Il est assez fréquent d’entendre parler de compromission de smartphones aujourd’hui : ces intrusions permettent d’accéder aux données qui sont stockées sur le téléphone, ou d’y implanter un logiciel espion. Aujourd’hui, c’est en fait la complexité des smartphones qui les rend si vulnérables aux intrusions (architecture, fonctionnement) et si difficiles à sécuriser complètement d’un point de vue technique.
Le scandale Pegasus a révélé en 2021 au grand public que des intrusions ou attaques de téléphones peuvent se faire à distance, quand elles ont été utilisées contre des journalistes (de Mediapart notamment) pour le compte de gouvernements étrangers. Même Jeff Besos, le CEO d’Amazon, aurait été piraté à distance par une simple vidéo envoyée via la messagerie WhatsApp.
À l’inverse, l’exploitation de failles dans des téléphones sécurisés destinés aux criminels permet aussi aux forces de l’ordre de démanteler d’importants réseaux criminels – c’est le cas par exemple dans l’affaire EncroChat dont les procès sont en cours.
Ces exemples illustrent la tension permanente entre le besoin d’accéder aux données protégées pour des enquêtes menées afin de protéger des citoyens, et le besoin de protéger les citoyens contre les abus de ces accès. Alors, faut-il sécuriser au maximum les téléphones d’un point de vue technique, ou au contraire aménager des « portes dérobées » pour les services de police et de renseignement ?
Qui a – et aura – le droit de pénétrer dans les smartphones ?
En France, le code de procédure pénale et le code de la sécurité intérieure autorisent respectivement les services de police judiciaire et les services de renseignement à capter les données informatiques, c’est-à-dire à récupérer des informations telles qu’elles apparaissent sur l’écran d’une personne (ou sur des périphériques externes), sans qu’elle en soit…
La suite est à lire sur: theconversation.com
Auteur: Aurélien Francillon, Professeur en sécurité informatique, EURECOM, Institut Mines-Télécom (IMT)

