Comment sécuriser les messages texte alors que le FBI met en garde contre les pirates chinois : NPR

Ce n’est pas souvent qu’un Un conseil du FBI déclenche une Vérification des faits Snopes. Mais le message urgent de l’agence ce mois-ci aux Américains, souvent résumé ainsi : «arrêter d’envoyer des SMS« , ont surpris de nombreux consommateurs.

L’avertissement du FBI et de la Cybersecurity and Infrastructure Security Agency (CISA) a mis en évidence les vulnérabilités des systèmes de messagerie texte que des millions d’Américains utilisent quotidiennement.

Les États-Unis pensent que des pirates informatiques affiliés au gouvernement chinois, surnommés Salt Typhoon, mènent une « vaste et importante campagne de cyberespionnage » pour infiltrer les télécommunications commerciales et voler les données des utilisateurs – et dans des cas isolés, pour enregistrer des appels téléphoniques, a déclaré un haut responsable du FBI qui a parlé aux journalistes sous couvert d’anonymat, lors d’un briefing téléphonique le 3 décembre.

Les nouvelles directives ont peut-être surpris les consommateurs, mais pas les experts en sécurité.

« Les gens parlent de choses comme celle-ci depuis des années dans la communauté de la sécurité informatique », a déclaré à NPR Jason Hong, professeur à la faculté d’informatique de l’université Carnegie Mellon. « Vous ne devriez pas vous fier à ce type de communications non cryptées pour cette raison précise : il pourrait y avoir des espions dans de nombreuses infrastructures. »

Alors, que devez-vous faire pour garder vos messages privés ?

« Le cryptage est votre ami » pour les SMS et les appels téléphoniques, a déclaré Jeff Greene, directeur adjoint exécutif de la CISA pour la cybersécurité, lors de la conférence de presse. « Même si l’adversaire est capable d’intercepter les données, si elles sont cryptées, il leur sera impossible, voire très difficile, de les détecter. Notre conseil est donc d’essayer d’éviter d’utiliser du texte brut. »

Grâce au cryptage complet de bout en bout, les entreprises technologiques rendent un message déchiffrable uniquement par son expéditeur et son destinataire, et non par quiconque d’autre, y compris l’entreprise. C’est par exemple le cas par défaut sur WhatsApp depuis 2016. Outre la promesse d’une plus grande sécurité, cela met les entreprises à l’abri des efforts de surveillance.

La bonne nouvelle pour les utilisateurs de téléphones Apple est que iMessage et FaceTime sont également déjà cryptés de bout en bout, explique Hong. Pour les téléphones Android, le cryptage est disponible dans Google Messages si les expéditeurs et les destinataires avoir la fonctionnalité activée.

Mais les messages envoyés entre iPhones et téléphones Android sont moins sécurisés. Le moyen le plus simple de garantir que vos messages sont protégés contre la surveillance est d’utiliser une application cryptée de bout en bout comme Signal ou WhatsAppdéclare Eva Galperin, directrice de la cybersécurité à l’Electronic Frontier Foundation (EFF). Avec ces applications, « vos communications sont cryptées de bout en bout à chaque fois », explique-t-elle.

Galperin met en évidence un autre danger : un pirate informatique qui a réussi à obtenir votre identifiant et votre mot de passe pour un site Web peut surveiller vos messages texte pour intercepter un mot de passe à usage unique utilisé dans l’authentification à deux facteurs (2FA).

« Il s’agit d’un risque de sécurité très sérieux », déclare Galperin. Elle recommande de recevoir des messages 2FA via une application comme Authentificateur Google ou Authentifié ou en utilisant un clé de sécurité physique pour vérifier l’accès.

Le FBI et la CISA conseillent également aux utilisateurs de configurer leur téléphone pour qu’il mette automatiquement à jour le système d’exploitation.

« La plupart des compromissions de systèmes n’impliquent pas l’exploitation de vulnérabilités que personne d’autre ne connaît », explique Galperin, ajoutant que « souvent, le fabricant du produit a en fait découvert quelle était la vulnérabilité, l’a corrigée et a publié un correctif. sous la forme d’une mise à jour de sécurité. »

Dans quelle mesure êtes-vous à risque ?

Vous devez connaître votre propre « modèle de menace », un concept fondamental en matière de sécurité informatique.

Hong dit que cela se résume à trois questions : qu’essayez-vous de protéger ? Dans quelle mesure est-ce important pour vous ? Et quelles mesures devez-vous prendre pour le protéger ?

Si les objets les plus précieux sur votre téléphone sont des photos de famille, dit-il, vous ne devriez probablement pas vous inquiéter des pirates étrangers qui vous ciblent. Mais que se passe-t-il si vous envoyez occasionnellement des SMS concernant des secrets nationaux ou d’entreprise ou des données politiquement sensibles ?

« Si vous êtes en affaires, si vous êtes journaliste, si vous êtes en contact avec des manifestants pour la démocratie à Hong Kong, à Shenzhen ou au Tibet, alors vous voudrez peut-être supposer que vos appels téléphoniques et vos SMS ne sont pas à l’abri du gouvernement chinois. « , dit Galperin de l’EFF.

Les acteurs malveillants tels que les cybercriminels peuvent avoir des objectifs différents, explique Hong, « mais si vous faites juste quelques choses relativement simples, vous pouvez réellement vous protéger contre la grande majorité de ce type de menaces ».

Que font les hackers ?

Le FBI et la CISA ont tiré la sonnette d’alarme deux mois après Le Wall Street Journal signalé que des pirates informatiques liés au gouvernement chinois ont pénétré dans des systèmes permettant aux forces de l’ordre américaines de mener des opérations de surveillance électronique dans le cadre du Communications Assistance for Law Enforcement Act (CALEA).

« Il s’agit d’écoutes téléphoniques légitimes autorisées par les tribunaux », explique Hong. Mais entre les mains des pirates, dit-il, ces outils pourraient potentiellement être utilisés « pour surveiller les communications et les métadonnées d’un grand nombre de personnes ». [hackers’] l’accent est principalement mis sur Washington, DC »

Le FBI affirme que l’attaque était bien plus large que le système CALEA et que les pirates informatiques continuent d’accéder aux réseaux de télécommunications. Les États-Unis travaillent depuis la fin du printemps à déterminer l’étendue de leurs activités. Ce mois-ci, l’administration Biden a déclaré qu’au moins huit sociétés d’infrastructures de télécommunications aux États-Unis, et peut-être davantage, avaient été piratées par des pirates chinois.

Les pirates ont volé une grande quantité de métadonnées, ont indiqué le FBI et la CISA. Dans beaucoup moins de cas, ont-ils déclaré, le contenu réel des appels et des SMS était ciblé.

Alors que les agences s’efforcent d’évincer les pirates informatiques, le FBI a appelé les Américains à adopter un cryptage strict – une volte-face, dit Galperin, après des années à insister sur le fait que les forces de l’ordre ont besoin d’une « porte dérobée » pour accéder aux communications.

Les agences souhaitent également que les entreprises renforcent leurs pratiques de sécurité et travaillent avec le gouvernement pour rendre leurs réseaux plus difficiles à compromettre.

« Les adversaires auxquels nous sommes confrontés sont tenaces et sophistiqués, et travailler ensemble est le meilleur moyen d’assurer l’expulsion », a déclaré le haut responsable du FBI lors du point de presse.

En ce qui concerne le risque pour les consommateurs quotidiens, des experts en sécurité comme Hong et Galperin affirment qu’avec de grandes quantités d’informations circulant entre nos téléphones, ils souhaitent que les gens reçoivent davantage d’aide pour se protéger.

« Je pense qu’il incombe vraiment aux développeurs de logiciels et à ces entreprises d’avoir une meilleure confidentialité et une meilleure sécurité par défaut », déclare Hong. « De cette façon, vous n’avez pas besoin d’un doctorat pour vraiment comprendre toutes les options et être en sécurité. »