Savoir communiquer à l'ère du téléphone portable

♦ © 2024 Untelephone.com

♦ Les liens des produits mis en avant sur ce blog sont des liens d'affiliation qui me procurent un pourcentage de la vente sans aucune augmentation de tarif pour le consommateur.

Comment pirater un téléphone : 7 méthodes d’attaque courantes expliquées

Agnès Michaud

La sécurité mobile l’emporte souvent sur celle des PC, mais les utilisateurs peuvent toujours se faire avoir et les smartphones peuvent toujours être piratés. Voici ce dont vous devez vous méfier.

La révolution des smartphones était censée offrir une deuxième chance à l’industrie technologique de mettre en place une plate-forme informatique sécurisée. Ces nouveaux appareils étaient censés être verrouillés et à l’abri des logiciels malveillants, contrairement aux PC bogués et aux serveurs vulnérables.

Mais il s’avère que les téléphones sont toujours des ordinateurs et que leurs utilisateurs sont toujours des personnes, et que les ordinateurs et les personnes seront toujours des maillons faibles.

Nous nous sommes entretenus avec un certain nombre d’experts en sécurité pour vous donner une idée des méthodes les plus courantes que les attaquants peuvent utiliser pour pénétrer dans les puissants ordinateurs qui se trouvent dans la poche de vos utilisateurs. Cela devrait, nous l’espérons, vous donner une perspective sur les vulnérabilités potentielles.
7 façons de pirater un téléphone

  1. Ingénierie sociale
  2. Malvertising
  3. Smishing
  4. Logiciel malveillant
  5. Prétextage
  6. Intrusion via Bluetooth
  7. Attaques Wi-Fi de type « Man-in-the-middle

1. Ingénierie sociale

Le moyen le plus simple pour un pirate de s’introduire dans un appareil et de hacker un téléphone, c’est que l’utilisateur ouvre lui-même la porte. Bien sûr, cela est plus facile à dire qu’à faire, mais c’est l’objectif de la plupart des formes d’attaques par ingénierie sociale.

Les systèmes d’exploitation des smartphones ont généralement des régimes de sécurité plus stricts que les PC ou les serveurs, le code des applications s’exécutant dans un mode sandbox qui l’empêche d’élever ses privilèges et de prendre le contrôle de l’appareil.

Mais ce modèle de sécurité tant vanté, dans lequel les utilisateurs de téléphones mobiles doivent prendre des mesures positives pour que le code puisse accéder à des zones protégées du système d’exploitation ou du stockage du téléphone, présente un inconvénient : il entraîne une abondance de messages contextuels que beaucoup d’entre nous apprennent à ignorer.

Les applications sur les appareils mobiles séparent les autorisations afin de protéger l’utilisateur contre les applications malveillantes qui peuvent s’approprier vos données. L’invite devient familière :

« Voulez-vous autoriser cette application à accéder à vos photos ? »

En raison de la façon dont l’expérience utilisateur a conditionné l’acceptation de la plupart des invites comme une porte d’accès à la fonctionnalité, la plupart des utilisateurs vont simplement permettre à l’application d’accéder à tout ce qu’elle demande.

Je pense que c’est peut-être quelque chose dont nous sommes tous coupables à un moment ou à un autre.

2. Malvertising

Un vecteur particulièrement important de ce type de boîtes de dialogue trompeuses est ce que l’on appelle les « malvertising » , qui se greffent sur l’infrastructure développée pour l’écosystème de la publicité mobile :

  • que ce soit dans un navigateur
  • ou dans une application

L’objectif est de vous inciter à cliquer sur la publicité

Ils essaient de vous attirer avec quelque chose qui vous incitera à cliquer avant de réfléchir :

  • Une réaction instinctive
  • Ou quelque chose qui ressemble à une alerte ou à un avertissement
  • L’objectif est d’essayer de vous effrayer ou de vous inciter à cliquer sur le lien

Les consommateurs sur Google Play se fient beaucoup aux critiques des autres utilisateurs pour savoir si l’application est sûre ou non. Cela ne fonctionne pas.

En revanche,Apple inspecte de près chaque application sur sa boutique d’applications, ce qui diminue le nombre d’applications disponibles, mais réduit considérablement les applications signalées comme étant malveillantes.

3. Smishing

Les SMS sont un autre vecteur utilisé par les attaquants pour mettre à la disposition de leurs victimes le lien à taper qui leur est indispensable.

Cette pratique, connue sous le nom de « SMS phishing » ou « smishing » , fait appel à un ensemble de techniques d’ingénierie sociale totalement différentes et touche aussi bien les crédules que les puissants.

Les cybercriminels peuvent utiliser le phishing par SMS de multiples façons, en fonction de leur intention et de leur objectif. Si l’objectif est d’installer un logiciel malveillant sur un appareil, alors un fichier est généralement joint accompagné d’un message qui tente de persuader l’utilisateur de cliquer et de le télécharger.

Par exemple, les cybercriminels peuvent se faire passer pour une personne de confiance, comme un employeur ou un responsable demandant à un employé de critiquer le document joint, tendant ainsi un piège à une victime occupée et sans méfiance.

Il y a deux ans, le téléphone de Jeff Bezos a été piraté après qu’il eut téléchargé un simple fichier vidéo provenant d’un contact de confiance. Dans certains cas, les pirates utilisant des exploits de type « zero-day » des navigateurs mobiles peuvent pousser un fichier malveillant sur un téléphone sans le consentement de l’utilisateur, pour autant qu’il clique sur le lien.

4. Logiciels malveillants

Si un pirate ne peut pas vous inciter à cliquer sur un bouton et à abaisser involontairement les barrières de sécurité de votre téléphone, il peut chercher quelqu’un qui l’a déjà fait délibérément en jailbreakant son téléphone.

Le jailbreak est considéré par beaucoup comme permettant aux utilisateurs de mieux personnaliser leur appareil et d’installer les applications de leur choix à partir de sources non officielles, mais de par sa nature, il assouplit le strict sandboxing de sécurité qui maintient les smartphones verrouillés.

Les pirates créent des applications pour lesquelles les utilisateurs auraient un intérêt réel, comme un VPN gratuit, avec l’intention de télécharger des logiciels malveillants sur les appareils d’utilisateurs peu méfiants.

Une fois que ces applications malveillantes sont téléchargées sur un appareil pour pirater un telephone, elles détectent si cet appareil a été rooté ou jailbreaké, et si c’est le cas, elles volent des informations personnellement identifiables et d’autres données sensibles.

Une fois qu’un appareil a été jailbreaké, le système d’exploitation devient compromis, ce qui permet d’accéder facilement :

  • aux mots de passe
  • aux chats
  • ou à d’autres données saisies comme les informations bancaires ou de paiement

A noter : Mspy est une application-espion pour téléphone portable capable de s’installer à distance dans un iPhone sans qu’il soit jailbreaké, uniquement à l’aide de ses identifiants iCloud. Voir sa démonstration gratuite ici.

__ Site officiel de Mspy __

5. Prétextage

Si l’utilisateur ne veut pas céder le contrôle de son appareil de son plein gré, un pirate peut s’adresser à son fournisseur de téléphonie mobile.

Vous vous souvenez peut-être du scandale médiatique britannique du milieu des années 2000, au cours duquel les tabloïds ont utilisé ce qu’ils ont appelé des techniques de « blagging » pour accéder aux boîtes vocales mobiles de célébrités et de victimes de crimes.

Ce procédé, également connu sous le nom de « pretexting » , consiste pour un attaquant à rassembler suffisamment d’informations personnelles sur sa victime pour se faire passer pour elle de manière plausible dans ses communications avec son opérateur téléphonique et accéder ainsi au compte de la victime.

Les tabloïds ne cherchaient que des scoops, mais les criminels peuvent utiliser les mêmes techniques pour faire encore plus de dégâts. Si la vérification est réussie, l’attaquant convainc l’opérateur téléphonique de transférer le numéro de téléphone de la victime vers un appareil qu’il possède, dans ce qu’on appelle un échange de SIM.

  • Les appels
  • les textos
  • les codes d’accès comme les codes d’authentification de second facteur que votre banque ou vos fournisseurs financiers envoient à votre téléphone par SMS

…vont désormais à l’attaquant et non plus à vous.

6. Intrusion par Bluetooth

Il existe quelques vecteurs d’attaque sans fil que les pirates peuvent utiliser pour pénétrer dans les téléphones sans que personne ne soit obligé de donner des autorisations.

Deux techniques nécessitent une proximité physique avec la cible, mais elles peuvent parfois être réalisés dans des espaces publics.

La connexion Bluetooth est l’un des points faibles d’un smartphone, et les pirates utilisent souvent des méthodes spéciales pour se connecter à des appareils fonctionnant en Bluetooth et les pirater.

Pas la peine de vous inquiéter si vous ne savez pas où se trouve votre amoureux, ce que dit votre fils au téléphone, ou les textos échangés sur votre téléphone.

 

Une application téléphonique, installée sur un téléphone, permet de tout savoir de ce qui passe sur l'appareil, dans la plus grande discrétion :

  • SMS
  • Localisation
  • Appels
  • Messages Tinder
  • Messages Whatsapp
  • Et j'en passe.

Ici la meilleure application du marché

Là son concurrent sérieux

Ici un traqueur de téléphones portables

Il s’agit d’une méthode de piratage courante car de nombreuses personnes gardent leur connexion Bluetooth activée.

Si une connexion Bluetooth n’est pas régulée, les pirates peuvent se rapprocher de votre smartphone et s’introduire sans préavis.

7. Attaques Wi-Fi de type « Man-in-the-middle »

Un autre vecteur d’attaque sans fil potentiel est une attaque Wi-Fi de type man-in-the-middle.

De nombreuses personnes ont tendance à connecter leur smartphone au Wi-Fi public disponible gratuitement dès qu’elles en ont l’occasion. Cette habitude peut conduire à des problèmes majeurs car des pirates intelligents peuvent intercepter la connexion et s’infiltrer dans le téléphone.

En interceptant les communications, les pirates peuvent obtenir une foule d’informations sans jamais prendre le contrôle du téléphone de l’utilisateur.

Une fois qu’un pirate a utilisé l’une des techniques décrites ci-dessus pour pirater un telephone, quelle est la prochaine étape ?

Bien que les systèmes d’exploitation des smartphones soient en fin de compte dérivés de systèmes de type Unix, un attaquant qui a réussi à forcer une brèche se retrouvera dans un environnement très différent de celui d’un PC ou d’un serveur.

La plupart des applications s’interfacent avec le système d’exploitation et d’autres applications sur ce qui est essentiellement des appels API.

Les noyaux d’iOS et d’Android sont si différents de tout ce qui pourrait ressembler à leur base Unix que les exploits partagés seraient presque impossibles. Les lignes de commande existent pour les deux appareils, mais elles ne sont accessibles qu’au niveau de privilège le plus élevé pour les deux appareils et ne sont généralement accessibles que si l’on roote ou jailbreake l’appareil.

Mais ce n’est pas parce que c’est difficile que c’est impossible

Des exploits de ce type existent.

L’escalade des privilèges est la clé de ce processus et contourner les mécanismes de sécurité intégrés reste difficile, mais tout attaquant ayant la capacité d’exécuter du code sur l’appareil d’un utilisateur fait exactement cela : exécuter du code sur l’appareil d’un utilisateur.

Une quantité surprenante de données sensibles est accessible aux attaquants qui prennent pied sur un appareil.

Les magasins de données tels que SQLite sont créés par les applications installées et peuvent contenir tout, du contenu des requêtes et des réponses Web aux informations potentiellement sensibles et aux cookies.

Les faiblesses communes observées dans iOS et Android incluent :

  • la mise en cache des données de l’application dans la mémoire (telles que les informations d’authentification)

  • la persistance de vignettes ou d’instantanés de l’application en cours d’exécution, qui pourraient stocker par inadvertance des informations sensibles sur l’appareil

Les informations sensibles, le plus souvent laissées en clair, se trouvent en abondance dans :

  • les valeurs des cookies des navigateurs
  • les fichiers de plantage
  • les fichiers de préférences
  • et le contenu du cache web créé dans des formats faciles à lire et stocké directement sur l’appareil

Il ne faut pas exagérer la simplicité du piratage de téléphone

  • La plupart des utilisateurs ne jailbreakent pas leurs téléphones
  • ne cliquent pas sur des liens d’hameçonnage
  • ou n’accordent pas de privilèges accrus à des applications douteuses

Même lorsque les pirates parviennent à prendre pied sur un appareil, ils sont souvent bloqués par les mesures de sécurité intégrées d’iOS et d’Android.

Plus que toute autre technique spécifique décrite ici, c’est la détermination qui permet de pirater un smartphone.

Les attaquants créent des modèles automatisés et hautement reproductibles qui examinent sous toutes les coutures une application mobile ou une nouvelle version du système d’exploitation dans l’espoir de trouver un point faible.

Une fois qu’ils ont trouvé une faiblesse exploitable, ils essaient de l’utiliser à leur avantage aussi rapidement que possible avant qu’un correctif ne soit publié.

Et si vous n’arrivez pas à trouver comment pirater un téléphone portable, eh bien, vous pouvez peut-être trouver un ami qui pourra vous aider

Le partage d’informations entre cybercriminels se fait le plus souvent sur le dark web ou en groupes sur des plateformes de chat chiffrées comme Telegram.

Les groupes plus importants, comme ceux soutenus par des États-nations, sont encouragés à partager du code et des exploits entre eux dans l’espoir que les efforts collectifs permettront de créer des campagnes malveillantes plus fructueuses.

Les gentils doivent eux aussi partager leurs renseignements, car ils ont clairement du pain sur la planche.

Man In The Middlephisingpiratepirater
En savoir plus

Comment espionner et pirater le Snapchat de quelqu’un ?

Agnès Michaud

9 trucs pour pirater un téléphone et blinder sa sécurité

Agnès Michaud

Sécuriser votre WhatsApp : Guide contre le piratage

Agnès Michaud
Commentaires ( 1 )
Ajoutez un commentaire
  • Agnès Michaud

    Visitor Rating: 5 Stars