Recommandation de l'ANSSI pour augmenter la sécurité de votre téléphone mobile

L'ANSSI vient de publier un document qui présent les différents vecteurs techniques exploités par les attaquants pour compromettre des téléphones mobiles, ainsi que dresser une vue d’ensemble sur les menaces pesant sur les utilisateurs en fournissant des exemples concrets d’attaques conduites en France ou à l’étranger. Des recommandations de sécurité à destination des utilisateurs accompagnent cet état de la menace.

(cliquez sur la miniature ci-dessous - le document est au format PDF)


Il est recommandé de verrouiller la carte SIM avec un code PIN et changer celui par défaut. En effet, une carte SIM verrouillée et protégée par un code PIN ne peut pas être utilisée dans un équipement alternatif, ce qui limite la capacité d’un attaquant à récupérer des codes d’authentification à 2 facteurs (2FA).

Une autre recommandation est de désactiver la réception automatique des messages de type MMS, afin d’éviter le traitement de ces derniers sans action de l’utilisateur.

Faire un arrêt complet du téléphone régulièrement. Il permet de fermer tous les processus et de supprimer tout logiciel s’exécutant uniquement en mémoire comme les logiciels espions sans persistance. Lors du démarrage du téléphone, ces derniers ne pourront être exécutés. Cependant, la disparition du logiciel espion ne prémunit pas d’une réinfection par le même vecteur précédemment utilisé.
Attention, il faut éteindre puis rallumer son téléphone sans utiliser la fonctionnalité de redémarrage. Certains logiciels espions parviennent à simuler un redémarrage du téléphone pour leurrer l’utilisateur.

Éteindre complètement son téléphone lorsqu’il est impératif de s’en séparer. En effet, lors du démarrage, de nombreuses fonctionnalités sont désactivées tant que le téléphone n’a pas été déverrouillé une première fois, réduisant ainsi la surface d’attaque.

Désinstaller ou désactiver les applications qui ne sont plus utilisées ou utilisées de manière ponctuelle (applications de voyage, liées à des évènements, jeux, réseaux sociaux, etc.). Ces dernières constituent une surface d’attaque inutile sur l’équipement mobile.

Il y a également les recommandations classiques concernant l’hameçonnage :
• Ne pas cliquer sur des liens ou ouvrir les fichiers présents dans des messages non sollicités. En cas de doute, il convient de vérifier la légitimité du message via un autre canal que celui par lequel a été reçu le message.
• Être vigilant lors de l’ouverture de lien transmis via des QR codes. Les QR codes ne permettent pas d’identifier visuellement la destination d’un lien et peuvent être utilisés par des criminels pour rediriger vers des ressources malveillantes.

Pour les QR code ça évolue.
Sur un téléphone récent, cela devrait montrer le lien derrière :

Une autre recommandation est de désactiver la réception automatique des messages de type MMS, afin d’éviter le traitement de ces derniers sans action de l’utilisateur.

D'ailleurs ça, je le recommande aussi systématiquement à l'étranger (hors UE), car contrairement aux SMS, les MMS sont surtaxés. Même quand il n'y a rien d'autres que du texte (et souvent un lien), j'ai eu le cas, au mois de novembre, j'ai reçu sans action de ma part une c*nnerie de spam en vue d'escroquerie, que du texte et un lien (frauduleux), j'ai pensé à un SMS, mais quelques jour après j'ai vu que j'avais quelques euros de hors forfait, liés à la réception d'un MMS tel jour. C'était ce message, et je me suis dit que c'était tout de même assez abusif, et qu'un acte de malveillance serait de saturer la ligne de la personne à l'étranger avec des MMS au format texte pur et ainsi lui faire une facture de plusieurs dizaines d'euros sans qu'il ne puisse faire grand chose, à part comprendre qu'il s'agit de MMS, de savoir où chercher dans son téléphone et de les désactiver.