Protéger ses données personnelles sur un téléphone mobile

Le secteur de la téléphonie et celui des données personnelles sont des domaines très mouvants, où les avancées technologiques sont quotidiennes. L’essor de nouvelles applications (par ex. : Pokémon Go), de nouveaux modes de communications (par ex. : Snapchat), voire de nouveaux modèles économiques (par ex. : Uber), rendent la protection des données personnelles, liées à ces nouvelles technologies, très complexe. Et la tendance ne s’oriente pas vers une stabilisation du marché.

Dans ce monde ultraconnecté et ouvert, la protection des données personnelles est devenue un enjeu important. La renommée de Telegram, cette application qui propose à ses utilisateurs un chiffrement de ses communications, en est la parfaite illustration, malgré son utilisation controversée. La polémique, concernant l’accès aux données de terminaux iPhone de terroristes aux États-Unis, est une autre illustration de la complexité de cet enjeu. En termes de données personnelles, les notions de protection et de confidentialité peuvent être également remises en cause lorsque les données sont hébergées à l’étranger, impliquant donc la confrontation de plusieurs législations internationales en cas de litige.

Trois menaces pour l’utilisateur

Partant de ces problématiques globales, nos travaux de recherche ont été circonscrits aux problématiques des usages individuels et nous avons ainsi identifié trois types de menaces majeures pour un utilisateur de smartphone.

Une des premières menaces est celle issue des réseaux et des connexions, qui, face au besoin de l’ultraconnectivité, rend notre terminal mobile vulnérable aux attaques extérieures. Comment sécuriser sa maison si nous laissons nos fenêtres et portes grandes ouvertes ? Ici se pose donc la dualité entre le tout ouvert et la pleine maîtrise de la transmission de ses données.

Une autre menace réside dans les applications ou les systèmes d’exploitation que nous installons sur nos mobiles. Quelle confiance pouvons-nous avoir envers ces services bien souvent gratuits auxquels nous fournissons gracieusement notre localisation, l’accès à nos photos ou voire même la gestion de fonctionnalités de notre smartphone (appareil photo, liste des appels, microphone, écriture de SMS…).

Comment répondre à un besoin, souvent immédiat (nouvelle application, géolocalisation…) et conserver le contrôle de sa vie numérique ?

Il convient d’ajouter la menace de l’utilisateur lui-même qui, par distraction, va égarer son téléphone dans le train, rendant ainsi accessible à un tiers une grande partie de sa vie numérique. Ou encore un individu, qui va se connecter sur sa messagerie électronique, dans un terminal aéroportuaire public et oublier de se déconnecter. L’utilisateur, lui-même est une menace importante pour sa propre vie numérique, et ici encore la question du tout accessible et de la centralisation de sa vie numérique peut être remise en cause.

Via ces exemples récents, ainsi qu’à travers nos études approfondies, nous constatons qu’aucune solution technique ne s’impose afin de sécuriser ses données personnelles : cela implique également des problématiques éthiques et morales. Malgré ces limitations globales et les menaces individuelles, nous nous sommes penchés sur les solutions d’aide et d’accompagnement de l’utilisateur dans la sécurisation de sa vie numérique.

Pédagogie et responsabilisation de l’utilisateur

Afin de couvrir ces menaces nouvelles, le marché de la cyberassurance reste principalement dédié au monde professionnel pour des raisons de valorisation et d’accessibilité financière. Une donnée professionnelle peut être par exemple valorisée en jour/homme, à l’inverse des données personnelles, pour lesquelles il devient plus difficile de valoriser une photo prise par quelqu’un. Une photo d’un chien n’aura pas la même valeur pour son propriétaire, que pour une personne lambda. À titre d’exemple, si nous comparons la valorisation des données d’un compte Whatsapp rapporté à son prix d’achat par Facebook, les données seraient valorisées à 30 $ pour chaque utilisateur.

Nous observons donc des écarts considérables concernant la notion de valeur d’une donnée personnelle, selon les différents points de vue, ce qui laisse à penser que le risque est encore trop
récent afin de pouvoir être couvert par des offres de cyberassurance à destination des particuliers.

Cependant la solution immédiate ne réside peut-être pas dans la cyberassurance, et des moyens alternatifs peuvent être imaginés afin d’atteindre la maturité nécessaire aux cyberassurances. Au travers de notre étude complète, nous avons pu démontrer l’efficacité d’une action afin de réduire les risques liés aux vols de données personnelles : la sensibilisation. Plus que jamais, une image a plus de poids que les mots, et la sensibilisation personnalisée a le grand avantage de pouvoir adresser directement et individuellement chacun d’entre nous. Avec l’application LoupApps, chaque utilisateur analyse, à son échelle, l’utilisation de ses données personnelles par l’ensemble des applications présentent sur son smartphone. Ce type de sensibilisation contribue à une prise de conscience de la nécessaire protection de sa vie numérique et replace l’utilisateur comme acteur et décideur, au cœur de son univers connecté. Savoir que Facebook peut accéder au contenu des messages envoyés à mes parents, ou puisse consulter mes photos, ou même prendre des photos sans mon intervention, peut paraître beaucoup plus intrusif et éducatif lorsque cette possibilité est illustrée par la photo de mon chien, ou mon dernier SMS plutôt qu’une simple liste théorique.

Grace à des alternatives comme LoupApps l’utilisateur peut prendre conscience des risques encourus pour sa vie numérique, et ainsi en limiter et contrôler sa diffusion.

À noter que les récentes mises à jour d’Android (possibilité de personnaliser les autorisations accordées aux applications), ou encore l’éclosion d’applications telles que LoupApps, semblent indiquer la prise en considération de ces problématiques. Elles accordent aux utilisateurs davantage de droits sur le contrôle de leur vie numérique. Cependant cela n’est pas suffisant et ne permet pas de sensibiliser l’utilisateur aux bonnes pratiques. Alerter, sensibiliser, former et guider les utilisateurs dans la gestion de leur vie numérique afin de pouvoir en préserver l’intimité, reste un défi d’actualité.

http://www.preventique.org/Preventique_Securite/quel-modele-agricole-pour-la-france-156

[embeddoc url= »https://www.digitemis.com/wp-content/uploads/2018/01/Preventique-N°156-Janvier-2018.pdf » download= »all »]

Je partage

Derniers articles

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article

Angular, N’Tier et HttpOnly

Avec l’apparition au cours de la décennie 2010 des environnements de travail Javascript de plus en plus puissants, l’architecture N’Tiers, si elle était déjà une norme dans le contexte d’application d’entreprises au cours des années 2000, a pu voir son modèle s’étendre à de nombreuses solutions Web. Ce modèle repose sur l’utilisation de technologies exécutées par le navigateur. Or, il arrive parfois que cette couche doive gérer une partie de l’authentification de l’utilisateur, pourtant une recommandation courante sur l’authentification est qu’elle ne doit jamais être côté client. Aussi, les cookies devraient toujours posséder l’attribut HttpOnly, empêchant leur lecture par une couche Javascript et ce afin d’empêcher tout vol de session lors d’une attaque de type XSS. Pourtant, cet attribut empêche littéralement l’application front-end de travailler avec ces éléments. Comment gérer au mieux ces questions sur ce type de déploiement ?

Lire l'article