jeudi 10 avril 2014

Ce que peut un blackphone contre la NSA

J'ai déjà expliqué dans un précédent billet comment le blackphone pouvait protéger un utilisateur standard de manière tout à fait satisfaisante contre les menaces d'un hacker, d'un administrateur système peu scrupuleux, de sa propre entreprise, d'un wifi public, bref de toutes les menaces quotidiennes sur votre vie privée et données confidentielles.

En revanche un blackphone ou tout autre téléphone sécurisé selon les mêmes principes (firewall, VPN, bac à sable, chiffrement, ROM personnalisée, ...) ne pourra pas grand-chose contre une attaque étatique de la part de la NSA, de la DGSE française, du CGHQ britannique ou tout autre agence de renseignement compétente.

Déjà il est illusoire de penser que le code, même open source de l'OS utilisé (typiquement Android) ne contient pas de zero day. Et même si ce risque est présent également dans le cas d'un attaquant isolé, il est multiplié lorsque l'attaque provient d'une organisation qui dispose des contacts et moyens financiers pour se procurer ses failles de sécurité. (cf les plateformes de vente de zero day officielles ou le marché noir)

Mais ceci n'est rien quant aux possibilités de backdoor (voulu ou causée par une faille involontaire) dans des composants du téléphone non maîtrisables par le concepteur. Typiquement il s'agit:
- De la partie non open source de l'OS (certains drivers par exemple)

- Du baseband du téléphone, véritable OS qui tourne en parallel de l'interface utilisateur et qui est complètement fermé, propriétaire et dont le code est probablement très ancien, développée sans aucune considération pour la sécurité.

- Du matériel lui-même qui peut contenir des failles au niveau hardware, comme une backdoor dans un processeur.

- De la carte SIM, elle même capable d'exécuter du code, et donc susceptible de comporter des failles ou d'être abusée

Même si l'on imaginait un téléphone complètement open source (hardware, OS, baseband, applications, bibliothèques et API, ...) on a toujours le risque d'un zero day même dans du code relu par des experts. Certaines failles de Linux par exemple, parfois grossières, sont restées inconnues, ou connues, mais non corrigées.

Bref il est illusoire de penser que le contenu de votre téléphone peut rester inaccessible à un état décidé à en connaître le contenu, mais ce n'est pas pour cela qu'il faut abandonner l'utilisation d'un tel téléphone car il vous protège déjà contre de nombreux abus bien plus réels.