Des e-mails aux services bancaires, nos smartphones sont la plaque tournante principale de notre vie en ligne. Pas étonnant que les smartphones rivalisent avec les ordinateurs en tant que cibles communes des pirates en ligne. Et malgré les efforts de Google et d’Apple, les logiciels malveillants mobiles continuent de débarquer dans les magasins d’applications officiels – et ces applications malveillantes deviennent de plus en plus sournoises. Selon le rapport McAfee 2020 sur les menaces mobiles, plus de la moitié des applications mobiles malveillantes se «cachent» sur un appareil, sans icône d’écran d’accueil, détournant l’appareil pour diffuser des publicités indésirables, publier de fausses critiques ou voler des informations qui peuvent être vendues ou utilisées pour contenir victimes d’une rançon.

Et bien que les iPhones puissent être piratés, davantage de logiciels malveillants ciblent les appareils Android. Dans son rapport 2020 sur l’état des logiciels malveillants, MalwareBytes a signalé une augmentation des logiciels publicitaires agressifs et des logiciels malveillants préinstallés sur les appareils Android conçus pour voler des données – ou simplement l’attention des victimes.

Les logiciels malveillants peuvent également inclure des logiciels espions qui surveillent le contenu d’un appareil, des programmes qui exploitent la bande passante Internet d’un appareil pour l’utiliser dans un botnet pour envoyer du spam, ou des écrans de phishing qui volent les identifiants d’un utilisateur lorsqu’ils sont saisis dans une application légitime et compromise.

Il est souvent téléchargé à partir de sources non officielles, y compris des liens de phishing envoyés par e-mail ou par message, ainsi que des sites Web malveillants. (Bien que les experts en sécurité recommandent de toujours télécharger à partir des applications officielles tores – comme l’App Store d’Apple ou Google Play – certains pays ne peuvent pas accéder à certaines applications à partir de ces sources, par exemple, les applications de messagerie sécurisées qui permettraient aux gens de communiquer secrètement.)

Ensuite, il y a la publicité des applications d’espionnage qui nécessitent un accès physique pour être téléchargées sur un téléphone – souvent effectuées par des personnes bien connues de la victime, comme un partenaire ou un parent – et qui peuvent surveiller tout ce qui se passe sur l’appareil.

Je ne sais pas si vous avez été piraté? Nous avons parlé à Josh Galindo, directeur de la formation chez uBreakiFix, de la façon de savoir qu’un smartphone pourrait avoir été compromis. Et nous explorons les douze façons dont votre téléphone peut être piraté et les mesures que vous pouvez prendre pour vous protéger.

6 Signes que votre téléphone a peut-être été piraté

Diminution notable de la durée de vie de la batterie

Alors que la durée de vie de la batterie d’un téléphone diminue inévitablement avec le temps, un smartphone qui a été compromis par un logiciel malveillant peut commencer à afficher une durée de vie considérablement réduite. En effet, le logiciel malveillant – ou l’application d’espionnage – peut utiliser les ressources du téléphone pour analyser l’appareil et transmettre les informations à un serveur criminel.

(Cela dit, une utilisation quotidienne simple peut également épuiser la durée de vie d’un téléphone . Vérifiez si c’est le cas en suivant ces étapes pour améliorer la durée de vie de la batterie de votre Android ou iPhone.)

Performances lentes

Trouvez-vous que votre téléphone se bloque fréquemment ou que certaines applications se bloquent? Cela peut être dû à des logiciels malveillants qui surchargent les ressources du téléphone ou qui entrent en conflit avec d’autres applications.

Vous pouvez également rencontrer la poursuite de l’exécution des applications malgré les efforts pour les fermer, ou même faire planter le téléphone lui-même et / ou redémarrer

(Comme pour la réduction de la durée de vie de la batterie, de nombreux facteurs peuvent contribuer à un téléphone plus lent – essentiellement, son utilisation quotidienne, alors essayez d’abord de nettoyer en profondeur votre Android ou iPhone.)

Élevé utilisation des données

Un autre signe d’un téléphone compromis est une facture de données anormalement élevée à la fin du mois, qui peut provenir de logiciels malveillants ou d’applications d’espionnage exécutées en arrière-plan, renvoyant des informations à son serveur.

Appels ou SMS sortants que vous n’avez pas envoyés

Si vous voyez des listes d’appels ou de SMS à des numéros que vous ne connaissez pas, méfiez-vous – il peut s’agir de numéros surtaxés un logiciel malveillant force votre téléphone à entrer en contact; dont le produit atterrit dans le portefeuille du cybercriminel. Dans ce cas, vérifiez votre facture de téléphone pour tous les coûts que vous ne reconnaissez pas.

Pop-ups mystères

Bien que toutes les fenêtres contextuelles ne signifient pas que votre téléphone a été piraté, un pop constant Les alertes-up peuvent indiquer que votre téléphone a été infecté par un logiciel publicitaire, une forme de logiciel malveillant qui oblige les appareils à afficher certaines pages qui génèrent des revenus grâce aux clics. Même si une fenêtre contextuelle n’est pas le résultat d’un téléphone compromis, beaucoup peuvent être des liens de phishing qui tentent d’inciter les utilisateurs à saisir des informations sensibles – ou à télécharger davantage de logiciels malveillants.

Activité inhabituelle sur les comptes associés sur l’appareil

Si un pirate informatique a accès à votre téléphone, il a également accès à ses comptes – des réseaux sociaux aux e-mails en passant par diverses applications de style de vie ou de productivité. Cela pourrait se révéler dans l’activité sur vos comptes, comme la réinitialisation d’un mot de passe, l’envoi d’e-mails, le marquage des e-mails non lus que vous ne vous souvenez pas avoir lus ou la création de nouveaux comptes dont les e-mails de vérification arrivent dans votre boîte de réception.

Dans ce cas, vous pourriez être exposé au risque de fraude d’identité, lorsque des criminels ouvrent de nouveaux comptes ou marges de crédit à votre nom, en utilisant des informations provenant de vos comptes piratés.C’est une bonne idée de changer vos mots de passe – sans les mettre à jour sur votre téléphone – avant d’exécuter un balayage de sécurité sur votre téléphone lui-même.

Que faire si votre téléphone est piraté

Si vous Si vous avez ressenti l’un de ces symptômes d’un smartphone piraté, la meilleure première étape consiste à télécharger une application de sécurité mobile.

Pour Android, nous aimons Bitdefender ou McAfee pour leurs ensembles de fonctionnalités robustes et leurs notes élevées par les logiciels malveillants indépendants laboratoires d’analyses.

Et bien que les iPhones soient moins sujets aux piratages, ils ne sont pas totalement immunisés. Recherchez les applications iOS qui agissent de manière malveillante, les réseaux Wi-Fi potentiellement dangereux et si l’iPhone a été jailbreaké (ce qui augmente son risque de piratage). C’est gratuit, avec 2,99 $ / mois pour la protection de l’identité, y compris les alertes de connexion révélée.

Qui piraterait votre téléphone?

À l’heure actuelle, l’espionnage gouvernemental est un refrain si courant que nous peut être devenu insensible à l’idée que la NSA écoute nos appels téléphoniques ou que le FBI peut pirater nos ordinateurs quand il le souhaite. Pourtant, il existe d’autres moyens technologiques – et motivations – pour les pirates informatiques, les criminels et même les personnes que nous connaissons, comme un conjoint ou un employeur, pour pirater nos téléphones et envahir notre vie privée. Et à moins que vous ne soyez une cible de premier plan – journaliste, politicien, dissident politique, dirigeant d’entreprise, criminel – qui justifie un intérêt particulier, il est beaucoup plus probable qu’il s’agisse d’une personne proche de vous qu’une entité gouvernementale effectuant l’espionnage.

12 façons dont votre téléphone peut être piraté

Des brèches ciblées et des espionnages alimentés par la vendetta aux saisies opportunistes de terres pour les données des non-méfiants, voici douze façons dont quelqu’un pourrait espionner votre téléphone portable – et ce que vous pouvez faire à ce sujet.

Applications d’espionnage

Il existe une surabondance d’applications de surveillance téléphonique conçues pour suivre secrètement la position de quelqu’un et surveiller ses communications. Beaucoup sont annoncés à des partenaires suspects ou à des employeurs méfiants, mais d’autres encore sont commercialisés comme un outil légitime permettant aux parents soucieux de leur sécurité de garder un œil sur leurs enfants. Ces applications peuvent être utilisées pour afficher à distance des messages texte, des e-mails, l’historique Internet et des photos; enregistrer les appels téléphoniques et les emplacements GPS; certains peuvent même détourner le micro du téléphone pour enregistrer des conversations en personne. En gros, presque tout ce qu’un pirate peut vouloir faire avec votre téléphone, ces applications le permettent.

Et ce n’est pas qu’une rhétorique vide. Lorsque nous avons étudié les applications d’espionnage de téléphones portables en 2013, nous avons constaté qu’elles pouvaient faire tout ce qu’elles avaient promis. Pire encore, ils étaient faciles à installer pour n’importe qui, et la personne espionnée ne serait pas plus sage que chaque mouvement était suivi.

« Il n’y a pas trop d’indicateurs d’espion caché application – vous pourriez voir plus de trafic Internet sur votre facture, ou la durée de vie de votre batterie peut être plus courte que d’habitude, car l’application fait rapport à un tiers », déclare Chester Wisniewski, chercheur principal à la société de sécurité Sophos.

Probabilité

Les applications d’espionnage sont disponibles sur Google Play, ainsi que dans les magasins non officiels pour les applications iOS et Android, ce qui permet à toute personne ayant accès à votre téléphone (et un motif) de télécharger un.

Comment vous protéger

• Étant donné que l’installation d’applications d’espionnage nécessite un accès physique à votre appareil, le fait de mettre un mot de passe sur votre téléphone réduit considérablement les chances que quelqu’un puisse y accéder votre téléphone en premier lieu. Et comme les applications d’espionnage sont souvent installées par une personne proche de vous (pensez à votre conjoint ou à un autre significatif), choisissez un code e à ne sera deviné par personne d’autre.
• Parcourez votre liste d’applications pour celles que vous ne reconnaissez pas.
• Ne jailbreaker pas votre iPhone. «Si un appareil n’est pas jailbreaké, toutes les applications s’affichent», déclare Wisniewski. «S’il est jailbreaké, les applications d’espionnage peuvent se cacher profondément dans l’appareil, et si le logiciel de sécurité peut le trouver dépend de la sophistication de l’application d’espionnage. . ”
• Pour les iPhones, s’assurer que votre téléphone n’est pas jailbreaké empêche également quiconque de télécharger une application d’espionnage sur votre téléphone, car un tel logiciel – qui altère les fonctions au niveau du système – ne parvient pas à accéder au App Store.
• Téléchargez une application de sécurité mobile. Pour Android, nous aimons Bitdefender ou McAfee, et pour iOS, nous recommandons Lookout pour iOS.

Messages de phishing

Qu’il s’agisse d’un texte prétendant provenir d’un contact coronavirus traceur, ou un ami vous exhortant à regarder cette photo de vous hier soir, les SMS contenant des liens trompeurs qui visent à récupérer des informations sensibles (également appelées hameçonnage ou « smishing ») continuent de faire le tour.

Et comme les gens vérifient souvent leurs applications de messagerie tout au long de la journée, les e-mails de phishing sont tout aussi lucratifs pour les attaquants.

Les périodes telles que la saison des impôts ont tendance à attirer un pic de messages d’hameçonnage, en proie à l’inquiétude des gens sur leurs taxes retour, alors que la période de paiement de relance gouvernementale liée aux coronavirus de cette année a entraîné une augmentation des e-mails de phishing prétendant provenir de l’IRS.

Les téléphones Android peuvent également être la proie de textes contenant des liens pour télécharger des applications malveillantes (la même arnaque n’est pas courante pour les iPhones, qui ne sont généralement pas jailbreakés et ne peuvent donc pas télécharger d’applications de n’importe où, sauf l’application. Magasin.). Cependant, Android vous avertit lorsque vous essayez de télécharger une application non officielle et demandez votre permission pour l’installer – n’ignorez pas cet avertissement.

De telles applications malveillantes peuvent exposer les données téléphoniques d’un utilisateur ou contenir un hameçonnage superposition conçue pour voler les informations de connexion des applications ciblées, par exemple, la banque ou l’application de messagerie d’un utilisateur.

Probabilité

Très probable. Bien que les gens aient appris à être sceptiques face aux e-mails leur demandant de « cliquer pour voir cette vidéo amusante! », Le laboratoire de sécurité Kaspersky note qu’ils ont tendance à être moins méfiants sur leur téléphone.

Comment se protéger

• Gardez à l’esprit la façon dont vous vérifiez habituellement votre identité avec différents comptes – par exemple, votre banque ne vous demandera jamais de saisir votre mot de passe complet ou votre code PIN.
• Consultez la section hameçonnage de l’IRS pour vous familiariser avec la manière dont l’agence fiscale communique avec les gens et vérifier les communications que vous recevez
• Évitez de cliquer sur des liens provenant de numéros que vous ne connaissez pas ou dans des messages étrangement vagues d’amis, surtout si vous ne pouvez pas voir l’URL complète.
• Si vous cliquez sur le lien et essayez de télécharger une application non officielle, votre téléphone Android devrait vous en informer avant de l’installer. Si vous avez ignoré l’avertissement ou l’application a contourné d’une manière ou d’une autre la sécurité Android , supprimez l’application et / ou lancez une analyse de sécurité mobile.

Accès non autorisé à iCloud ou Googl Compte e

Les comptes iCloud et Google piratés offrent un accès à une quantité incroyable d’informations sauvegardées à partir de votre smartphone – photos, répertoires téléphoniques, emplacement actuel, messages, journaux d’appels et dans le cas du trousseau iCloud, mots de passe enregistrés aux comptes de messagerie, aux navigateurs et à d’autres applications. Et il y a des vendeurs de logiciels espions qui commercialisent spécifiquement leurs produits contre ces vulnérabilités.

Les criminels en ligne peuvent ne pas trouver beaucoup de valeur dans les photos de gens ordinaires – contrairement aux photos nues de célébrités qui sont rapidement divulguées – mais ils savent les propriétaires des photos le font, dit Wisniewski, ce qui peut conduire à la prise en otage numérique des comptes et de leur contenu à moins que les victimes ne paient une rançon.

De plus, un compte Google piraté signifie un Gmail piraté, l’adresse e-mail principale de nombreux utilisateurs.

L’accès à un e-mail principal peut entraîner un piratage par effet domino de tous les comptes auxquels l’e-mail est lié – de votre compte Facebook à votre compte opérateur de téléphonie mobile, ouvrant la voie à une profondeur de le vol d’identité qui compromettrait sérieusement votre crédit.

Probabilité

« Il s’agit d’un gros risque. Tout ce dont un attaquant a besoin, c’est d’une adresse e-mail; pas d’accès au téléphone, ni au numéro de téléphone », Déclare Wisniewski. Si vous utilisez votre nom dans votre adresse e-mail, votre adresse e-mail principale pour vous inscrire à iCloud / Google et un mot de passe faible qui intègre des informations personnellement identifiables, il ne serait pas difficile pour un pirate informatique qui peut facilement glaner ces informations sur les réseaux sociaux ou les moteurs de recherche.

Comment vous protéger

• Créez un mot de passe fort pour ces comptes clés (et, comme toujours, votre adresse e-mail).
• Activez les notifications de connexion afin d’être informé des connexions de de nouveaux ordinateurs ou emplacements.
• Activez l’authentification à deux facteurs pour que même si quelqu’un découvre votre mot de passe, il ne puisse pas accéder à votre compte sans accéder à votre téléphone.
• Pour empêcher quelqu’un de réinitialiser votre mot de passe, mentez lors de la configuration des questions de sécurité de mot de passe. Vous seriez étonné de voir combien de questions de sécurité reposent sur des informations facilement disponibles sur Internet ou largement connues de votre famille et de vos amis.

Piratage Bluetooth

Tous les réseaux sans fil La connexion peut être vulnérable aux cyber-espionnages – et plus tôt cette année, des chercheurs en sécurité ont découvert une vulnérabilité dans Android 9 et les appareils plus anciens qui permettraient aux pirates de se connecter secrètement via Bluetooth, puis de récupérer des données sur l’appareil. (Sur les appareils Android 10, l’attaque aurait fait planter Bluetooth, rendant la connexion impossible.)

Bien que la vulnérabilité ait depuis été corrigée dans les mises à jour de sécurité peu de temps après, les attaquants peuvent être en mesure de pirater votre connexion Bluetooth via d’autres vulnérabilités – ou en vous incitant à l’appairer avec leur appareil en lui donnant un autre nom (comme «  AirPods  » ou un autre nom universel). Et une fois connectées, vos informations personnelles seraient en danger.

Probabilité

«Plutôt faible, à moins qu’il ne s’agisse d’une attaque ciblée», déclare Dmitry Galov, chercheur en sécurité chez Kaspersky. «Même alors, de nombreux facteurs doivent être réunis pour que cela soit possible. »

Comment vous protéger

• N’activez votre Bluetooth que lorsque vous l’utilisez réellement
• N’associez pas un appareil en public pour éviter d’être la proie de demandes d’appariement malveillantes.
• Téléchargez toujours les mises à jour de sécurité pour corriger les vulnérabilités dès qu’elles sont découvertes

Permutation de carte SIM

Une autre raison d’être rigoureux sur ce que vous publiez en ligne: les cybercriminels peuvent appeler les opérateurs de téléphonie mobile pour se faire passer pour des clients légitimes qui ont été exclus de leur compte. En fournissant des informations personnelles volées, ils peuvent faire transférer le numéro de téléphone sur leur propre appareil et l’utiliser pour reprendre le contrôle des comptes en ligne d’une personne. Dans une vague de vols de poignées Instagram, par exemple, les pirates ont utilisé des noms de connexion connus pour demander des changements de mot de passe et intercepter les textes d’authentification multifacteur envoyés au numéro de téléphone volé. Le but? Pour détenir des victimes contre une rançon ou, dans le cas de noms de grande valeur, vendre sur des marchés clandestins. Certaines personnes ont également eu des comptes de crypto-monnaie détournés et vidés.

En plus de cela, les chercheurs ont découverthttps: //www.bitdefender.com/solutions/ qu’il y avait des représentants des cinq principaux transporteurs qui ont authentifié les utilisateurs en donnant des informations erronées (comme l’adresse de facturation ou le code postal), en demandant à la place les trois derniers chiffres des deux derniers numéros composés. Les chercheurs ont pu fournir ces détails en envoyant d’abord un texte demandant aux utilisateurs d’appeler un certain numéro, qui diffusait un message vocal leur demandant d’appeler un deuxième numéro.

Probabilité

« Actuellement, L’échange de cartes SIM est particulièrement populaire en Afrique et en Amérique latine », déclare Galov.« Mais nous connaissons les cas modernes de différents pays du monde entier. »

Comment vous protéger

• Don n’utilisez pas de chiffres devinables pour le code PIN de votre opérateur, comme votre anniversaire ou les anniversaires de votre famille, qui peuvent tous être trouvés sur les réseaux sociaux.
• Choisissez une application d’authentification telle que Authy ou Google Authenticator au lieu de SMS pour 2FA. « Cette mesure vous protégera dans la plupart des cas », déclare Galov.
• Utilisez des mots de passe forts et une authentification multifacteur pour tous vos comptes en ligne afin de minimiser le risque de piratage pouvant révéler des informations personnelles utilisées pour détourner votre SIM.

Caméra de téléphone piratée

Alors que les appels vidéo deviennent de plus en plus répandus pour les connexions professionnelles et familiales, il a mis en évidence l’importance de sécuriser les webcams contre les pirates informatiques – mais ce front- face à la caméra du téléphone pourrait également être à risque. Un problème résolu depuis dans l’application Appareil photo embarquée Android, par exemple, aurait permis aux attaquants d’enregistrer des vidéos, de voler des photos et des données de géolocalisation d’images, tandis que des applications malveillantes ayant accès à votre application appareil photo voir ci-dessous) pourrait également permettre aux cybercriminels de détourner votre caméra.

Probabilité

Moins répandue que les piratages de webcam informatique.

Comment vous protéger

• Téléchargez toujours les mises à jour de sécurité pour toutes les applications et votre appareil.

Applications qui demandent trop d’autorisations

Alors que de nombreuses applications sur-demandent des autorisations à des fins de collecte de données, certaines peuvent être plus malveillantes – en particulier si elles sont téléchargées à partir de magasins non officiels – demandant un accès intrusif à tout, de vos données de localisation à votre pellicule.

Selon les recherches de Kaspersky, de nombreuses applications malveillantes en 2020 profitent de l’accès au service d’accessibilité, un mode destiné à faciliter l’utilisation des smartphones pour les personnes handicapées. «Avec l’autorisation d’utiliser ceci, une application malveillante a des possibilités presque illimitées d’interagir avec l’interface système et les applications», déclare Galov. Certaines applications de stalkerware, par exemple, profitent de cette autorisation.

Applications VPN gratuites sont également probablement les coupables de demandes excessives d’autorisations. En 2019, les chercheurs ont constaté que les deux tiers des 150 applications VPN gratuites les plus téléchargées sur Android avaient demandé des données sensibles telles que la localisation des utilisateurs.

Probabilité

Les demandes d’autorisations excessives sont fréquentes, dit Galov.

Comment vous protéger

• Lisez les autorisations des applications et évitez de télécharger des applications qui demandent plus d’accès que ils devraient avoir besoin de fonctionner.
• Même si les autorisations d’une application semblent correspondre à sa fonction, vérifiez les avis en ligne.
• Pour Android, téléchargez une application antivirus telle que Bitdefender ou McAfee qui analysera les applications avant le téléchargement et signalera les activités suspectes sur les applications que vous possédez.

Snooping via Open W Réseaux i-Fi

La prochaine fois que vous rencontrez un réseau Wi-Fi sans mot de passe en public, il est préférable de ne pas vous connecter. Les écouteurs sur un réseau Wi-Fi non sécurisé peuvent afficher tout son trafic non chiffré. Et des points d’accès publics néfastes peuvent vous rediriger vers des sites bancaires ou de messagerie similaires conçus pour capturer votre nom d’utilisateur et votre mot de passe. Ce n’est pas non plus nécessairement un gérant sournois de l’établissement que vous fréquentez. Par exemple, quelqu’un physiquement en face d’un café pourrait mettre en place un réseau Wi-Fi sans connexion nommé d’après le café, dans l’espoir d’attraper des informations de connexion utiles pour la vente ou le vol d’identité.

Probabilité

Toute personne technophile pourrait potentiellement télécharger le logiciel nécessaire pour intercepter et analyser le trafic Wi-Fi.

Comment vous protéger

• N’utilisez que des réseaux Wi-Fi publics sécurisés par un mot de passe et sur lesquels WPA2 / 3 est activé (vous le verrez sur l’écran de connexion demandant le mot de passe), où le trafic est crypté par défaut lors de la transmission.
• Téléchargez une application VPN pour crypter le trafic de votre smartphone. NordVPN (Android / iOS à partir de 3,49 $ / mois) est un excellent choix complet qui offre une protection multi-appareils, pour votre tablette et votre ordinateur portable par exemple.
• Si vous devez vous connecter à un réseau public et ne pas le faire. t avoir une application VPN, évitez de saisir les informations de connexion des sites bancaires ou des e-mails. Si vous ne pouvez pas l’éviter, assurez-vous que l’URL dans la barre d’adresse de votre navigateur est la bonne. Et ne saisissez jamais d’informations privées à moins que vous ne disposiez d’une connexion sécurisée à l’autre site (recherchez « https » dans l’URL et une icône de cadenas verte dans la barre d’adresse).
• Activation de l’authentification à deux facteurs en ligne Les comptes vous aideront également à protéger votre confidentialité sur les réseaux Wi-Fi publics.

Les applications avec un cryptage faible

Même les applications qui ne sont pas malveillantes peuvent rendre votre appareil mobile vulnérable. Selon Pour l’institut InfoSec, les applications qui utilisent des algorithmes de chiffrement faibles peuvent divulguer vos données à quelqu’un qui les cherche. Ou, celles dont les algorithmes puissants sont mal implémentés peuvent créer d’autres portes dérobées que les pirates informatiques peuvent exploiter, permettant d’accéder à toutes les données personnelles de votre téléphone. / p>

Probabilité

« Un risque potentiel, mais une menace moins probable que d’autres, comme le Wi-Fi non sécurisé ou le phishing », déclare Galov.

Comment vous protéger

• Vérifiez les avis sur les applications en ligne avant de les télécharger – non seulement sur les boutiques d’applications (qui font souvent l’objet de critiques de spam), mais également sur la recherche Google comportement sommaire que d’autres utilisateurs ont pu signaler.
• Si possible, téléchargez uniquement des applications de développeurs réputés, par exemple, qui se présentent sur Google avec des avis et des résultats positifs, ou sur des sites d’avis d’utilisateurs tels que Trustpilot. Selon Kaspersky, « il incombe aux développeurs et aux organisations d’appliquer les normes de chiffrement avant le déploiement des applications. »

Vulnérabilité du réseau téléphonique mondial SS7

Un protocole de communication pour mobile réseaux à travers le monde, le système de signalisation n ° 7 (SS7), a une vulnérabilité qui permet aux pirates d’espionner les messages texte, les appels téléphoniques et les emplacements, armés uniquement du numéro de téléphone portable de quelqu’un.

Les problèmes de sécurité ont été bien -connu depuis des années, et les pirates exploitent ce trou pour intercepter les codes d’authentification à deux facteurs (2FA) envoyés par SMS depuis les banques, les cybercriminels en Allemagne drainant les comptes bancaires des victimes. La Metro Bank du Royaume-Uni a été la proie d’une attaque similaire.

Cette méthode pourrait également être utilisée pour pirater d’autres comptes en ligne, des e-mails aux médias sociaux, en détruisant les ravages financiers et personnels.

Selon le chercheur en sécurité Karsten Nohl, les forces de l’ordre et les agences de renseignement utilisent l’exploit d’intercepter les données du téléphone portable, et donc de ne pas n’ont pas forcément beaucoup d’incitation à voir qu’elle est corrigée.

Probabilité

La probabilité augmente, car les ressources minimales nécessaires pour exploiter cette vulnérabilité l’ont mise à la disposition des cybercriminels avec un profil beaucoup plus petit qui cherche à voler des codes 2FA pour des comptes en ligne – plutôt que d’utiliser les téléphones de dirigeants politiques, de PDG ou d’autres personnes dont les communications pourraient avoir une grande valeur sur les marchés clandestins.

Comment vous protéger

• Choisissez la messagerie électronique ou (encore plus sûre) une application d’authentification comme méthode 2FA, au lieu de SMS.
• Utilisez un service de messagerie crypté de bout en bout qui fonctionne sur Internet ( contournant ainsi le protocole SS7), dit Wisniewski. WhatsApp (gratuit, iOS / Android), Signal (gratuit, iOS / Android) et Wickr Me (gratuit, iOS / Android) chiffrent tous les messages et les appels, empêchant quiconque d’intercepter ou d’interférer avec vos communications.
• Sachez que si vous faites partie d’un groupe potentiellement ciblé, vos conversations téléphoniques pourraient être surveillées et agir en conséquence.

Bornes de recharge malveillantes

Bien que les voyages et le tourisme ne soient pas activés L’année dernière, le bureau du procureur du district du comté de Los Angeles a publié une alerte de sécurité sur le risque de détournement de stations de charge USB publiques dans des endroits tels que les aéroports et les hôtels.

Stations de charge malveillantes – y compris les logiciels malveillants- ordinateurs chargés – profitez du fait que les câbles USB standard transfèrent les données et chargent la batterie. Les téléphones Android plus anciens peuvent même monter automatiquement le disque dur lors de la connexion à n’importe quel ordinateur, exposant ses données à un propriétaire sans scrupules.

Des chercheurs en sécurité ont également montré qu’il était possible de détourner la fonction de sortie vidéo de sorte que lorsqu’elle est branchée un hub de charge malveillant, un pirate peut surveiller chaque frappe, y compris les mots de passe et les données sensibles.

Probabilité

Faible.Il n’y a pas d’exemples bien connus de points de charge détournés, tandis que les nouveaux téléphones Android demandent la permission de charger leur disque dur lorsqu’ils sont branchés sur un nouvel ordinateur; Les iPhones demandent un code PIN. Cependant, de nouvelles vulnérabilités peuvent être découvertes.

Comment vous protéger

• Ne vous connectez pas à des appareils inconnus; apportez un chargeur mural. Vous voudrez peut-être investir dans un câble USB à charge uniquement comme PortaPow (9,99 USD pour un pack de deux sur Amazon)
• Si un ordinateur public est votre seule option pour raviver une batterie déchargée, sélectionnez « Charger uniquement » option (téléphones Android) si vous obtenez une fenêtre contextuelle lorsque vous vous connectez ou refusez l’accès à partir de l’autre ordinateur (iPhone).

De fausses tours cellulaires, comme Stingray du FBI

Le FBI, l’IRS, l’ICE, la DEA, la Garde nationale américaine, l’armée et la marine font partie des organismes gouvernementaux connus pour utiliser des dispositifs de surveillance cellulaire (les StingRays éponymes) qui imitent les véritables tours de réseau.

StingRays , et des tours de télécommunication sans fil similaires, forcent les téléphones portables à proximité à abandonner leur connexion de transporteur existante pour se connecter au StingRay à la place, permettant aux opérateurs de l’appareil de surveiller les appels et les SMS effectués par ces téléphones, leurs mouvements et les numéros de qui ils envoient des SMS et

Comme les StingRays ont un rayon d’environ 1 km, une tentative de surveiller le téléphone d’un suspect dans un centre-ville bondé pourrait montage sur des dizaines de milliers de téléphones mis sur écoute.

Jusqu’à la fin de 2015, les mandats n’étaient pas requis pour le suivi des téléphones portables avec StingRay. L’Union américaine des libertés civiles a identifié plus de 75 agences fédérales dans plus de 27 États propriétaires de StingRays, mais note que ce nombre est probablement une sous-estimation drastique. Bien que certains États interdisent l’utilisation de la technologie d’écoute, sauf dans le cadre d’enquêtes criminelles, de nombreuses agences n’obtiennent pas de mandat pour leur utilisation.

Probabilité

Bien que le citoyen moyen ne soit pas la cible de une opération StingRay, il est impossible de savoir ce qui est fait avec des données étrangères capturées à partir de non-cibles, grâce à des agences fédérales discrètes.

Comment vous protéger

• Utilisation les applications de messagerie cryptée et d’appel vocal, en particulier si vous entrez dans une situation qui pourrait être d’intérêt gouvernemental, comme une manifestation. Signal (gratuit, iOS / Android) et Wickr Me (gratuit, iOS / Android) chiffrent les messages et les appels, empêchant quiconque d’intercepter ou d’interférer avec vos communications. La plupart des cryptages utilisés aujourd’hui ne sont pas cassables, dit Wisniewski, et un seul appel téléphonique prendrait 10 à 15 ans pour le décrypter.

« Le plus difficile est de savoir ce que la police a un pouvoir légal Pour faire, les pirates peuvent faire de même », déclare Wisniewski.« Nous ne sommes plus dans le domaine de la technologie qui coûte des millions et à laquelle seuls les militaires ont accès. Les personnes ayant l’intention d’interférer avec les communications ont la possibilité de le faire. »

Qu’il s’agisse d’initiés en sécurité ou de personnes moins technophiles, beaucoup s’éloignent déjà des communications traditionnelles non chiffrées – et peut-être dans plusieurs années, cela sera impensable que nous ayons jamais permis à nos conversations et informations privées de voler à travers l’éther sans protection.

Mise à jour le 28/05/2020 avec de nouvelles façons dont votre téléphone peut être piraté et ce que vous pouvez faire pour vous protéger.

Natasha Stokes est rédactrice en technologie depuis plus de 7 ans, couvrant les problèmes des technologies grand public, la confidentialité numérique et la cybersécurité. En tant que rédactrice en chef de TOP10VPN, elle a couvert la censure et la surveillance en ligne qui ont un impact sur la vie des gens à travers le monde. Son travail est également apparu sur BBC Worldwide, CNN, Time and Travel + Leisure.