L'évolution du monde des smartphones et le nombre croissant d'applications destinées à toutes sortes de fins ont conduit à ce que de plus en plus de données confidentielles soient traitées, ouvertes et stockées sur les smartphones et les tablettes. Qu'il s'agisse d'un CV sur Xing et LinkedIn, d'une photo privée envoyée à un partenaire via WhatsApp, Viber ou une autre application, ou d'un mot de passe unique pour les opérations bancaires en ligne - de plus en plus d'informations sont envoyées et reçues sur des appareils mobiles. Malheureusement, beaucoup de gens ne comprennent pas combien de fois et avec quelle facilité ces données, qui ne seraient même pas confiées à des personnes proches, peuvent être interceptées par des étrangers assis à dix mètres de distance.
Les réseaux WLAN non protégés
Les pièces les plus importantes de ce puzzle d'incertitude sont les réseaux WLAN non protégés et le manque de mesures de sécurité dans les applications mobiles. L'internet mobile est encore assez cher dans certains cas, notamment lors de voyages à l'étranger. C'est pourquoi de nombreuses personnes utilisent simplement le WLAN dans les aéroports, les cafés et les hôtels sans trop se soucier de sa sécurité. Dans des études de cas menées par nos experts peu avant la Coupe du monde de Sao Paulo, nous avons découvert quel cryptage les gens utilisent pour leurs réseaux sans fil et qu'au moins un réseau WLAN sur quatre est ouvert et n'utilise pas de cryptage.
Si vous utilisez un WLAN ouvert, tout le monde peut écouter votre trafic et voir quelles données vous envoyez. Et même si vous utilisez WEP, le cryptage peut être craqué en moins de cinq minutes. En gros, on peut donc écouter de nombreux réseaux dans le monde entier en quelques secondes.
Notre conseil le plus important est de ne se connecter qu'aux réseaux qui utilisent le WPA2. Mais en réalité, vous devrez toujours vous connecter à des réseaux moins bien protégés. De plus, vous pouvez difficilement contrôler ce qui est transmis sur une connexion ouverte. Si vous utilisez un navigateur mobile, vous devez toujours vérifier que le cadenas est visible et que l'abréviation HTTPS apparaît dans la ligne d'adresse.
Les données non cryptées
La situation est complètement différente lorsque vous utilisez des applications mobiles, parce que vous ne savez tout simplement pas quel protocole l'application utilise. Les experts en sécurité ont découvert que de nombreuses applications utilisent encore le protocole ouvert pour la communication interne avec leurs serveurs - c'est-à-dire HTTP au lieu de HTTPS. Et comme vous le savez, ces connexions sont vulnérables aux attaques de pirates informatiques, au vol de mots de passe et à l'espionnage du contenu envoyé. Par exemple, si vous utilisez la messagerie instantanée, les autres peuvent voir le texte de vos conversations. Et je n'invente rien, c'est un vrai problème dans les applications mobiles.
Même Google, Facebook et Twitter ont connu des problèmes, car leurs applications n'avaient pas le SSL mis en place en 2011. À l'été 2012, WhatsApp, une application de messagerie instantanée mobile très populaire, a également fait en sorte que tous les contenus soient transmis en clair. Si quelqu'un utilise encore Yahoo Messenger ou ICQ, j'ai de mauvaises nouvelles : ils utilisent toujours le protocole de texte en clair, de sorte que toutes les discussions sont non cryptées et peuvent être facilement écoutées sur un réseau local sans fil ouvert. Il est difficile d'imaginer combien d'applications utilisent encore le protocole de texte en clair et que même certaines sociétés réputées n'utilisent toujours pas le cryptage.
De nombreuses applications mobiles n'avertissent pas non plus l'utilisateur en cas de problème avec les certificats SSL, ce qui rend impossible la détection des attaques de type "man-in-the-middle".
Bien sûr, il serait facile de donner des conseils comme "n'utilisez pas les applications mobiles pour des choses confidentielles", mais ces conseils sont difficiles à suivre. Parce que cela vous replongerait dans le 20e siècle.