11. Utiliser votre smartphone en sécurité (autant que possible...)

Table des matières

...Loading Table of Contents...

    Dans le chapitre 10 : Utiliser votre téléphone mobile en sécurité (autant que possible...), nous avons examiné les défis de sécurité liés à l'utilisation de téléphones mobiles de base – y compris les problèmes liés à la communication vocale et les services de messagerie textuelle (SMS/MMS). Ces téléphones utilisent principalement (si non exclusivement) des réseaux mobiles pour transférer des appels et des données.

    Les progrès technologiques permettent aujourd'hui de profiter de nombreux services et fonctionnalités similaires à ceux dispensés par un ordinateur de bureau ou portable via un téléphone mobile. Ces smartphones offrent de nombreuses façons nouvelles de communiquer, capturer et diffuser des médias. Pour fournir ces nouvelles fonctionnalités, les smartphones n'utilisent pas seulement le réseau mobile mais se connectent également à Internet soit via une connexion Wifi (de la même façon qu'un ordinateur portable dans un cybercafé), soit via des connexions de données par l'intermédiaire de l'opérateur du réseau mobile.

    Vous pouvez donc certes faire des appels avec un smartphone, il vaut toutefois mieux le considérer comme un dispositif informatique de petite taille. Ceci signifie que les informations dispensées dans cette boîte à outils sont applicables à l'utilisation de votre smartphone comme de votre ordinateur.

    Les smartphones subviennent généralement à un large eventail de fonctionnalités – navigation sur le web, courrier électronique, messagerie vocale et instantanée sur Internet, capture, stockage et transmission d'audio, de vidéos et de photos, utilisation de réseaux sociaux, de jeux multi-utilisateurs, services bancaires électroniques et d'autres nombreuses activités. Cependants, beaucoup de ces outils et fonctionnalités présentent de nouveaux problèmes de sécurité, ou augmentent des risques déjà existant.

    Par exemple, certains smartphones ont intégré la fonctionnalité de géolocalisation (GPS), par laquelle votre emplacement précis peut être fourni par défaut à votre opérateur de réseau mobile et à de nombreuses applications que vous utilisez sur votre téléphone (telles qu'entre autres de réseaux sociaux, de cartographie ou de navigation). Comme mentionné précédemment, les téléphones mobiles relaient déjà votre localisation à votre opérateur de réseau mobile (dans le cadre des fonctions normales de votre téléphone). Toutefois, la fonctionnalité additionnelle du GPS augmente non seulement la précision des informations sur votre localisation, mais aussi la quantité des lieux où ces informations peuvent être distribuées.

    Cela vaut la peine de reconsulter les risques associés aux téléphones mobiles présentés dans le chapitre 10 : Utiliser votre téléphone mobile en sécurité (autant que possible...) dans la mesure où tous valent pour l'utilisation d'un smartphone. Le chapitre 10 couvre les questions d'écoute, d'interception de SMS ou d'appels téléphoniques, les problèmes liés à la carte SIM et des usages plus conseillés.

    Dans ce chapitre, nous allons considérer d'autres problèmes de sécurité posés par les smartphones.

    Sacs à main, porte-feuille, smartphones

    Nous connaissons intuitivement la valeur de ce que contient notre sac à main ou porte-feuille dans la mesure où ceux-ci détiennent énormément de renseignements très personnels ou sensibles nous concernant. Les perdre compromettrait notre vie privée et notre sécurité. Les gens sont bien moins conscients de la quantité d'informations personnelles qu'ils transportent dans leur smartphone et considèrent leur perte plutôt comme une contrariété que comme un risque. Si vous percevez le smartphone comme un dispositif informatique toujours connecté à un réseau et constamment sur vous, alors vous constaterez facilement la grande différence existant entre un support d'informations discrètes, passives (tel un porte-feuille) et un objet actif et interactif tel le smartphone.

    Un exercice simple peut aider à illustrer ce propos :

    Videz le contenu de votre sac à main ou de votre porte-feuille et prenez en compte les objets sensibles. En général, vous trouvez : - Photos de proches (~5 photos) - Papiers d'identité (permis de conduire, cartes de membre, cartes de sécurité sociale) - Assurances et santé (~2 cartes) - Argent (~5 billets) - Cartes de paiement (~3 cartes)

    Maintenant, examinez le contenu de votre smartphone. Un utilisateur type de smartphone trouvera certainement bien plus d'objets sensibles que dans son porte-monnaie, et parfois d'une plus grande valeur :

    • Photos de vos proches (~100 photos)
    • Applications de messagerie et leurs mots de passe
    • Emails (~500 courriels)
    • Vidéos (~50 vidéos)
    • Applications de réseaux sociaux et leurs mots de passe
    • Applications bancaires (avec l'accès aux comptes bancaires)
    • Documents sensibles
    • Documentation de communications sensibles
    • Une connexion directe à vos informations privées

    Plus votre usage du smartphone augmente, plus il vous faut devenir conscient des risques associés et prendre des précautions appropriées. Les smartphones sont de puissants amplificateurs et distributeurs de vos données personnelles. Ils sont conçus pour fournir une connectivité aussi constante que possible et assurer la connexion aux services de réseautage social par défaut. Car, vos données personnelles représentent des renseignements précieux pouvant être regroupés, recherchés et vendus.

    Dans le chapitre 5 : Récupérer des données perdues, nous avons exposé l'importance de la sauvegarde des données. Ceci s'applique tout particulièrement aux smartphones. Perdre votre téléphone peut avoir des conséquences désastreuses si vous n'avez pas sauvegardé vos données les plus importantes (tels vos contacts) dans un endroit sûr. Outre la sauvegarde de vos données, assurez-vous que vous savez également comment restaurer les données. Conserver une copie imprimée des étapes à suivre de façon à pouvoir agir vite en cas d'urgence.

    Dans ce chapitre, nous allons tout d'abord vous présenter quelques indications générales sur le smartphone – une description des différentes plateformes et des procédures de configuration de base pour sécuriser vos informations et communications. Les autres parties de ce chapitre porteront sur des précautions spéficiques liées à des utilisations courantes du smartphone. Les sections suivantes porteront sur les aspects de sécurité suivants :

    Plateformes, configuration et installation

    Plateformes et systèmes d'exploitation

    Au moment de la rédaction de ces lignes, les smartphones les plus couramment utilisés sont l'iPhone d'Apple et l'Android de Google, suivis par les Blackberry et les Windows Phones. La principale différence entre l'Android et d'autres systèmes d'exploitation se trouve dans le fait qu'Android est le plus souvent un système open source (FOSS), qui permet au système d'exploitation d'être audité indépendamment afin de vérifier s'il protège correctement les informations et communications des utilisateurs. Il soutient également le développement d'applications de sécurité pour cette plateforme. De nombreux analystes programmeurs sensibles à la sécurité développent des applications Android en prenant en compte la sûreté des utilisateurs. Certains d'entre eux seront mentionnés plus tard dans ce chapitre.

    Quel que soit le type de smartphone que vous utilisez, il vous faut être au courant de certains faits liés à l'utilisation d'un téléphone connecté à Internet et livré avec des fonctionnalités telles que le GPS ou la possibilité de mise en réseau sans fil. Dans ce chapitre, nous nous concentrons sur les appareils équipés de la plateforme Android, car, comme mentionné ci-dessus, il y est plus facile de sécuriser les données et communications. Néanmoins, les guides de configuration de base et quelques applications pour d'autres appareils que les téléphones Android seront également exposés.

    Les téléphones Blackberry ont été présentés comme des appareils de messagerie texte et email « sûrs » dans la mesure où les messages et emails transitent par des serveurs Blackberry, hors de portée d'oreilles indiscrètes potentielles. Malheureusement, de plus en plus de gouvernements réclament l'accès à ces communications, invoquant la nécessité de se prémunir contre le terrorisme et le crime organisé. Les gouvernements d'Inde, des Émirats arabes unis, d'Arabie Saoudite, d'Indonésie et du Liban ont par exemple examiné attentivement l'utilisation des appareils Blackberry et exigé l'accès aux données des utilisateurs dans leur pays.

    Mobiles classiques (ou feature phones)

    Les 'feature phones' (par exemple le 7705 Twist de Nokia ou le Rogue de Samsung) constituent une autre catégorie de téléphones mobiles. Ceux-ci ont depuis peu augmenté leurs fonctionnalités de façon à inclure celles de certains smartphones. Mais de manière générale, les systèmes d'exploitation des feature phones restent moins accessibles, les possibilités de développement d'applications de sécurité ou de perfectionnement sont donc limitées. Nous ne traitons pas spécifiquement des feature phones, toutefois de nombreuses mesures présentées ici valent également pour ceux-ci.

    Smartphones labellisés et simlockés

    Les smartphones sont généralement vendus labellisés ou simlockés. Un smartphone simlocké est un appareil qui ne peut fonctionner qu'avec la carte SIM fournie par l'opérateur. Généralement, les opérateurs de réseau mobile simlockent un téléphone en y installant leur propre firmware ou logiciel. Ils peuvent également désactiver certaines fonctionnalités ou en ajouter d'autres. Le simlockage permet aux entreprises d'augmenter leurs gains en orientant votre utilisation du smartphone, souvent aussi en collectant des données sur la façon dont vous utilisez votre téléphone ou en permettant l'accès à votre smartphone à distance.

    Pour ces raisons, nous recommandons l'achat d'un téléphone non simlocké, si possible. Un téléphone simlocké présente un risque plus élevé dans la mesure où toutes vos données sont acheminées par un seul opérateur, qui centralise vos flux de données, empêche de changer de carte SIM et donc de diffuser des données via d'autres opérateurs. Si votre téléphone est simlocké, demandez à quelqu'un en qui vous avez confiance de le désimlocker.

    Configuration générale

    Les smartphones ont de nombreux paramètres contrôlant la sûreté de l'appareil. Il est important de prêter attention à la configuration de votre smartphone. Dans les guides pratiques ci-dessous, nous vous signalons certains paramètres de sécurité qui sont disponibles mais non actifs par défaut, tout comme d'autres qui sont actifs par défaut et rendent votre téléphone vulnérable.

    Expérience pratique : se lancer avec le guide de configuration générale pour Android.

    Installation et mise à jour des applications

    La façon habituelle d'installer un nouveau logiciel sur votre smartphone consiste à utiliser l'Appstore d'iPhone ou le Play Store de Google, de s'y connecter avec vos accréditations d'utilisateur et, de télécharger et installer l'application désirée. En vous connectant, vous associez votre usage de la boutique en ligne à votre compte d'utilisateur connecté. Les propriétaires de la boutique en ligne d'applications conservent des registres indiquant l'historique de la navigation de l'utilisateur et des applications choisies.

    Les applications proposées dans les boutiques en ligne officielles sont censées êtres vérifiées par les propriétaires des boutiques (Google ou Apple), mais ceci fournit en réalité une protection faible contre ce que les applications peuvent engendrer une fois installées sur votre téléphone. Par exemple, certaines applications sont en état de copier et de communiquer votre carnet d'adresses après avoir été installées sur votre téléphone. Dans le cas des téléphones Android, toute application doit demander durant le processus d'installation ce qu'elle est en droit d'accomplir à partir du moment où elle est en service. Vous devez porter une attention toute particulière aux autorisations qui vous sont demandées et si ces autorisations sont en rapport avec la fonction de l'application que vous installez. Par exemple, si vous envisagez d'installer un « lecteur de nouvelles » et vous découvrez qu'il demande le droit d'envoyer vos contacts via une connexion de données mobile à un tiers, vous feriez mieux de chercher une autre application dont l'accès et les demandes de droits sont plus appropriés.

    Les applications Android sont également disponibles à partir de sources situées en dehors des canaux officiels de Google. Pour utiliser ces sites de téléchargement, il vous suffit de cocher l'option Sources inconnues dans les paramètres des applications.

    Il est utile de tenir compte de ces autres sites si vous souhaitez minimiser le contact avec Google. Nous recommandons F-Droid ('Free Droid'), qui ne propose que des applications FOSS. Dans ce guide, F-Droid constitue le dépôt principal des applications que nous recommandons et nous ne faisons référence à Google Play que si F-Droid ne dispose pas du type d'app recherché.

    Si vous ne voulez (ou ne pouvez) pas vous connecter à Internet pour accéder à ces apps, vous pouvez transférer les apps à partir du téléphone de quelqu'un d'autre en envoyant des fichiers .apk ('android application package') via bluetooth. Vous pouvez soit télécharger le fichier .apk sur la carte Micro SD de votre téléphone, soit utiliser un câble USB afin de l'y déplacer à partir d'un PC. Quand vous avez reçu le fichier, il suffit de cliquer le nom du fichier assez longtemps jusqu'à ce que vous soyez invité à l'installer. (Note : soyez particulièrement prudent lorsque vous utilisez bluetooth - infos à ce sujet dans le chapitre 10 : Autres fonctions des appareils mobiles.

    Communication (voix et messagerie) via smartphone

    Parler en toute sécurité

    Téléphonie de base

    Dans la section Fonctions de base, traçabilité et anonymat du Chapitre 10, nous avons présenté diférentes mesures à suivre afin de réduire le risque d'interception lors de l'utilisation du réseau opérateur de téléphonie mobile pour votre communication vocale.

    Le fait d'utiliser Internet par le biais de votre smartphone via des connexions de données mobiles ou WiFi peut permettre une communication plus sûre, à savoir en utilisant VoIP et des moyens de sécurisation de ce canal de communication. Certains outils de smartphone peuvent même étendre la sécurité au-delà de VoIP, aux appels à partir d'un téléphone mobile aussi (Voir Redphone ci-dessous).

    Voici une liste de quelques outils, leurs avantages et inconvénients :

    Skype

    La plus populaire des applications VoIP commerciales, Skype, est disponible sur toutes les plateformes de smartphone et fonctionne bien si votre connectivité sans fil est fiable. Elle est moins fiable via une connexion de données mobile.

    Dans la section Sécuriser vos autres outils de communication par Internet du chapitre 7 : Préserver la confidentialité de vos communications sur Internet, nous avons discuté des risques liés à l'utilisation de Skype et pourquoi il vaut mieux, dans la mesure du possible, l'éviter. En résumé, Skype est un logiciel non open-source qui fait qu'il est très difficile d'en confirmer indépendamment le niveau de sécurité. De plus, Skype appartient à Microsoft, qui a un intérêt commercial à savoir quand et d'où vous utilisez Skype. Skype peut également permettre à des organismes chargés de l'application de la loi d'accéder rétrospectivement à l'historique de vos communications.

    D'autres VoIP

    L'utilisation de VoIP est généralement gratuite (ou nettement moins chère que les appels téléphoniques mobiles) et laisse peu de traces de données. De fait, un appel VoIP sécurisé peut être le moyen le plus sûr de communiquer.

    CSipSimple est un client VoIP solide pour téléphones Android, qui est bien entretenu et livré avec de nombreux assistants simples pour saisir les paramètres de différents services VoIP.

    Le projet du Open Secure Telephony Network (OSTN) et le serveur entretenu par le Guardian Project ostel.me proposent actuellement l'un des moyens les plus sûrs de communication vocale. Bien connaître et faire confiance à l'entité qui exploite le serveur que vous utilisez pour vos communications vocales est extrêmement important. Les hôtes de ce service – le Guardian Project – sont très connus et respectés dans la communauté.

    Lors de l'utilisation de CSipSimple, vous ne communiquez jamais directement avec votre interlocuteur; toutes vos données passent par le serveur Ostel. Il est alors beaucoup plus difficile de retracer vos données et de découvrir à qui vous parlez. En outre, Ostel ne conserve aucune de ces données, mises à part les données du compte dont vous avez besoin pour vous connecter. Tout ce que vous dites est chiffré et même vos métadonnées, qui sont normalement difficiles à dissimuler, sont floues puisque le trafic se fait à travers le serveur ostel.me. Si vous téléchargez CSipSimple depuis ostel.me, vous le recevrez préconfiguré pour ostel.me; ce qui rend son installation et utilisation d'autant plus faciles.

    RedPhone est une application logicielle libre et open source qui permet de chiffrer les données de communication vocale envoyées entre deux appareils qui utilisent cette application. Elle est facile à installer et très facile à utiliser puisqu'elle s'intègre dans votre numérotation normale et dans votre schéma des contacts. Mais les gens auxquels vous souhaitez parler doivent également installer et utiliser RedPhone. Pour une utilisation facile de RedPhone, prenez votre numéro de téléphone mobile comme identificateur (tel un nom d'utilisateur dans d'autres services VoIP). Toutefois, sachez qu'il devient de plus en plus facile d'analyser le trafic produit et de remonter jusqu'à vous par le biais de votre numéro de mobile. RedPhone utilise un serveur central, qui est un point de centralisation et place RedPhone dans une position de force (celle d'avoir le contrôle sur certaines de ces données).

    Des guides pratiques pour CSipSimple, Ostel.me et Redphone sont en prévision. En attendant, des informations supplémentaires sont disponibles en cliquant sur les liens mentionnés ci-dessus.

    Envoyer des messages en toute sécurité

    Certaines précautions sont à prendre lors de l'envoi de SMS et l'utilisation de la messagerie instantanée ou de discussions en ligne sur votre smartphone.

    SMS

    Comme décrit dans le chapitre 9.2.3 : Communications par texte – SMS / Messages textes, la communication par SMS est non sûre par défaut. Toute personne ayant accès à un réseau de télécommunication mobile peut intercepter ces messages facilement, ce qui est un fait quotidien dans de nombreuses situations. Ne comptez pas sur l'envoi SMS non sécurisés lors de situations critiques. Il est de surcroît impossible d'authentifier les messages SMS, de savoir si le contenu d'un message a été modifié en chemin ou si l'expéditeur est bien la personne qu'il prétend être.

    SMS sécurisés

    TextSecure est un outil FOSS qui permet d'envoyer et de recevoir des SMS sécurisés via un téléphone Android. Il fonctionne à la fois pour des messages chiffrés et non chiffrés si bien que vous pouvez l'utiliser comme votre application SMS par défaut. Pour échanger des messages chiffrés, cet outil doit être installé par l'expéditeur et par le destinataire. Vous devrez donc amener les gens avec lesquels vous communiquez régulièrement à l'utiliser également. TextSecure détecte automatiquement lorsqu'un message chiffré est reçu par un autre utilisateur de TextSecure. Il vous permet également d'envoyer des messages chiffrés à plusieurs personnes. Les messages sont automatiquement signés; ce qui rend presque impossible la falsification du contenu. Dans notre guide pratique consacré à TextSecure, nous expliquons en détail les caractéristiques de cet outil et comment l'utiliser.

    Expérience pratique : se lancer avec le guide pratique TextSecure.

    Chat sécurisé

    L'utilisation de la messagerie instantanée ou le fait de chatter avec votre téléphone produit un grand nombre d'informations qui peuvent être interceptées. Vous courez ainsi le risque que ces conversations soient utilisées plus tard contre vous par des adversaires. Vous devez donc être extrêmement prudent sur les informations que vous divulguez lorsque vous envoyez des messages ou chattez avec votre téléphone.

    Il existe des moyens de chatter et d'envoyer des messages instantanés en toute sécurité. Le meilleur moyen est d'utiliser le chiffrement de bout en bout, qui assure que la personne à l'autre bout du fil est bien celle que vous souhaitez.

    Pour les téléphones Android, nous recommandons ChatSecure comme application de messagerie instantanée sécurisée. Chatsecure permet un chiffrement de vos chats facile et résistant avec protocole de messagerie Off-the-Record. Ce chiffrement assure à la fois l'authenticité (vous pouvez vérifier que vous chattez avec la bonne personne) et la sécurisation autonome de chaque session : s'il arrive que le chiffrement d'une session de chat soit compromise, d'autres sessions passées ou futures ne seront pas concernées.

    Chatsecure a été conçu pour être utilisé avec Orbot; de sorte que vos messages de chat peuvent passer par le réseau anonymisant Tor. Tout échange est ainsi rendu intraçable voire comme n'ayant jamais eu lieu.

    Pour les iPhones, le client ChatSecure offre les mêmes fonctionnalités. Il n'est toutefois pas évident à utiliser avec le réseau Tor.

    Un guide pratique pour ChatSecure va bientôt paraître. En attendant, des informations supplémentaires sont disponibles sur la page d'accueil.

    Quelle que soit l'application que vous utilisez, réfléchissez bien au type de compte duquel vous voulez chatter. Par exemple, quand vous utilisez Google Talk, vos informations d'identification et l'heure de votre session de discussion sont connus par Google. De même, mettez-vous d'accord avec vos interlocuteurs sur le fait que l'historique des discussions ne doit en aucun cas être sauvegardé - surtout si les discussions ne sont pas chiffrées.

    Stocker des informations sur votre smartphone

    Les smartphones disposent de grandes capacités de stockage de données. Malheureusement, les données stockées sur votre appareil peuvent être facilement accessibles à des tiers, soit à distance, soit physiquement. Quelques précautions de base pour réduire tout accès inapproprié à ces informations sont formulées dans le  guide de configuration générale pour Android. En outre, vous pouvez prendre des mesures pour chiffrer toute information sensible dans votre téléphone à l'aide d'outils spécifiques.

    Outils de chiffrement des données

    Android Privacy Guard (APG) permet de chiffrer fichiers et courriels au format OpenPGP. Il peut être utilisé pour conserver vos fichiers et documents en toute sécurité sur votre téléphone, tout comme lorsque vous communiquez par courriel.

    Expérience pratique : se lancer avec le guide pratique APG.

    Cryptonite est un autre outil de chiffrement de fichiers FOSS. Cryptonite dispose de fonctionnalités plus avancées sur les téléphones Android rootés spécialement préparés avec un firmware personnalisé. Consultez la section Utilisation avancée du smartphone pour en savoir plus.

    Experience pratique : se lancer avec le guide Cryptonite.

    Sécurisation du mot de passe

    Vous pouvez conserver tous vos mots de passe en un fichier sécurisé et chiffré en utilisant Keepass. Vous n'aurez besoin de vous souvenir que d'un seul mot de passe principal pour accéder aux autres. Avec Keepass, vous pouvez utiliser des mots de passe très forts pour chaque compte en votre possession dans la mesure où Keepass s'en souviendra pour vous; il fournit de surcroît un générateur de mots de passe pour créer de nouveaux mots de passe. Vous pouvez synchroniser les base de données de mots de passe Keepass entre votre téléphone et votre ordinateur. Nous vous recommandons de synchroniser uniquement les mots de passe que vous allez réellement utiliser sur votre téléphone mobile. Vous pouvez créer une base de données de mots de passe séparée plus petite sur l'ordinateur et synchroniser celle-ci au lieu de copier toute une base de données comprenant tous les mots de passe que vous utilisez sur votre smartphone. Aussi, étant donné que tous les mots de passe sont protégés par votre mot de passe principal, il est essentiel d'utiliser un mot de passe très fort pour votre base de données Keepass. Consultez le chapitre 3 : Créer et sauvegarder des mots de passe sûrs.

    Expérience pratique : se lancer avec le guide pratique KeePassDroid.

    Envoyer des courriels avec votre smartphone

    Dans cette section, nous allons examiner brièvement l'usage du courrier électronique sur smartphone. Nous vous encourageons à consulter les sections Sécuriser votre courriel et Que faire si vous soupçonnez que vos communications par courriel sont surveillées du chapitre 7: Préserver la confidentialité de vos communications sur Internet dans lesquels nous nous penchons sur la sécurité de base du courrier électronique.

    En premier lieu, demandez-vous si vous avez vraiment besoin d'utiliser votre smartphone pour accéder à vos courriels. Sécuriser un ordinateur et son contenu est généralement plus simple que de le faire pour un appareil mobile tel qu'un smartphone. Un smartphone est plus prédisposé au vol, à la surveillance et à l'intrusion.

    S'il vous est absolument indispensable d'accéder à vos courriels sur votre smartphone, certaines mesures sont à prendre pour minimiser les risques.

    • Ne vous fiez pas à votre smartphone comme moyen principal pour accéder à vos courriels. Télécharger (et supprimer) des courriels à partir d'un serveur de messagerie et les stocker uniquement sur votre smartphone n'est pas conseillé. Vous pouvez configurer votre application courriel de façon à n'utiliser que des copies de courriels.

    • Si vous utilisez le chiffrement email avec certains de vos contacts, envisagez de l'installer également sur votre smartphone. L'avantage supplémentaire qui en découle tient au fait que les courriels chiffrés resteront secrets si jamais votre téléphone devait tomber entre de mauvaises mains.

    Le stockage de votre clé privée de chiffrement sur votre appareil mobile peut paraître risqué. Mais l'avantage d'être en mesure d'envoyer et de stocker des courriels soigneusement chiffrés sur l'appareil mobile peut l'emporter sur les risques. Envisagez la création d'une paire de clés de chiffrement seulement mobile (en utilisant APG) pour votre utilisation sur le smartphone de sorte que vous ne copiiez pas votre clé privée de chiffrement à partir de votre ordinateur sur votre appareil mobile. Notez que ceci nécessite que vous demandiez aux gens avec lesquels vous communiquez de chiffrer également leurs courriels en utilisant votre clé de chiffrement seulement mobile.

    Expérience pratique : se lancer avec le guide pratique K9 et APG

    Accéder à Internet en toute sécurité avec un smartphone

    Comme nous en avons discuté dans le chapitre 7 : Préserver la confidentialité de vos communications sur Internet et le chapitre 8 : Préserver votre anonymat et contourner la censure sur Internet, accéder à des contenus sur Internet ou publier du matériel en ligne tel que des photos ou des vidéos, laisse de nombreuses traces indiquant qui et où vous êtes et ce que vous faites. Cela peut vous mettre en danger. Utiliser votre smartphone pour communiquer avec Internet amplifie ce risque.

    Accès par WiFi ou données mobiles

    Les smartphones vous permettent de contrôler la façon dont vous accédez à Internet : via une connexion sans fil fournie par un point d'accès (tel qu'un cybercafé), ou via une connexion données mobile telle que GPRS, EDGE ou UMTS, fournies par votre opérateur de réseau mobile.

    L'utilisation d'une connexion WiFi réduit les traces de données que vous pourriez laisser auprès de votre opérateur de réseau mobile (en n'utilisant pas votre forfait de téléphonie mobile pour vous connecter). Toutefois, une connexion données mobile est parfois le seul moyen d'être en ligne. Malheureusement, les protocoles de connexion données mobile (telles EDGE ou UMTS) ne sont pas des standards ouverts. Les développeurs indépendants et les ingénieurs de sécurité ne peuvent pas analyser ces protocoles pour voir comment ils sont mis en oeuvre par des supports de données mobiles.

    Dans certains pays, les opérateurs de réseau mobile opèrent conformément à une législation différente de celle des fournisseurs d'accès à Internet, ce qui peut conduire à une surveillance plus directe de la part des gouvernements et des transporteurs.

    Quel que soit le chemin que vous prenez pour vos communications numériques avec un smartphone, vous pouvez réduire les risques d'exposition des données en utilisant des outils d'anonymisation et de chiffrement.

    Anonymiser

    Pour accéder à du contenu en ligne de façon anonyme, vous pouvez utiliser une app Android appelée Orbot. Orbot fait passer vos communications sur Internet par le réseau anonyme Tor.

    Expérience pratique : se lancer avec le guide pratique Orbot.

    Une autre app, Orweb, est un navigateur web qui offre des fonctionnalités améliorant la confidentialité en passant par des serveurs mandataires et en ne conservant pas d'historique local de la navigation. Orbot et Orweb contournent ensemble les filtres et pare-feux du réseau, et procurent une navigation anonyme.

    Expérience pratique : se lancer avec le guide pratique Orweb.

    Proxies

    La version mobile FirefoxFirefox mobile peut-être équipée d'extensions proxy qui dirigent le trafic vers un serveur proxy (appelé aussi mandataire). De là, votre trafic est acheminé vers le site que vous souhaitez. Ceci est très utile en cas de censure, mais peut toujours encore révéler vos demandes, à moins que la connexion de votre client au proxy soit chiffrée. Nous recommandons l'extension Proxy Mobile, (également du Guardian Project, qui rend facile l'utilisation de serveurs mandataires avec Firefox. Il s'agit également du seul moyen de canaliser les communications mobiles via Firefox vers Orbot et d'utiliser le réseau Tor.

    Sécurité avancée pour votre smartphone

    Obtenez l'accès complet à votre smartphone

    La plupart des smartphones peuvent plus que ce que leur système d'exploitation, que ce que les logiciels des fabricants (firmware) et les programmes des opérateurs mobiles permettent. À l'inverse, certaines fonctionnalités sont 'bloquées' si bien que l'utilisateur ne peut ni contrôler ni modifier ces fonctions; elles restent hors de portée. Dans la plupart des cas, ces fonctionnalités sont inutiles. Certaines applications et fonctionnalités permettent cependant parfois d'améliorer la sécurité des données et des communications sur un smartphone. Il existe également d'autres fonctionnalités dont la suppression permet d'éviter des risques.

    C'est pour cela, et pour d'autres raisons, que certains utilisateurs de smartphone décident de manipuler les différents logiciels et programmes tournant sous leur smartphone dans le but d'obtenir des passe-droits appropriés leur permettant d'installer des fonctionnalités améliorées, d'en supprimer, ou d'en amoindrir d'autres.

    La procédure de dépassement des limites imposées par les opérateurs mobiles ou fabricants de systèmes d'exploitation est appelé rooting (dans le cas des appareils Android), ou jailbreaking, débridage (dans le cas des appareils iOS tels l'iPhone ou l'iPad). En règle générale, un rooting ou débridage réussi a pour conséquence que vous obtenez tous les passe-droits dont vous avez besoin pour installer et utiliser d'autres applications, modifier des configurations autrement verrouillées, et le contrôle complet sur le stockage de données et la mémoire du smartphone.

    ATTENTION: Le rooting ou jailbreaking peut être irréversible et demande une certaine expérience quant à l'installation et la configuration de logiciels. Considérez ce qui suit :

    • Vous risquez de rendre votre smartphone définitivement inutilisable, de le 'bricker' (cad de le réduire à l'état de 'brique').
    • La garantie du fabricant ou de l'opérateur mobile peut être annulée.
    • Dans certains endroits, cette procédure peut être illégale.

    Mais si vous faites attention, un appareil rooté est un moyen simple de gagner plus de contrôle sur votre smartphone et de le rendre ainsi beaucoup plus sûr.

    Firmware alternatifs

    Les firmware (appelés aussi micrologiciels) se réfèrent à des programmes étroitement liés à l'appareil en particulier. Ils coopèrent avec le système d'exploitation de l'appareil et sont responsables des fonctions de base du matériel informatique de votre smartphone, telles que le haut-parleur, le microphone, les caméras, l'écran tactile, la mémoire, les clés, les antennes, etc.

    Si vous avez un téléphone Android, vous pouvez envisager l'installation d'un firmware alternatif pour renforcer vos possibilités de contrôle de votre téléphone. Notez que pour installer un firmware alternatif, vous devez rooter votre téléphone.

    Un firmware alternatif pour Android est par exemple le Cyanogenmod qui, entre autres, vous permet de désinstaller des applications au niveau du système de votre téléphone (cad celles installées par le fabricant du téléphone ou votre opérateur de réseau mobile). En faisant cela, vous pouvez réduire les possibilités de contrôle de votre appareil, telles que l'envoi de données à votre fournisseur de services à votre insu.

    En outre, Cyanogenmod est livré par défaut avec une application OpenVPN qui peut sinon être fastidieuse à installer. VPN (Virtual Private Network) est l'un des moyens de transiter vos communications en ligne à travers un autre serveur en toute sécurité.

    Cyanogenmod propose également un mode de navigation incognito dans lequel l'historique de vos communications n'est pas enregistré sur votre smartphone.

    Cyanogenmod est livré avec de nombreuses autres fonctionnalités. Toutefois, il n'est pas compatible avec tous les appareils Android, donc avant de commencer, consultez la liste des appareils compatibles.

    Chiffrement de volumes entiers

    Si votre téléphone est rooté, vous pouvez envisager de chiffrer l'intégralité des données stockées ou de créer un volume sur le smartphone pour protéger certaines informations sur le téléphone.

    Luks Manager permet un chiffrement à la volée simple et solide de volumes avec une interface conviviale. Nous vous recommandons fortement d'installer cet outil avant de commencer à stocker des données importantes sur votre appareil Android et d'utiliser les volumes chiffrés que Luks Manager fournit pour stocker toutes vos données.

    Le projet Whisper Systems est en train de développer l'application WhisperCore qui permettra le chiffrement complet de votre appareil Android.

    Réseau Privé Virtuel (virtual private network VPN)

    Un VPN fournit un tunnel chiffré à travers Internet entre votre appareil et un serveur VPN. On parle de tunnel parce que contrairement à d'autres trafics chiffrés, comme https, il cache tous les services, protocoles et contenus. Une connexion VPN est configurée une fois et n'est résiliée que lorsque vous en décidez.

    Notez que depuis que votre trafic passe par le serveur proxy ou VPN, un intermédiaire a seulement besoin d'accéder au proxy pour analyser vos activités. Par conséquent, il est important de bien choisir parmi les services proxy et VPN. Il est également conseillé d'utiliser différents proxies et/ou VPNs car le fait de répartir vos flux de données réduit les conséquences d'un service compromis.

    Nous recommandons d'utiliser le serveur RiseUp VPN. Vous pouvez utiliser RiseUp VPN sur un appareil Android après avoir installé Cyanogenmod (voir ci-dessus). Il est également facile d'établir la connexion à RiseUp VPN sur l'iPhone - en savoir plus ici.