Les smartphones sont des outils essentiels. Ils représentent également un risque pour la sécurité et la confidentialité. Dans le contexte actuel de surveillance et de menaces croissantes, marqué par les cyberattaques opportunistes, le pistage des entreprises et la surveillance gouvernementale intrusive, verrouiller son téléphone est judicieux et souvent nécessaire. Voici les stratégies que j’ai utilisées et que je recommande.
Que vous voyagiez à l’étranger, participiez à une manifestation, assistiez à la DEF CON ou que vous cherchiez simplement à protéger vos données privées des pirates informatiques et des géants de la technologie, il est temps de revoir le niveau de sécurité de votre téléphone.
1-Évaluez votre environnement de menaces
Tout le monde n’est pas exposé au même niveau de risque. Un journaliste itinérant, un militant politique et un utilisateur occasionnel font face à des menaces potentielles différentes. Commencez par identifier ce que vous devez protéger et qui pourrait tenter d’y accéder.
Comme l’explique l’Electronic Frontier Foundation, votre modèle de menaces doit guider chacune de vos décisions en matière de sécurité. Votre appareil pourrait être fouillé si vous traversez une frontière. Les forces de l’ordre pourraient tenter d’accéder à vos communications si vous participez à une manifestation. Même si vous ne faites rien de mal, le risque d’exposition lié à la collecte régulière de données d’entreprise est réel.
Avant de mettre en œuvre des mesures de sécurité, identifiez les menaces les plus pertinentes pour votre situation :
- Les agences gouvernementales disposent de pouvoirs légaux considérables pour fouiller les appareils, notamment aux frontières. Le service des douanes et de la protection des frontières des États-Unis peut effectuer des fouilles de base sans soupçon, mais des recherches plus approfondies peuvent nécessiter un soupçon raisonnable d’acte répréhensible.
- Les capacités des forces de l’ordre varient considérablement. Certaines agences utilisent des outils sophistiqués, comme Cellebrite, capables d’extraire des données même à partir d’appareils verrouillés. Ces outils sont de plus en plus accessibles aux petits services et aux entités privées.
- Les entreprises peuvent être à la recherche de propriété intellectuelle ou de renseignements commerciaux. Cette menace s’accroît lors de déplacements dans des régions connues pour l’espionnage industriel ou lors de la participation à des événements sectoriels.
- Les acteurs criminels ciblent les informations financières, les identifiants et les données personnelles à des fins de fraude ou d’extorsion. Les criminels utilisent des méthodes de plus en plus sophistiquées pour extraire des données précieuses des appareils volés.
- Les individus cherchant à accéder à vos données représentent une menace personnelle. Ces cas nécessitent souvent des plans de protection spécifiques si l’adversaire connaît vos informations ou vos habitudes.
Comprendre vos risques spécifiques vous aide à prioriser les mesures de protection appropriées.
2-Restez discret
Bien que cela ne constitue pas une stratégie de sécurité complète, rester discret constitue une première couche de défense précieuse. Suivez ces étapes :
Utilisez une coque de téléphone basique. Le choix et l’apparence de l’appareil sont importants ; choisissez une coque simple, sans étiquette ni affiliation. Envisagez d’utiliser un appareil qui ne signale pas immédiatement sa valeur ou son importance.
Protégez vos appareils. Votre stratégie de transport doit minimiser la visibilité et l’accessibilité. Rangez vos appareils dans des poches intérieures ou des sacs antivol spéciaux, en particulier dans les zones à haut risque.
Pensez à utiliser un appareil leurre. Utiliser un téléphone secondaire « propre » avec un minimum d’informations personnelles pour un usage public ou aux frontières peut être une stratégie efficace dans les situations à haut risque. Certains chercheurs en sécurité recommandent cette approche pour les voyages internationaux, soulignant que vous pouvez souvent emporter votre carte SIM et acheter une carte à usage unique à destination, selon votre destination.
Limitez les comportements qui attirent l’attention dans les espaces publics. Utilisez des écrans de confidentialité pour éviter les regards indiscrets par-dessus votre épaule. Evitez d’accéder à des comptes sensibles sur les réseaux publics sans protection.
Soyez attentif aux tentatives d’ingénierie sociale de la part d’individus qui pourraient vous approcher avec des demandes apparemment innocentes de prêt de votre téléphone. Ces interactions peuvent servir de prétexte au vol ou à l’installation de logiciels malveillants.
Ces précautions peuvent paraître excessives au quotidien, mais elles deviennent cruciales lorsque l’on évolue dans des environnements à haut risque ou lorsqu’une surveillance ciblée est possible.
3-Nettoyez votre téléphone
Adoptez une hygiène numérique régulière pour minimiser la vulnérabilité en cas d’accès à votre appareil.
Par exemple, vérifiez et supprimez régulièrement les applications inutiles, en particulier celles qui ont accès à des données sensibles. L’Electronic Frontier Foundation recommande de supprimer les photos, messages et courriels sensibles inutiles avant de vous lancer dans des situations à haut risque.
Vous devriez également appliquer des principes de minimisation des données. Stockez uniquement ce dont vous avez besoin sur votre appareil et transférez les fichiers sensibles vers un stockage chiffré avant de les supprimer de votre téléphone.
Revoyez également les méthodes d’authentification pour vos applications les plus critiques.
Si l’accès biométrique (empreinte digitale/déverrouillage facial) est pratique, il peut être utilisé pour accéder à votre téléphone sans votre consentement. En cas de situation délicate, désactivez la biométrie et utilisez des mots de passe forts, impossibles à obtenir physiquement. Ceci est particulièrement important lors des déplacements transfrontaliers ; Comme l’a récemment souligné AP News, « un agent des frontières pourrait simplement tenir votre téléphone devant le visage ou vous forcer à appuyer votre doigt dessus.»
Vous devez également effacer régulièrement les données de votre navigateur, notamment l’historique, les cookies et les données en cache. Je vous suggère d’utiliser le mode de navigation privée lorsque vous accédez à des informations sensibles.
Une autre mesure à prendre consiste à activer les fonctionnalités de sécurité au niveau des applications, lorsqu’elles sont disponibles, comme le verrouillage par code PIN, les déconnexions automatiques et les options de stockage chiffré. Vérifiez également vos paramètres de synchronisation cloud. De nombreuses applications téléchargent silencieusement des données vers des services cloud. Vérifiez les informations que votre appareil sauvegarde automatiquement et désactivez la synchronisation pour les contenus sensibles.
4-Passez en revue votre présence sur les réseaux sociaux
Effectuez des audits de confidentialité sur toutes les plateformes. Vérifiez et limitez les paramètres de visibilité des publications, photos, listes d’amis et informations personnelles.
Utilisez les outils de la plateforme pour supprimer ou archiver les anciennes publications contenant des informations sensibles, des schémas de localisation ou des données personnelles.
Supprimez les métadonnées des photos et vidéos avant de les partager. La plupart des images numériques contiennent des données EXIF contenant des coordonnées de localisation précises et des informations sur l’appareil.
Contrôlez les paramètres de reconnaissance faciale et d’identification. Configurez les plateformes pour qu’elles exigent votre autorisation avant que d’autres personnes ne puissent vous identifier dans du contenu.
Vérifiez les applications connectées qui ont accès à vos comptes de réseaux sociaux. Les applications tierces que vous avez autorisées il y a des années peuvent conserver l’accès à vos données.
Mettez en place une authentification forte sur tous les comptes. Privilégiez l’authentification à deux facteurs avec les applications d’authentification plutôt que les SMS, et utilisez des mots de passe uniques pour chaque plateforme.
Envisagez une désactivation stratégique pendant les périodes à haut risque. La plupart des plateformes autorisent la désactivation temporaire sans suppression définitive du compte.
Évaluez la sécurité des messages sur les plateformes sociales. Les messages directs standard des réseaux sociaux offrent rarement un chiffrement de bout en bout par défaut. Migrez les conversations sensibles vers des applications de messagerie sécurisées.
5-Minimisez votre bagage numérique
Déconnectez-vous des comptes inutiles, supprimez les fichiers sensibles et évitez de synchroniser des sauvegardes cloud complètes. Pensez à utiliser un « téléphone de voyage », un appareil secondaire contenant uniquement les applications et données essentielles.
Il est également judicieux de supprimer les réseaux Wi-Fi et les appairages Bluetooth enregistrés. Désinstallez les extensions de navigateur et désactivez les téléchargements automatiques.
6-Utilisez des applications de communication sécurisées
Les SMS classiques ne sont pas chiffrés. Privilégiez plutôt les applications de chiffrement de bout en bout pour protéger vos appels, messages et métadonnées.
Signal propose une messagerie et des appels sécurisés et open source. Journalistes, chercheurs et militants du monde entier lui font confiance. Matrix (via Element) est un protocole décentralisé de messagerie sécurisée. Utile pour les discussions de groupe, Proton peut être auto-hébergé pour un contrôle maximal. Proton est une suite d’outils de confidentialité comprenant des courriels chiffrés, un calendrier, un stockage de fichiers et un VPN, tous conçus pour garantir une confidentialité optimale aux utilisateurs.
7-Utiliser la Protection Avancée des Données
Apple et Google ont adopté des approches très différentes, mais curieusement de plus en plus convergentes, du chiffrement de bout en bout.
La Protection Avancée des Données d’Apple, introduite pour iCloud, étend le chiffrement à presque toutes les catégories de données utilisateur, y compris les sauvegardes d’appareils, les messages iCloud et les photos, garantissant ainsi que seul l’utilisateur détient les clés de déchiffrement.
La fonctionnalité similaire de Google pour les sauvegardes Android et Google One permet également le chiffrement côté client, ce qui signifie que même Google ne peut pas accéder au contenu utilisateur stocké dans le cloud.
Si les implémentations diffèrent en profondeur, la direction est claire : les deux géants de la technologie évoluent vers un avenir où ce sont les utilisateurs, et non les entreprises, qui contrôlent l’accès à leurs informations numériques les plus sensibles. Cette évolution, bien qu’elle soit bénéfique pour la confidentialité, soulève des questions complexes quant à l’accès légal et à l’équilibre entre sécurité des utilisateurs et sécurité publique.
Pour la plupart des personnes, des gestes simples comme des mots de passe forts, une gestion rigoureuse des applications et des pratiques réfléchies sur les réseaux sociaux constituent une bonne hygiène numérique. Ceux qui sont confrontés à des risques plus élevés doivent mettre en œuvre des stratégies plus complètes.