jeudi 27 mars 2014

Réflexions sur le blackphone

A la base on a deux sociétés; GeeksPhone une entreprise basée en Espagne, et Silent Circle une entreprise US créée entre autres part l'américain Phil Zimmerman, auteur du fameux PGP. Les deux sociétés se sont alliées pour commercialiser le blackphone de la company éponyme. Déjà on peut remarquer que dans la liste des employés aucun ne semble habiter en Suisse malgré l'extension de l'URL en .ch. Il semble également que la société soit enregistrée en Espagne (par GeeksPhone) et non en Suisse, le choix du .ch n'est donc sans doute qu'une technique marketing pour suggérer le sérieux et le respect de la vie privée. Le problème c'est que l'on ne profite pas de la protection légale suisse des données puisque les serveurs sont probablement ceux de Silent Circle aux Etats-Unis (mais c'est à vérifier).

Au niveau matériel rien ne semble différencier ce téléphone de n'importe quel clone Android. Pas de TPM ou d'élément de sécurité sur SD card ou SIM par exemple.

Au niveau logiciel le blackphone fait tourner PrivatOS, une version modifiée d'android, nettoyée des applications ou de leurs options les moins respectueuses de la vie privée. On a aussi le droit à un contrôle précis de la localisation, du WIFI ou de tout autre sous-système susceptible de diffuser des informations sur l'utilisateur. PrivatOS intègre également un contrôle sélectif des permissions de chaque application (contacts, réseau, SMS, ...) à la manière de Private Guard App de Cyanogen (elle-même basée sur la fonction AppOps d'Android, fonction non activée par Google).

Le téléphone est livré avec une application de firewall, probablement d'antivirus, et quelques plugins pour éviter le tracking dans le navigateur. Les applications de voix, de mail, de SMS, de stockage sécurisé ne sont probablement que des versions personnalisées et relookées des applications commercialisées par Silent Circle.

Une première remarque consiste à constater que le blackphone n'apporte pas vraiment plus de sécurité qu'un téléphone android standard (version AOSP ou mieux sous Cyanogen) sur lequel des applications sécurisées aurait été installées et qui aurait été très bien configuré avec pour objectif la protection de la vie privée. Maintenant soyons honnête maintenir un tel téléphone à jour et ne pas faire d'erreur est extrêmement chronophage, le blackphone propose donc pour un coût modique et très facilement un téléphone sécurisé au moins au niveau des compétences d'un expert en sécurité.

De plus le blackphone apporte des fonctions que même l'utilisateur avancé ne saurait gérer au quotidien:

- Le blackphone se met à jour automatiquement au gré des dernières failles de sécurités découvertes, on voit mal un hacker se soucier de recompiler et de réinstaller son OS à chaque alerte.

- Le blackphone n'est pas rooté alors que sur une installation Cyanogen on l'est et l'on est donc plus vulnérable à des applications frauduleuses ou à l'exploitation d'applications déjà installées.

- Le blackphone fournit les services de VPN, de VOIP, de Cloud nécessaire à son fonctionnement, cette gestion de l'aspect serveur serait également une lourde tâche pour un particulier qui voudrait tout gérer lui même.

Le blackphone apporte donc un réel service puisque même s'il est techniquement imaginable qu'un expert sécurise de lui-même son propre téléphone à un niveau de sécurité similaire, il n'en aura pas le temps et l'utilisateur lambda lui n'en aura de toute manière pas les capacités. Même s'il existe de nombreuses failles dans le blackphone (que j'aborderai dans un autre billet) il n'est pas moins certain que ce produit propose une sécurité de l'information bien supérieure à un smartphone classique.

Bp frontback4502

Aucun commentaire:

Enregistrer un commentaire