En février, nous avons publié l'article « Pas de VPN seul. Un aide-mémoire sur la façon de vous protéger et de protéger vos données." nous a incité à écrire une suite à l'article. Cette partie est une source d’informations totalement indépendante, mais nous vous recommandons tout de même de lire les deux articles.
Un nouvel article est consacré à la question de la sécurité des données (correspondance, photos, vidéos, c'est tout) dans les messageries instantanées et dans les appareils eux-mêmes utilisés pour travailler avec les applications.
Messagers
Telegram
En octobre 2018, Nathaniel Sachi, étudiant de première année au Wake Technical College, a découvert que le messager Telegram enregistre les messages et les fichiers multimédias sur le disque de l'ordinateur local en texte clair.
L'étudiant a pu accéder à sa propre correspondance, y compris des textes et des images. Pour ce faire, il a étudié les bases de données applicatives stockées sur le disque dur. Il s’est avéré que les données étaient difficiles à lire, mais pas cryptées. Et ils sont accessibles même si l'utilisateur a défini un mot de passe pour l'application.
Dans les données reçues, les noms et numéros de téléphone des interlocuteurs ont été trouvés, qui, si on le souhaite, peuvent être comparés. Les informations des discussions fermées sont également stockées en format clair.
Durov a déclaré plus tard que ce n'était pas un problème, car si un attaquant avait accès au PC de l'utilisateur, il serait en mesure d'obtenir des clés de cryptage et de décrypter toute la correspondance sans aucun problème. Mais de nombreux experts en sécurité de l’information affirment que cela reste grave.
De plus, Telegram s'est révélé vulnérable à une attaque de vol de clé, qui Utilisateur Habr. Vous pouvez pirater des mots de passe de code local de n'importe quelle longueur et complexité.
À notre connaissance, ce messager stocke également les données sur le disque de l'ordinateur sous forme non cryptée. Par conséquent, si un attaquant a accès à l’appareil de l’utilisateur, toutes les données sont également ouvertes.
Mais il existe un problème plus global. Actuellement, toutes les sauvegardes de WhatsApp installées sur les appareils dotés du système d'exploitation Android sont stockées dans Google Drive, comme Google et Facebook l'ont convenu l'année dernière. Mais les sauvegardes de la correspondance, des fichiers multimédias, etc. . Pour autant qu'on puisse en juger, les agents chargés de l'application des lois des mêmes États-Unis , il est donc possible que les forces de sécurité puissent consulter toutes les données stockées.
Il est possible de chiffrer les données, mais les deux sociétés ne le font pas. Peut-être simplement parce que les sauvegardes non cryptées peuvent être facilement transférées et utilisées par les utilisateurs eux-mêmes. Très probablement, il n'y a pas de cryptage, non pas parce qu'il est techniquement difficile à mettre en œuvre : au contraire, vous pouvez protéger les sauvegardes sans aucune difficulté. Le problème est que Google a ses propres raisons de travailler avec WhatsApp - probablement l'entreprise et les utilise pour afficher des publicités personnalisées. Si Facebook introduisait soudainement le cryptage des sauvegardes WhatsApp, Google se désintéresserait instantanément d’un tel partenariat, perdant ainsi une précieuse source de données sur les préférences des utilisateurs de WhatsApp. Bien entendu, ce n’est qu’une hypothèse, mais très probable dans le monde du marketing de haute technologie.
Quant à WhatsApp pour iOS, les sauvegardes sont enregistrées sur le cloud iCloud. Mais ici aussi, les informations sont stockées sous forme non cryptée, ce qui est indiqué même dans les paramètres de l'application. Seule l'entreprise elle-même sait si Apple analyse ces données ou non. Certes, Cupertino ne dispose pas d'un réseau publicitaire comme Google, nous pouvons donc supposer que la probabilité qu'ils analysent les données personnelles des utilisateurs de WhatsApp est bien moindre.
Tout ce qui a été dit peut être formulé ainsi : oui, vous n'êtes pas le seul à avoir accès à votre correspondance WhatsApp.
TikTok et autres messagers
Ce service de partage de courtes vidéos pourrait devenir populaire très rapidement. Les développeurs ont promis d'assurer une sécurité totale des données de leurs utilisateurs. Il s’est avéré que le service lui-même a utilisé ces données sans en informer les utilisateurs. Pire encore, le service collectait des données personnelles sur des enfants de moins de 13 ans sans le consentement des parents. Les informations personnelles des mineurs – noms, e-mails, numéros de téléphone, photos et vidéos – ont été rendues publiques.
Service pour plusieurs millions de dollars, les régulateurs ont également exigé la suppression de toutes les vidéos réalisées par des enfants de moins de 13 ans. TikTok s'est conformé. Cependant, d’autres messageries et services utilisent les données personnelles des utilisateurs à leurs propres fins, vous ne pouvez donc pas être sûr de leur sécurité.
Cette liste peut être continuée à l'infini - la plupart des messageries instantanées ont l'une ou l'autre vulnérabilité qui permet aux attaquants d'écouter les utilisateurs ( — Viber, même si tout semble y avoir été réparé) ou voler leurs données. De plus, presque toutes les applications du top 5 stockent les données utilisateur sous une forme non protégée sur le disque dur de l'ordinateur ou dans la mémoire du téléphone. Et c'est sans compter les services de renseignement de différents pays, qui peuvent avoir accès aux données des utilisateurs grâce à la législation. Les mêmes Skype, VKontakte, TamTam et autres fournissent toute information sur tout utilisateur à la demande des autorités (par exemple, la Fédération de Russie).
Une bonne sécurité au niveau protocolaire ? Pas de problème, on casse l'appareil
Несколько лет назад entre Apple et le gouvernement américain. La société a refusé de déverrouiller un smartphone crypté impliqué dans les attentats terroristes de la ville de San Bernardino. À l’époque, cela semblait être un réel problème : les données étaient bien protégées et pirater un smartphone était soit impossible, soit très difficile.
Maintenant, les choses sont différentes. Par exemple, la société israélienne Cellebrite vend à des personnes morales en Russie et dans d'autres pays un système logiciel et matériel qui permet de pirater tous les modèles d'iPhone et d'Android. L'année dernière, il y avait avec des informations relativement détaillées sur ce sujet.
L'enquêteur médico-légal de Magadan, Popov, pirate un smartphone en utilisant la même technologie que celle utilisée par le Federal Bureau of Investigation des États-Unis. Source : BBC
L'appareil est peu coûteux selon les normes gouvernementales. Pour UFED Touch2, le département de Volgograd du comité d'enquête a payé 800 1,2 roubles, le département de Khabarovsk - 2017 million de roubles. En XNUMX, Alexander Bastrykin, chef du Comité d'enquête de la Fédération de Russie, a confirmé que son département Entreprise israélienne.
Sberbank achète également de tels appareils - cependant, non pas pour mener des enquêtes, mais pour lutter contre les virus sur les appareils dotés du système d'exploitation Android. « Si des appareils mobiles sont suspectés d'être infectés par un code de logiciel malveillant inconnu, et après avoir obtenu le consentement obligatoire des propriétaires de téléphones infectés, une analyse sera effectuée pour rechercher de nouveaux virus émergents et changeants en permanence à l'aide de divers outils, notamment l'utilisation de UFED Touch2 », - en compagnie.
Les Américains disposent également de technologies qui leur permettent de pirater n’importe quel smartphone. Grayshift promet de pirater 300 smartphones pour 15 50 dollars (1500 dollars l'unité contre XNUMX XNUMX dollars pour Cellbrite).
Il est probable que les cybercriminels disposent également d’appareils similaires. Ces appareils sont constamment améliorés : leur taille diminue et leurs performances augmentent.
On parle désormais de téléphones plus ou moins connus de grands constructeurs soucieux de protéger les données de leurs utilisateurs. Si nous parlons de petites entreprises ou d'organisations anonymes, dans ce cas, les données sont supprimées sans problème. Le mode HS-USB fonctionne même lorsque le chargeur de démarrage est verrouillé. Les modes de service sont généralement une « porte dérobée » par laquelle les données peuvent être récupérées. Sinon, vous pouvez vous connecter au port JTAG ou retirer complètement la puce eMMC, puis l'insérer dans un adaptateur peu coûteux. Si les données ne sont pas cryptées, depuis le téléphone tout en général, y compris les jetons d'authentification qui donnent accès au stockage cloud et à d'autres services.
Si quelqu’un a un accès personnel à un smartphone contenant des informations importantes, il peut le pirater s’il le souhaite, quoi qu’en disent les fabricants.
Il est clair que tout ce qui a été dit s'applique non seulement aux smartphones, mais également aux ordinateurs et ordinateurs portables exécutant différents systèmes d'exploitation. Si vous ne recourez pas à des mesures de protection avancées, mais vous contentez de méthodes conventionnelles telles qu'un mot de passe et un login, les données resteront en danger. Un pirate informatique expérimenté ayant un accès physique à l'appareil pourra obtenir presque toutes les informations - ce n'est qu'une question de temps.
Alors que faire?
Chez Habré, la question de la sécurité des données sur les appareils personnels a été soulevée à plusieurs reprises, nous ne réinventerons donc pas la roue. Nous indiquerons uniquement les principales méthodes qui réduisent la probabilité que des tiers obtiennent vos données :
- Il est obligatoire d’utiliser le cryptage des données aussi bien sur votre smartphone que sur votre PC. Différents systèmes d'exploitation offrent souvent de bonnes fonctionnalités par défaut. Exemple - conteneur crypto sous Mac OS à l'aide d'outils standard.
- Définissez des mots de passe n'importe où et n'importe où, y compris l'historique de la correspondance dans Telegram et autres messageries instantanées. Naturellement, les mots de passe doivent être complexes.
- Authentification à deux facteurs - oui, cela peut être gênant, mais si la sécurité passe avant tout, vous devez l'accepter.
- Surveillez la sécurité physique de vos appareils. Emmener un ordinateur d'entreprise dans un café et l'oublier là-bas ? Classique. Les normes de sécurité, y compris celles des entreprises, ont été rédigées avec les larmes des victimes de leur propre insouciance.
Examinons dans les commentaires vos méthodes pour réduire le risque de piratage de données lorsqu'un tiers accède à un appareil physique. Nous ajouterons ensuite les méthodes proposées à l'article ou les publierons dans notre , où nous écrivons régulièrement sur la sécurité, les astuces pour utiliser et la censure d'Internet.
Source: habr.com