In short
How it works
Managed detection and response
Proactive Cybersecurity
CIS Protection for Microsoft 365
Votre téléphone intelligent fait sans doute partie intégrante de votre vie quotidienne. Il est maintenant essentiel tant dans votre vie personnelle que professionnelle et contient beaucoup d’informations personnelles et confidentielles. Pourtant, beaucoup de gens oublient l’importance de bien sécuriser leur téléphone.
Vos données et votre vie privée comptent. C’est pourquoi il est important de s’assurer de bien les protéger. Pour vous aider dans cette démarche, cet article rédigé par Ariane Ohl-Berthiaume en collaboration avec Rémy Tremblay, spécialiste DEVOPS & Cybersécurité chez MONDATA, vous présente 10 trucs pour vous aider à rendre votre téléphone plus sécuritaire.
1. Les mots de passe
Le mot de passe constitue la première barrière essentielle pour protéger l’accès au contenu de votre téléphone. Le premier conseil est donc très simple : avoir un mot de passe pour déverrouiller votre téléphone. Le fait de ne pas en avoir rend la tâche très facile pour une personne mal intentionnée qui a accès à votre téléphone. C’est l’équivalent de ne pas barrer vos portes et de ne pas activer le système d’alarme lorsque vous quittez votre maison. Les voleurs n’auront jamais eu la tâche aussi facile!
Avoir un mot de passe est essentiel, mais sa robustesse l’est tout autant1. Un truc pour avoir un mot de passe robuste et pour ne pas l’oublier est l’utilisation d’une phrase de passe. Il s’agit de choisir trois ou quatre mots afin de constituer votre mot de passe, ce qui est beaucoup plus difficile à deviner qu’un seul mot. Si votre mot de passe est plutôt sous la forme d’un NIP, il devrait contenir 6 chiffres ou plus. Beaucoup de cyberattaques se produisent en raison d’un mot de passe trop facile à deviner.
Il est également important de ne pas communiquer votre mot de passe à votre entourage. Plus votre mot de passe est connu, moins le contenu de votre téléphone est protégé.
Assurez-vous d’activer le verrouillage automatique après une ou deux minutes pour que votre téléphone soit protégé, même si vous oubliez de le verrouiller vous-même.
Enfin, lorsque cela est possible, il est recommandé d’utiliser la reconnaissance faciale ou les empreintes digitales pour déverrouiller votre téléphone. L’utilisation de caractéristiques biométriques est encore plus sécuritaire qu’un mot de passe, car de cette façon, votre identité peut être véritablement confirmée.
2. La carte SIM
C’est par la carte SIM (subscriber identity module) se trouvant dans votre téléphone que ce dernier dispose d’une ligne téléphonique fonctionnelle et peut accéder au réseau cellulaire. Saviez-vous qu’il est possible de protéger cette carte SIM par mot de passe? Pour ce faire, il faut communiquer avec votre fournisseur de services mobiles et demander que votre carte SIM soit protégée par un mot de passe. D’ailleurs, cela est essentiel pour se prémunir d’une fraude par usurpation de carte SIM, aussi appelé SIM swap.
Pour réaliser ce type de fraude, il suffit pour une personne malveillante de communiquer avec la compagnie fournissant le service de téléphonie à la victime et de prétendre que la carte SIM ne fonctionne plus ou que le téléphone a été perdu. Si la carte SIM n’est pas protégée par un mot de passe, le fournisseur transférera la ligne téléphonique sur une nouvelle carte SIM pour répondre à la demande de la personne malveillante. Cette dernière recevra donc tous vos textos et appels à votre place, et ce, sans qu’un mot de passe pour autoriser le transfert ne lui ait été demandé2.
L’authentification multifactorielle, aussi appelée authentification à double facteur, si elle est activée sur les applications qui le permettent, peut également avoir un impact sur la gravité des conséquences liées à ce type de fraude. Cela consiste à entrer un code envoyé par texto ou généré par une application après avoir entré votre mot de passe, afin de valider qu’il s’agit bien de vous. Il est important d’utiliser les applications générant des codes lorsque cela est possible. En effet, cette façon de faire est beaucoup plus sécuritaire que lorsque le code est envoyé par texto, car elle empêche la personne qui aurait usurpé votre carte SIM de recevoir les codes à votre place et d’ainsi avoir accès à vos différents comptes en modifiant vos mots de passe.
Voici quelques exemples d’applications qui génèrent des codes pour l’authentification à double facteur :
- Microsoft Authenticator
- Google Authenticator
- LastPass Authenticator
3. Les applications
Le premier conseil primordial concernant les applications est de s’assurer de les télécharger uniquement des sources officielles, comme le App Store ou le Google Play Store. Ainsi, vous augmentez vos chances d’avoir une version sécuritaire de l’application, puisque pour qu’une application soit accessible via une source officielle, elle a dû être analysée et approuvée au préalable. Il est tout de même recommandé de vérifier l’éditeur de l’application et de lire les commentaires avant le téléchargement pour éviter les mauvaises surprises. En téléchargeant une application d’une source non officielle, vous prenez le risque d’être exposé à un virus se trouvant dans l’application, puisqu’il n’y a eu aucune vérification de sécurité réalisée par une personne qualifiée.
Par exemple, une personne qui télécharge une application directement à partir d’Internet peut penser qu’il s’agit d’une application légitime. Elle l’utilise et tout semble normal. Toutefois, la personne ne voit pas que l’application contient un virus permettant à une personne malveillante d’avoir accès à ses informations, incluant son mot de passe et d’autres informations personnelles. Ces informations pourront ensuite être vendues à son insu ou être utilisées pour un vol d’identité.
Deuxièmement, il est important de conserver uniquement les applications que vous utilisez sur votre téléphone et de supprimer les autres. Prendre le temps de supprimer les applications que vous n’utilisez pas et les données confidentielles qui ne sont plus nécessaires peut avoir un impact direct sur la sécurité de vos données. D’ailleurs, chaque nouvelle application augmente la surface d’attaque pour une personne malveillante.
Troisièmement, vos applications peuvent avoir accès à beaucoup d’informations comme votre appareil photo, vos photos, vos données biométriques, etc. Il est donc important de réviser les permissions fréquemment et de vous assurer que vos applications ont seulement accès à ce qui est véritablement nécessaire à leur fonctionnement. D’ailleurs, lors de la révision des permissions, portez une attention particulière aux informations qui sont synchronisées automatiquement dans le Cloud et avec qui ces informations peuvent être partagées (par exemple, s’il s’agit d’un Cloud avec l’accès familial). Vous pourriez avoir de mauvaises surprises lorsque vous croyez avoir supprimé une photo de votre appareil, mais qu’elle est toujours accessible sur le Cloud. 😊
Finalement, il est recommandé de redémarrer votre téléphone fréquemment. Cela permet de fermer complètement toutes les applications et de supprimer les fichiers temporaires qui ont pu être gardés en mémoire à votre insu sur votre téléphone.
4. Le choix du navigateur
Certains navigateurs, comme Firefox, protègent plus votre vie privée que d’autres. Ces navigateurs bloquent automatiquement certains cookies, aussi appelés témoins, qui collectent des informations sur vos habitudes de navigation et sur vos intérêts3. Ces informations serviront à vous envoyer de la publicité ciblée en fonction de vos préférences. Il est donc important de bien choisir son navigateur si vous souhaitez limiter les différents types de traqueurs.
N’oubliez pas d’aller fréquemment consulter les paramètres de votre navigateur et de votre téléphone pour supprimer les cookies qui s’y accumulent. En effet, certains types de cookies vont demeurer dans votre téléphone indéfiniment, tant que vous ne les supprimerez pas.
Un dernier conseil en lien avec votre navigation est de s’assurer que l’adresse du site Web visité débute par « https » avant d’y écrire vos renseignements personnels. Ce protocole fait en sorte que les données sont encryptées entre le navigateur et le serveur, les protégeant ainsi contre certains types d’actions malveillantes.
5. Les mises à jour
Il est important de s’assurer que les logiciels et applications utilisés sur votre téléphone disposent de la dernière version disponible. Les mises à jour permettent d’être protégé contre des vulnérabilités découvertes dans les versions précédentes des logiciels ou des applications. D’ailleurs, il est fréquent que des cyberattaques découlent de l’exploitation d’une faille découverte dans un logiciel n’ayant pas été mis à jour. Ces cyberattaques peuvent facilement être évitées lorsque les mises à jour ont été réalisées.
Pour ne pas l’oublier, pensez à configurer les mises à jour automatiques lorsque cela est possible.
6. Le Bluetooth
Le Bluetooth permet d’échanger des données entre deux appareils qui sont à proximité l’un de l’autre. C’est ce qui permet notamment l’utilisation d’appareils sans fil comme une imprimante ou des écouteurs. Toutefois, laisser le Bluetooth activé en tout temps peut permettre à une personne mal intentionnée d’identifier votre appareil et de tenter d’y accéder.
De plus, le fait que les signaux Bluetooth soient de courte portée permet de scanner et de localiser des appareils qui sont à proximité. Cela pourrait permettre à une personne malveillante de savoir que votre téléphone se trouve sans surveillance dans votre véhicule, même si vous pensiez l’avoir bien caché4. Il est donc recommandé d’éteindre le Bluetooth si vous devez laisser votre appareil sans surveillance dans votre véhicule ou dans un autre endroit du même type.
7. La géolocalisation
Votre téléphone intelligent et certaines applications accumulent souvent les données de géolocalisation par défaut. Que ce soient des applications qui enregistrent vos déplacements, par exemple Google Maps, ou votre application de photos qui enregistre l’endroit exact où une photo a été prise, il est important de réviser les différentes permissions pour s’assurer qu’elles correspondent à vos attentes en matière de protection de la vie privée. Pensez à désactiver complètement votre géolocalisation pour les applications qui n’en ont pas réellement besoin. Pour celles qui en ont besoin, sachez qu’il est souvent possible d’autoriser la géolocalisation seulement lorsque l’application est active.
8. Le Wi-Fi
Les réseaux Wi-Fi publics sont accessibles à plusieurs endroits. On en trouve notamment dans les centres commerciaux, les aéroports, les restaurants, etc. Cependant, se connecter à un réseau Wi-Fi public peut présenter des risques. Par exemple, il est très facile pour une personne malveillante de créer un faux réseau Wi-Fi avec le même nom que celui qui est public et de créer une fausse page de connexion pour avoir accès à tout ce que les personnes y feront une fois connectées, incluant tous les sites visités et tout ce qui est écrit sur l’appareil, lettre par lettre. Le risque de vol d’identité et de fraude est donc élevé. D’ailleurs, les logiciels de reniflage permettant de réaliser de telles actions sont disponibles gratuitement en ligne.
Les connexions automatiques aux réseaux Wi-Fi publics devraient donc être désactivées. De plus, si vous n’êtes pas dans l’obligation de vous connecter sur un Wi-Fi public, l’idéal est de ne pas le faire.
Dans le cas où vous êtes dans l’obligation d’accéder à un réseau Wi-Fi public, voici quelques façons de se protéger :
- Lire le nom du Wi-Fi avec attention et demander une confirmation à un employé pour s’assurer qu’il s’agit du bon Wi-Fi avant de s’y connecter.
- Ne jamais communiquer de renseignements personnels sur un site Web ou une application lors de la navigation.
- S’assurer de naviguer uniquement sur des sites Web dont l’adresse débute par « https », pour les raisons mentionnées plus haut.
- Ne jamais désactiver le pare-feu de l’appareil.
- Ne pas se connecter au réseau Wi-Fi si le point d’accès demande vos informations de compte d’une autre application (par exemple, la connexion avec Google, la connexion avec Facebook, etc.). Cela pourrait permettre à une personne malveillante d’avoir accès à ces comptes.
Enfin, comme vous pouvez vous connecter sur tous les réseaux Wi-Fi publics disponibles, il en est de même pour toutes les personnes qui peuvent se connecter à votre appareil si vous y activez un point d’accès Wi-Fi (« Hotspot »). Il est très important d’avoir un mot de passe complexe afin de se connecter au Hotspot et de le partager uniquement aux personnes autorisées à utiliser votre réseau. Il est également conseillé de modifier le nom du point d’accès (« SSID ») et de ne pas conserver celui qui vous a été attribué par défaut. En effet, les noms attribués par défaut respectent certains formats en fonction des différents modèles de téléphone et il est donc plus facile de les repérer. D’ailleurs, en fonction du format du SSID par défaut, il pourrait être possible de connaître le modèle exact de votre téléphone, ce qui pourrait donner des indices aux pirates concernant les vulnérabilités à exploiter.
9. Les bornes de recharge
Vous avez sûrement déjà vu des bornes de recharge publiques pour les téléphones dans un aéroport ou dans un centre d’achats. Ces bornes sont mises à votre disposition pour recharger votre téléphone ou autres appareils mobiles lorsque vous êtes dans un endroit public. Bien que cela puisse sembler pratique, il est toujours mieux d’éviter d’y recourir et d’utiliser plutôt son propre chargeur ou une batterie portative. En effet, utiliser une borne de recharge publique peut présenter des risques pour votre téléphone. Le câble pourrait être compromis de manière à transmettre des données malveillantes dans votre téléphone. C’est ce qu’on appelle le « juice jacking ».
10. La localisation et la suppression de données à distance
En cas de vol ou de perte de votre appareil mobile, il est possible de localiser et de verrouiller l’appareil et même de supprimer toutes les données qu’il contient à distance. Il est primordial de le faire, que ce soit pour retrouver votre téléphone ou pour s’assurer qu’aucune personne malveillante ne puisse avoir accès à vos données. Cependant, quelques étapes doivent être réalisées dès maintenant pour vous assurer que le processus se déroule adéquatement.
Pour vous assurer d’être prêt à agir en cas de perte ou de vol de votre téléphone, voici des liens vers les étapes à suivre selon les différents systèmes d’exploitation :
Android : https://support.google.com/accounts/answer/6160491?hl=fr
IOS : https://support.apple.com/fr-ca/guide/icloud/mmfc0ef36f/icloud
Enfin, si vous possédez un téléphone d’entreprise, il est important de s’assurer que votre employeur pourra effacer les données de l’entreprise à distance en cas de perte ou de vol de votre appareil. Cela permettra d’éviter de nombreuses conséquences malheureuses, incluant l’exfiltration de renseignements personnels et/ou confidentiels.
Conclusion
Nous espérons que ces 10 trucs vous auront permis d’en apprendre davantage sur les différents moyens de sécuriser davantage votre téléphone intelligent et sur l’importance de le faire. Chaque petit geste compte et peut faire la différence pour prévenir et limiter les conséquences d’une cyberattaque.
Pour toutes questions en lien avec cet article ou tout simplement pour en apprendre davantage sur nos services, n’hésitez pas à contacter nos experts chez MONDATA!
1 Pour vous aider à évaluer la robustesse de votre mot de passe : https://www.pensezcybersecurite.gc.ca/fr/blogues/votre-mot-de-passe-est-il-suffisamment-robuste-voici-cinq-facons-de-levaluer
2 Voici un exemple récent de cas d’usurpation de carte SIM : https://www.lapresse.ca/actualites/2021-06-28/usurpation-de-carte-sim/telephonie-au-rabais-protection-au-rabais.php
3 Pour en savoir plus sur les cookies : Accepter les cookies: implications réelles
4 Voici un exemple de l’utilisation du Bluetooth pour la perpétration d’un vol: https://www.wired.com/story/bluetooth-scanner-car-thefts/
Attention : Cette publication ne constitue pas un avis juridique. Il s’agit uniquement d’informations d’ordre général dans le but de vous tenir informés sur certains sujets. Nous vous invitons à consulter votre avocat pour toute question d’ordre juridique.