie 😉 L’échange de données entre deux appareils équipés du NFC est [dit et supposé NDR] sécurisé, pour deux raisons :
• Le respect de normes (14443 et FeliCa) utilisant des algorithmes de chiffrement et d’authentification.
• La courte distance de communication entre les appareils, qui réduit fortement le risque de vol des données.

Rédacteur invité : mo

A propos de moi

JTGeek by GLG

Greg ou GLG, je vous présente le meilleur de l'actu high-tech made in Asia.

12 commentaires

  • Très interressant ! il ne faut pas oublier que les nouveaux cryptages à venir en 2048 bit sont très efficaces..si on en perds pas l’accès a ses données perso….
    bien content de pas avoir de NFC sur le ELE P6000 que j ‘ai commandé et que je dois recevoir demain …arrf ils sont long ces chinois !!

    • Je te suis pour le NFC, mais n’oublie pas que la plupart des cartes bancaires vont ‘promotionner’ ce mode de règlement ! Et comme tu le sais certainement, il y a une petite application redoutable, qui permet de récupérer toutes les informations d’un CB lors d’un paiement NFC, mais elle procède d’une autre système que celui que je présente.
      PEP

  • DAMNED !!!!! Voila un niveau d’intrusivité tout nouveau… et révolutionnairement dérangent !!!
    Ceux qui ne sont pas passé au payement via NFC ou autres ondes , ont maintenant une raison de plus de ne pas vouloir le fair…

  • Un test de ce type de hack pour se proteger ? le NFC est juste fait pour pouvoir assurer des gains aux banques pas pour améliorer les transactions… Merci MO

    • Le procédé n’est pas différent d’un keylogger sauf qu’il ne requiert aucune intrusion préalable dans le device de la cible. Les commandes vocales, dans la mesure où elle ne sont pas confirmées par un affichage écran, sont une bonne protection. Mais je ne connais pas de procédé dissociant ces commande d’un affichage, or ce qui est capté ici, ce sont précisément les ondes émises par l’écran lors de l’affichage. La contre mesure sera rapidement trouvée et je la posterai ici dès que je la connaîtrai (moi ou un autre). PEP

  • Merci Mo, simplement pour dire qu’il sera toujours difficile de contrer les pirates mais qu’à chaque réponse que l’on peut leur donner ce sont nos smartphones qui s’améliorent …. ou pas !
    Pirate Et Protection

  • Tu as raison. Le procédé de LIFI (transmission par la lumière vibratoire) sera une aide efficace. Il y a aussi l’osteophonie et la laryngophonie (transmission par vibration osseuse) dont j’ai un peu parlé à propos des patchs-tatouages.
    Merci pour tes commentaires toujurs constructifs.
    PEP

  • J’ai une question… la source ? ça me semble très fantaisiste tout ça. je m’explique.

    On récapitule : le pirate intercepte les flux d’ondes émis par l’appareil… Déjà là, c’est très fantaisiste au vu de l’activité humaine et surtout du fait que le but n’est pas de lire l’onde mais de remonter jusqu’à son envoyeur (si j’ai bien lu).
    Mais en plus, c’est impossible d’obtenir « la fréquence radio » lorsque tu tapes sur le clavier, car il y en a pas. (D’ailleurs c’est marrant que tu cites un PC alors que c’est totalement différent vu que l’information est transmise en câblé.)

    De plus, ton article ne fait pas sérieux : l’utilisation du « verbe » crypter par exemple.

    Bref je veux bien de tes explications car là, ça ressemble plus à un hoax qu’autre chose (comme le mec qui pirate la base de données des radars pour trafiquer sa plaque avant d’avoir l’amende quoi).

    ++

    • @TheNoobz

      Je ne vois pas quel intérêt il y aurait à publier un hoax, sauf à s’être fait abuser soi-même, ce qui n’est pas le cas.

      Regarde du côté de la NSA et de Tempest qui décrit l’origine du procédé.

      Puis, lis cette publication officielle sur Info.gouv : ssi.gouv.fr/IMG/pdf/II300_tempest_anssi.pdf .

      Après, recherche les ultimes développements réalisé à l’étranger (il y a même une vidéo) et tu arriveras à ce que je présente sans détail.

      PEP

Votre commentaire