La NSA dit aux utilisateurs d’iPhone et d’Android : redémarrez votre appareil maintenant
Mise à jour du 24 octobre 2024 : Cet article, initialement publié le 22 octobre, comprend des détails sur les nouvelles recommandations de sécurité émises par l’Agence américaine de cybersécurité et de sécurité des infrastructures, ainsi que des détails sur le programme Cyber Essentials du gouvernement britannique.
Les fans de comédie reconnaîtront peut-être « avez-vous essayé de l’éteindre et de le rallumer » de la sitcom britannique La foule informatique. Et si la National Security Agency demandait à tous les utilisateurs de smartphones de le faire ? Et plus précisément, si vous suivez ce conseil, serez-vous à l’abri des logiciels malveillants et des logiciels espions en 2024 et au-delà ?
La NSA l’éteint et le rallume, conseils pour les utilisateurs d’iPhone et d’Android
L’avertissement initial de la NSA a été publié dans un guide des meilleures pratiques en matière d’appareils mobiles en 2020. Si vous rencontrez des difficultés pour ouvrir le document PDF auquel le lien précédent vous amène, il existe un itinéraire alternatif vers le même document qui nécessite quelques clics supplémentaires, disponible à partir du Salle de presse de la NSA. Alors que les smartphones fonctionnant sur toutes les plates-formes de système d’exploitation deviennent une cible de plus en plus populaire pour les acteurs de la menace de tous types, la NSA a déclaré que « de nombreuses fonctionnalités offrent commodité et fonctionnalité mais sacrifient la sécurité » et a tenté de définir des étapes simples que même les plus non-utilisateurs. les utilisateurs techniques pourraient prendre pour mieux protéger leurs appareils et les données qui y sont stockées. Plus tôt cette année, j’ai rendu compte des conseils de la NSA, et cet article a continué à susciter une myriade de réponses jusqu’à ce jour. Des experts en sécurité et des utilisateurs de smartphones m’ont remercié d’avoir porté l’avertissement à leur attention et m’ont réprimandé pour ne pas avoir expliqué plus en détail ce contre quoi le redémarrage ne pouvait pas aider à protéger les gens. Bien entendu, toutes ces opinions sont valables et cet article est rédigé dans l’espoir d’apporter plus de précisions.
Commençons par dire que je n’ai que des éloges pour le document publié par la NSA ; non seulement les conseils sont sages, mais ils sont présentés de manière à être clairs pour tous les publics. Adoptant une approche picturale, la NSA a utilisé un système d’avertissement basé sur des icônes informant les lecteurs de ce qu’ils devraient éviter, désactiver, faire et ne pas faire. La liste de choses à faire comprend par exemple l’utilisation de codes PIN et de mots de passe forts, de verrous biométriques et de mises à jour logicielles régulières. Les conseils à ne pas faire concernent l’enracinement ou le jailbreak de votre téléphone, le clic sur des liens inconnus ou l’ouverture de pièces jointes inconnues. Mais c’est l’icône de désactivation qui a le plus suscité mon intérêt, surtout lorsqu’il s’agissait de désactiver l’alimentation en éteignant et en rallumant l’appareil chaque semaine.
La deuxième page du document de conseils riche en infographies adopte davantage une approche tabulaire pour avertir les utilisateurs de smartphones des choses qu’ils devraient faire en matière d’atténuation des menaces. Cette fois, l’iconographie se partage entre parfois prévient et presque toujours prévient. Lors du redémarrage régulier de votre smartphone, il était recommandé de l’utiliser car il empêche parfois le spear phishing (pour installer des logiciels malveillants) et les exploits sans clic. Il ne s’agit donc jamais d’une solution miracle ni d’une panacée universelle en matière de sécurité.
Faire iPhone et Android Les utilisateurs doivent-ils redémarrer régulièrement leurs smartphones en 2024 ?
La réponse courte à la question de savoir si vous devez redémarrer votre smartphone chaque semaine en 2024 est non. Mais le besoin fait un gros travail sur cette question. Du point de vue de la sécurité, le redémarrage supprimera toujours la menace des logiciels malveillants non persistants, c’est-à-dire une menace qui ne peut pas survivre à un redémarrage. Je sais que c’est assez évident, mais il faut le dire. De nombreux logiciels malveillants entrent dans cette catégorie, et tous ne proviennent pas des acteurs malveillants les moins avancés ou les moins sophistiqués.
Lorsque les logiciels espions faisaient la une des journaux pour toutes les bonnes raisons, les États-nations utilisant des logiciels avancés tels que Pegasus pour infecter à la fois les appareils Android et iPhone, des rapports suggéraient qu’ils étaient passés d’une persistance à une dépendance à des charges utiles binaires à nouveau exploitées après un redémarrage. Cette dépendance aux logiciels malveillants en mémoire, plutôt que d’être écrits dans un stockage permanent, est un autre moyen d’éviter de laisser des preuves de surveillance lors d’attaques aussi sophistiquées.
« Tant que les gens mettent régulièrement à jour leurs appareils lorsque de nouvelles versions du système d’exploitation sont publiées », a déclaré Jake Moore, évangéliste mondial de la cybersécurité chez ESET, « les appareils resteront sains et protégés. C’est cependant une bonne idée de redémarrer votre téléphone régulièrement, mais davantage pour des raisons de batterie que de sécurité.
Moore a raison de dire qu’un redémarrage rapide peut souvent résoudre les problèmes de performances et de connectivité. Cependant, cela ne signifie pas que les raisons de sécurité du redémarrage sont totalement exclues. « Les logiciels malveillants sans clic sont un problème récurrent pour les systèmes d’exploitation Apple et Android », a déclaré Moore, « mais ils sont généralement identifiés et résolus rapidement. Une fois détecté, un correctif est développé et une nouvelle mise à jour est publiée pour atténuer la menace.
Il n’y a pas de réponse définitive en ce qui concerne la voracité de l’avertissement de la NSA et la recommandation de redémarrage, cependant, faire preuve de prudence ne doit jamais être sous-estimé à mon humble avis. Il y a un intéressant discussion sur Stack Exchange cela résume plutôt bien les choses : la réponse longue est que cela dépend de ce que votre ordinateur de poche a fait depuis son dernier redémarrage, la réponse courte étant, en moyenne, que le redémarrage réduit la vulnérabilité. Le redémarrage présente peu d’inconvénients, voire aucun, alors pourquoi ne pas redémarrer régulièrement ? Je suis du côté de la NSA sur ce point.
L’Agence américaine de cybersécurité et de sécurité des infrastructures propose de nouvelles exigences de sécurité : les utilisateurs d’iPhone et d’Android en prennent note
Comme le rapporte Ordinateur qui bipel’Agence américaine de cybersécurité et de sécurité des infrastructures vient de publier une nouvelle série de propositions de sécurité conçues pour protéger les données personnelles et les informations gouvernementales contre les adversaires hostiles. La liste des exigences de sécurité proposées s’adresse directement aux organismes gouvernementaux qui déplacent des données sensibles en masse et, plus particulièrement, à ceux qui le font lorsque les informations pourraient être exposées à des personnes ou à des pays préoccupants. Il s’agit le plus souvent de personnes engagées dans des campagnes de cyberespionnage contre les États-Unis ou ayant des antécédents de parrainage par l’État d’acteurs de menaces persistantes avancées. La CISA a déclaré qu’elle évalue la mise en œuvre des exigences comme nécessaire pour valider qu’une organisation dispose de la capacité technique et d’une structure de gouvernance suffisante pour « sélectionner de manière appropriée, mettre en œuvre avec succès et continuer à appliquer les exigences de sécurité au niveau des données couvertes d’une manière qui répond aux risques identifiés ». par le ministère de la Justice pour les transactions restreintes. Dans le même temps, il note que les exigences spécifiques peuvent varier selon les différents types de transactions.
Le maintien d’un inventaire à jour des actifs matériels et des topologies de réseau précises dépasse les compétences de la plupart des individus, aussi sensés soient-ils par ailleurs. Mais vous seriez insensé de vous concentrer uniquement sur les avantages impossibles à tirer d’une liste de recommandations très solide.
La liste complète des exigences de sécurité proposées par la CISA est disponible sur un document PDF et est fortement recommandé comme lecture incontournable pour toute organisation cherchant à renforcer sa posture de sécurité.
« Pour les efforts américains de cybersécurité, ces exigences représentent une étape cruciale vers la sécurisation des infrastructures nationales contre l’évolution des menaces », a déclaré le Dr Marc Manzano, directeur général de la cybersécurité chez SandboxAQ. « Ces nouvelles directives, axées sur la protection des informations sensibles, présentent des opportunités pour la cryptographie moderne. des systèmes de gestion permettant la découverte, l’observabilité, la gestion fine et la protection des actifs. Le déploiement de solutions comme celles-ci contribuera, a conclu Manzano, à amener les entités gouvernementales à améliorer leurs cadres de chiffrement, à garantir la conformité et à sécuriser les données contre les futures menaces cryptographiques.
Si les propositions s’adressent avant tout aux agences fédérales, cela ne signifie pas que les conseils avancés n’ont aucune conséquence pour nous, simples mortels. En effet, certaines des étapes proposées devraient être gravées sur les écrans des smartphones de tous les utilisateurs d’iPhone et d’Android : mettre à jour les appareils pour corriger les vulnérabilités connues le plus rapidement possible, utiliser l’authentification à deuxième facteur sur tous les comptes où elle est disponible et garantir que les mots de passe comportent au moins 16 caractères, par exemple.
Le programme Cyber Essentials du gouvernement britannique apporte une meilleure sécurité aux entreprises
Le gouvernement britannique a un document de recherche récemment publié qui cherche à détailler l’impact de son programme Cyber Essentials sur l’amélioration de la cybersécurité des entreprises et organisations qui y participent. Le programme Cyber Essentials est en fait un ensemble de normes et de contrôles techniques que les organisations de toute taille et de tout secteur devraient considérer comme essentiels dans les efforts visant à se protéger elles-mêmes et à protéger leurs utilisateurs contre les menaces de sécurité en ligne les plus courantes. Bien que, comme pour tout conseil de ce type, le système ne puisse pas prétendre fournir une panacée en matière de sécurité, les statistiques officielles du gouvernement britannique montrent que les organisations disposant du système de contrôle Cyber Essentials font 92 % de réclamations d’assurance en moins pour les cyberattaques que celles qui n’en ont pas.
« Cette évaluation démontre clairement que Cyber Essentials offre des avantages significatifs en matière de sécurité aux organisations », a déclaré William Wright, PDG de Closed Door Security. « Les entreprises accréditées sont clairement plus conscientes des cyberattaques, elles se sentent mieux préparées à gérer les cyberattaques de routine et se sentent en confiance. avec les contrôles qu’ils ont mis en place. Ce qui est également évident, selon Wright, c’est que les organisations se sentent beaucoup plus en confiance lorsqu’elles concluent des partenariats commerciaux avec des fournisseurs également accrédités Cyber Essentials, et en tant que tel, le processus de certification qu’il propose est utilisé pratiquement pour soutenir la résilience des tiers et de la chaîne d’approvisionnement. .
Cependant, tout comme pour les conseils de la NSA aux utilisateurs de smartphones de l’éteindre et de le rallumer, un seul conseil ne suffira jamais à fournir autre chose qu’une protection superficielle. Comme je l’ai mentionné plus tôt dans cet article, une approche à plusieurs niveaux est le seul moyen d’améliorer votre sécurité et cela s’applique autant aux entreprises qu’aux particuliers, sinon plus. Les données de l’étude révèlent que 53 % des personnes interrogées utilisent Cyber Essentials comme seule forme d’assurance externe dont elles disposent pour leur cybersécurité. « Si ces organisations ne sont accréditées qu’avec la version de base de la certification », prévient Wright, « cela ne suffira pas à protéger leurs systèmes contre bon nombre des attaques auxquelles nous assistons aujourd’hui ».
Wright a raison, si vous me permettez le jeu de mots. La certification Cyber Essentials elle-même se présente sous la forme d’un questionnaire d’auto-évaluation, qui est examiné par un évaluateur Cyber Essentials. Il n’y a aucune vérification physique des réponses et, par conséquent, de la mise en place des contrôles revendiqués. Même si je ne dis pas que certaines organisations mentiraient pour obtenir une certification qui pourrait apporter un avantage commercial, eh bien, d’accord, je le fais ; mais il y a peu de choses qui permettent de confirmer que ces contrôles sont déployés correctement. Cette version de base de la certification Cyber Essentials « n’est pas suffisante pour se défendre contre les attaques sophistiquées d’aujourd’hui », conclut Wright. « Les organisations devraient s’efforcer d’obtenir la certification Cyber Essentials Plus, mais en la combinant avec d’autres principes comme NIST, CIS Controls et ISO27001 pour vraiment améliorer leur cyber-résilience.