C&ESAR 2011 - Smartphones: la sécurité de votre poche...

par Ivan Fontarensky – Cassidian

Smartphone : définition, un téléphone « intelligent », l’orateur préfère le terme Ordiphone. Les deux conditions d’un smartphone, c’est de fournir un service n’importe ou et rapidement, ce qui implique un système de cache.

Le smartphone est très spécifique à son propriétaire, il est conçu pour un seul utilisateur, et donc on y stoque un grand nombre d’informations, de part les logs extrêmement verbeux du téléphone, de part les applications installées etc…

Ce qui est cool, c’est que les données dudit smartphone se dirigent aussi vers le cloud, et qu’en plus nos navigateurs tracent un grand nombre d’informations sur les Wi-Fi disponibles, ou sur les coordonnées GPS « consolidées » collecté par le smartphone.

L’auteur nous montre comment à partir de ces données obtenir une cartographie des déplacements de l’utilisateur. Rien de neuf, mais c’est quand même problématique, car ces données peuvent être collectées à l’insu de l’utilisateur.

A coté de ça, on à le cache des configurations Wi-Fi, et les divers mots de passes stockés en clair dans les applications, bref toute la vie numérique de l’individu. D’un autre coté, on à OAuth qui permet d’établir un cookie d’authentification unique par application, pour éviter de laisser son mot de passe partout… mais le problème c’est que ce token à une durée de vie soit disant limitée… à 6 mois (la durée de vie d’un smartphone chez un constructeur).

A coté de ça, on a un cycle de vie de patching très court, environ un an. Et les mises à jour ne sont pas légion, surtout pour les vieux modèles.