Tout d'abord, voici un accès au JT en question (VLC est votre ami si vous n'arrivez pas à le lire). Le topo qui nous intéresse se situe vers la 14ème minute. Et c'est parti pour presque 3 minutes de bullshit et de FUD plein pot.

Extrait de l'introduction du présentateur : "La plupart des téléphones reliés à Internet s'avèrent être de redoutables espions pour leur propriétaire. Il semblerait que les données, les conversations, les messages puissent être détournés avec une facilité déconcertante." Le ton est donné, on va envoyer du lourd.

La voix off commence par nous expliquer qu'un reportage de la chaine CBS a "provoqué quelque effroi auprès des téléspectateurs américains". On enchaîne en nous présentant Michael Gregg, un "Expert en piratage informatique". Bon, déjà, j'ai hurlé de rire devant l'intitulé du type. Non mais sérieux les gars, on parle d'expert en sécurité informatique et de rien d'autre. Le sensationnalisme à outrance, c'est *juste* complètement ridicule.

Mise en situation : "Armé d'un simple ordinateur portable et d'une balise WiFi(1) [...] dans Central Park à New York et montre comment il peut pirater les téléphones de tous les passants autour de lui." Je vous laisse apprécier la rhétorique agressive et l'affirmation péremptoire. Passons aux démonstrations de "piratage".
  • Hack #1 (sur un passant) : Récupération de l'historique Internet d'un iPhone et trouvage de numéro de CB "en pénétrant le téléphone à distance", sans plus d'info. Dans le docu CBS, ils disent que le type va juste sur un site de réservation de ticket et le site apparaît sur l'écran de l'ordinateur portable de Michael. En réalité, (même si le docu de CBS ne le dit pas directement) il s'agit probablement d'une interception WiFi en clair : l'iPhone du gusse a accroché un point d'accès non chiffré (sans doute celui de Michael) et ce dernier n'a eu qu'à intercepter le trafic réseau. Sauf que ce n'est absolument pas ce que dit France 2 qui confond "interception" avec "intrusion".

  • Hack #2 (sur la journaliste américaine) : "Piratage du répertoire téléphonique puis appel en se faisant passer pour son patron". En fait, il l'appelle en utilisant une technique de Caller ID spoofing. Il appelle la journaliste avec son mobile (à lui) et c'est le nom du rédac' chef qui apparaît sur l'écran (iPhone, encore une fois). L'iPhone a probablement été jailbreaké et le mot de passe du serveur SSH de l'iPhone activé par cette opération n'a probablement pas été changé. Michael n'aura alors eu aucun mal à se connecter à l'iPhone et récupérer carnet d'adresse, caller ID et bien d'autres choses. S'en suit une démonstration du risque par Michael (traduite en Français) qui tient la route(2).

  • Hack #3 (sur une passante) : Consultation de sa messagerie vocale et écoute des messages. Zéro info supplémentaire. CBS est moins avare d'info et nous allons comprendre pourquoi. Tout d'abord, Michael a commencé par le faire sur l'iPhone de la journaliste. Ensuite, la passante possède elle aussi un iPhone. Enfin, il faut savoir que les iPhones sont distribués aux Etats-Unis par l'opérateur AT&T(3). Chez cet opérateur, l'accès à la messagerie vocale n'est pas protégé par défaut par un mot de passe et l'identification de l'utilisateur par le service se fait par Caller ID. La technique utilisée lors du "hack" précédent a là aussi servi à se faire passer pour le numéro de la victime.
On enchaine sur un petit FUD à base de "il s'est vendu plein de millions de smartphones cette année". Sous-entendu : vous en faites peut-être sûrement partie. Ils expliquent ensuite qu'un smartphone n'est pas simplement connecté au Net. Tous les smartphones d'un même opérateur communiquent entre eux. Je ne suis pas un expert télécom, mais je pense qu'ils ont confondu et mélangé divers concepts réseau comme les VLAN et le NAT. Je vais expliquer pourquoi.

On nous présente ensuite Trevor Hawthorn "un autre expert en sécurité informatique" qui va nous parler de géolocalisation. En cherchant des infos sur lui, je suis tombé sur ces slides. La slide 37 explique le paragraphe précédent. Mais le fait que les mobiles soient sur le même sous-réseau N'IMPLIQUE PAS qu'ils communiquent entre eux par défaut. En revanche, (et c'est ce qu'explique Trevor), c'est que rien n'est mis en place pour l'empêcher. Enfin, en 2009. La présentation (qui date de Février 2010) montre que certaines vulnérabilités de ce type ont été corrigées depuis. Du coup, ça met une claque au précédent commentaire de France 2. Ah, et les chiffres de la slide 23 aussi, soit dit en passant.
  • Hack #4 (sur un inconnu identifié à travers un jeu en ligne) : Récupération sur les 30 derniers jours de ses données de géolocalisation, et tout ça, "de son simple bureau". Genre il a repéré un mec sur le Net, et de son fauteuil, peinard chez lui, il reconstitue "tous les trajets effectués par cette personne durant les 30 derniers jours." En fait, l'attaque en question est détaillée dans les slides de la présentation vers la page 96. Et elle est un poil plus complexe et requiert des conditions particulières (mais ça n'enlève rien à la beauté de la démonstration). Le screenshot Google Maps avec les flags bleus montré dans le reportage (16:12) est tiré de la slide 105.
On passe alors au commentaire de Trevor, qui, lui, fait mouche(4). En gros, il dit que les gens s'inquiètent de ce que les gouvernements pourraient faire mais ils feraient mieux de s'inquiéter de ce que les entreprises font.

On termine le reportage avec les conseils façon France 2 :
  • Ne pas "cracker" son téléphone en changeant d'opérateur ou en téléchargeant des logiciels illégaux. Pour le changement d'opérateur, j'ai envie de dire : "rien à voir, aucun rapport, rentre chez toi". Pour les logiciels illégaux, on peut discuter. OK, le JT c'est l'information mise à la portée des citoyens crétins, donc on va valider le conseil.
  • Ne pas ouvrir des mails ou des sites inconnus. Quel rapport avec les smartphones ? Quel rapport avec les attaques démontrées ? Aucun ! Ce conseil (bien que pertinent) est absolument générique et n'apporte pas grand chose au débat.
  • Faire attention aux jeux en ligne, surtout ceux auxquels jouent vos enfants. Là encore, mais WTF ?! Ça sent la propagande pro Arjel tout ça, mais ça n'arrangera pas les bidons des utilisateurs de smartphone.

Pour mémoire, voici les conseils de CBS :
  • Mettre mot de passe sur votre boîte vocale. Voilà pour le Hack #3. Et en plus, ça permet de se protéger contre les conjoint(e)s jaloux(se) et les amis/ex/enfants/collègues/etc. trop curieux.
  • Ne pas télécharger d'applications de provenance inconnue. Ceci est un conseil générique mais particulièrement ciblé sur les smartphones où "il y a une application pour tout" (y compris pour vous baiser la gueule).
  • Ne se connecter qu'à des réseaux sécurisés. C'est-à-dire des réseaux protégés par WPA2(5). Voilà pour le Hack #1. Le conseil est pertinent pour deux raisons. Tout d'abord, si le réseau est chiffré, vous devez en connaître la clé pour y rentrer. Il y a donc de fortes chances que vous connaissiez le réseau et soyez à même de savoir si vous lui faites confiance ou non. Ensuite, connecté à un WiFi ouvert, que vous lui fassiez confiance ou pas, on s'en tape : tout le monde peut voir ce que vous transmettez (et recevez).
Il faut bien comprendre que CBS a clairement parlé de l'iPhone alors que France 2 a voulu rester générique, bien que cette plateforme concentre une grande partie de l'attention des chercheurs en sécurité(6), même si les autres plateformes (Android, Symbian, etc.) ne sont pas en reste.

Loïc de la Mornais, Laurent Desbois et E. Richard, vous êtes trop des winners. Et bravo à Pascal Doucet-Bon, Jean-Paul Chapel et Frédérique Harrus pour avoir osé diffuser un truc pareil.

PS : Tout ceci me rappelle également un récent loupé lors de l'émission "C'est dans l'air" de France 5. Un truc totalement affligeant là aussi.


---
(1) Traduction erronée de "WiFi Access Point". Le sens le plus proche de balise dans ce contexte est probablement celui de la balise Argos ou Spot. Bref, rien à voir.

(2) Forcément, quand on traduit directement les propos de quelqu'un qui sait de quoi il parle, c'est plus difficile de dire de la merde.

(3) Tout comme Orange avait l'exclusivité en France à ses débuts.

(4) Cf. Note (2).

(5) Et surtout pas du WEP.

(6) C'est aussi dû au fait que la plateforme fait l'objet d'un matraquage marketing impressionnant.