Les conseils d'un hacker pour protéger vos données personnelles

Le hacker français Baptiste Robert, plus connu sous le pseudonyme Elliot Alderson, a pris pour habitude de traquer les failles de sécurité des services Web les plus populaires, avant de les exposer sur Twitter. A son actif, la découverte de vulnérabilités sur un ancien modèle de smartphones OnePlus, sur la gigantesque base de données biométriques indienne Aadhaar et, plus récemment, sur l’application de messagerie confidentielle lancée par le gouvernement français, Tchap. Il revient sur la faille d'ampleur de l'application de messagerie WhatsApp, récemment découverte, ainsi que sur le cas de Huawei, dont la vente des smartphones en Europe pourrait être remise en cause.

BFM Tech: Après avoir découvert une faille d'ampleur, WhatsApp a invité ses utilisateurs à faire une mise à jour d'urgence. A quel point faut-il, ou non, se méfier de cette application ?

Baptiste Robert: Ce qu’il faut comprendre au sujet de la faille révélée sur WhatsApp, et exploitée par NSO Group, c’est qu’il s’agit d’une vulnérabilité dite "zero day", l’équivalent d’un Saint Graal de la faille. Elle est techniquement très sophistiquée et vaut surtout très cher. En l’occurrence, elle permettait de compromettre un smartphone à distance, sans aucune action de la part de la cible, si ce n’est le fait de recevoir un appel sur WhatsApp. Pour un hacker, c’est une aubaine ! D’où la nécessité de rester discret, pour ne pas l’exposer au grand jour.

Les failles de ce type sont ainsi bien souvent utilisées pour cibler des victimes en particulier, dont des avocats, journalistes, activistes ou encore opposants politiques. Monsieur et madame tout le monde utilisaient WhatsApp avant, et peuvent continuer à l’utiliser maintenant, en faisant la mise à jour. Pour compromettre leur téléphone, il existe de toute manière des moyens plus simples, et moins chers.

Que sait-on des activités du NSO Group, la société israélienne qui exploitait jusqu'à présent cette faille ? 

Nous possédons très peu d'informations détaillées. La faille a été repérée par un avocat qui a remarqué sur son téléphone des appels WhatsApp provenant de Suède, alors qu'il n'avait aucune raison d'en recevoir. Il a fait remonter cette découverte au groupe de recherche canadien Citizen Lab, l'un des rares à s'être penché sur NSO Group.

L'an passé, Amnesty International a indiqué avoir été victime d'une tentative d'infiltration, via un logiciel malicieux. Le logiciel de surveillance de NSO Group avait également été repéré à l'époque. L'attaque était déjà passée par WhatsApp. 

La découverte de cette faille, combinée aux multiples scandales liés à l'exploitation des données personnelles par Facebook, peut donner le sentiment d'être condamné à renoncer à sa vie privée en ligne. Vers quels services Web se tourner pour protéger ses conversations ?

La référence en la matière est vraiment Signal. Il s'agit d'une application dont le code est en open source, et qui peut donc être auditée régulièrement. Par ailleurs, elle n'a pas été victime de piratage à ce jour, ou du moins pas publiquement. WhatsApp ne donne pas accès à son code et reste détenue par Facebook, ce qui laisse planer un doute sur la façon dont elle exploite les métadonnées des appels et messages de ses utilisateurs. Telegram ne laisse à disposition des développeurs qu'une partie de son code et a l'inconvénient d'être russe, ce qui peut susciter de la méfiance. Aux côtés de ces applications populaires, Wire est une bonne alternative, qui commence à émerger petit à petit. 

Vous avez à votre actif d'avoir découvert une faille sur un smartphone de la marque OnePlus, qui permettait d'accéder au contenu des téléphones ciblés. Y a-t-il des téléphones à éviter à tout prix, si l'on souhaite accorder une attention particulière au respect de sa vie privée?

En matière de sécurité, il faut oublier les recettes miracle. Un téléphone à petit budget peut très bien faire l'affaire, si l'on n'a pas de besoin particulier lié à la protection des données. En revanche, si l'on a quelques doutes et la volonté de protéger les informations qui transitent sur son smartphone, il faut miser sur un budget plus élevé, dans les 600 à 700 euros. L'habitude de bénéficier de services gratuits est aujourd'hui bien ancrée mais la qualité se paie.

En dehors d'Apple, les smartphones à préconiser sont ceux qui se rapprochent le plus de la version initiale d'Android. Il s'agit aujourd'hui des Pixels, anciennement Nexus, sortis par Google. Viennent ensuite les OnePlus ou encore les Samsung. Je me tiendrais plus à l'écart de Huawei en raison de leur historique (des soupçons de proximité avec le gouvernement chinois, ndlr.) et du peu de considération pour la donnée et de la façon de la stocker que j'ai pu observer chez eux. 

Ce qu’il faut comprendre, c’est que tous les téléphones sont principalement conçus en Chine, bien souvent dans la même ville, Shenzen. Cela vaut aussi bien pour le hardware, à savoir l'objet physique que l'on achètera, que pour le firmware, soit l'ensemble des solutions logicielles qui y seront installées. Ne règne pas en Chine exactement la même culture de la vie privée que dans les pays occidentaux. Sauf que cette culture en vient à infuser dans nos téléphones. Tout l'enjeu est finalement là, même si certains progrès sont à saluer.