Neuf conseils pratiques pour utiliser votre téléphone portable en toute sécurité

Le téléphone mobile est devenu un compagnon fidèle au quotidien. Petit et compact, il renferme toujours plus de données personnelles (photos, contacts, courriels, messages de texte, etc.). La perte ou le vol de telles données peut donc entraîner de graves désagréments. De façon générale, les règles de sécurité à suivre sont les mêmes que pour un ordinateur fixe ou portable, à ceci près qu’en raison de sa petite taille, un téléphone mobile risque davantage de se faire voler ou d’être égaré. L'OFCS vous donne neuf conseils pratiques pour rendre l'utilisation de votre téléphone portable plus sûre. L'accent est mis sur la gestion des réseaux sans fil publics:

  1. Toujours verrouiller son téléphone
  2. Prendre ses précautions en utilisant les réseaux publics sans fil
  3. Passer par un magasin d’applications officiel
  4. Installer un antivirus
  5. Effectuer les mises à jour
  6. Sauvegarder régulièrement ses données
  7. Activer le chiffrement de l’appareil
  8. Activer le service « Find My … » et avoir accès à la suppression à distance
  9. Se méfier des stations de recharge publiques   

1. Toujours verrouiller son téléphone

Notre téléphone mobile nous suit partout. Il peut ainsi arriver de déposer et d’oublier son appareil quelque part, par ex. pendant sa pause de midi, à la salle de fitness ou dans le train.

Le cas échéant, il est important d’empêcher que des tiers ne puissent accéder au contenu de son appareil. La perte d’informations telles que des courriels professionnels ou privés, des photos ou des numéros de téléphone pourrait vous nuire ou causer du tort à d’autres personnes, si ces informations tombent entre de mauvaises mains.

Selon la marque et le modèle d’appareil utilisé, vous pouvez utiliser au choix les méthodes suivantes:

  • empreinte digitale
  • reconnaissance faciale (Face ID)
  • reconnaissance de l’iris
  • mot de passe ou code PIN

Activez sans faute de telles méthodes d’authentification. Veillez à ce que votre appareil se verrouille le plus vite possible (30 secondes) en cas d’inactivité. Choisissez un code PIN suffisamment long et aléatoire. Évitez toute succession de chiffres comme 123456 ou 234567, ou des codes avec lesquels vous avez un lien personnel (date de naissance, numéro postal, plaque d’immatriculation, etc.).  

2. Prendre ses précautions en utilisant les réseaux publics sans fil

Des points d’accès sans fil à Internet (hotspots) sont proposés dans les gares, les aéroports, les hôtels, aux abords des lieux et espaces publics, ou encore dans les bars et restaurants. Le nom du réseau sans fil (SSID ou Service set identifier) s’achève en général par *_free, *_open ou *_guest.

L’un des risques majeurs que de tels points d’accès font courir aux internautes tient directement à leur mode de fonctionnement. En effet, chacun peut donner à son réseau sans fil le nom de son choix. Admettons que vous attendiez, dans le terminal d’un aéroport, d’embarquer sur votre vol. Vous essayerez peut-être de trouver un réseau proposé aux passagers par l’exploitant de l’aéroport.

En ouvrant la liste des réseaux sans fil disponibles, vous découvrez rapidement un réseau baptisé «WLAN_airport_free».

Il s’agit manifestement d’un point d’accès sans fil à Internet proposé par l’aéroport à ses passagers en transit.

Si vous vous connectez à ce point d’accès officiel, il y a bien des mécanismes de sécurité permettant de protéger les utilisateurs les uns des autres, afin que des tiers ne puissent épier le trafic du réseau (sniffing ou reniflage des données personnelles). Mais nul ne peut vous garantir qu’un tel mécanisme ait été activé. En son absence, des cybercriminels pourront lire toutes les informations que vous consultez, mots de passe compris, à condition d’être connectés au même réseau et que les données ne soient pas cryptées. Dans tous les cas, les escrocs sauront quels domaines vous visitez.

Or le nom «WLAN_airport_free» qui s’affiche n’est pas forcément celui du point d’accès officiel de l’aéroport. Un tel réseau n’a peut-être rien à voir avec l’exploitant de l’aéroport. Ainsi, des escrocs peuvent générer à partir d’un smartphone un point d’accès sans fil ayant exactement le même nom que celui du point d’accès officiel. En principe, les appareils se connectent en priorité au réseau sans fil ayant la plus grande puissance d’émission. Étant donné que le pirate se trouve à quelques mètres de vous et qu’il émet un signal plus puissant, votre appareil se connectera à son réseau.

Il existe par ailleurs des offres payantes de réseau sans fil. On en trouve surtout dans les grands centres touristiques, là où la demande est la plus forte. Pour se connecter à un tel réseau, il faut effectuer un paiement, généralement par carte de crédit. Des escrocs en profitent pour proposer, là encore, un point d’accès sans fil frauduleux portant un nom similaire voire identique, où ils demanderont les données de leur carte de crédit aux victimes s’étant par mégarde connectées à leur réseau.

Recommandations

En optant pour un réseau sans fil inconnu, on court toujours un certain risque, faute de pouvoir dire avec certitude qui est derrière ce réseau. Le risque apparaît aussitôt qu’une connexion est établie avec le réseau sans fil. Un pirate peut amener à partir de ce moment votre appareil à télécharger un maliciel. L’agresseur aura ainsi accès à toutes les données de votre téléphone.

Autre risque à signaler, le propriétaire du réseau sans fil frauduleux peut lire toutes les informations que vous laissez dans Internet en surfant. Il est par conséquent important que votre connexion aux pages Web consultées soit cryptée. N’indiquez jamais, si vous vous connectez à un réseau sans fil public, vos données d’ouverture de session sur des sites qui ne sont pas cryptés. Vérifiez la présence du préfixe «https» dans l’URL, ou celle de l’icône de cadenas dans la ligne d’adresse. De façon générale, il faudrait s’abstenir d’utiliser des services sensibles comme l’e-banking ou la consultation de ces courriels lors de l’utilisation de points d’accès publics.

En cas de doute, utilisez pour l’échange de données votre réseau de téléphonie mobile – soit à l’étranger les services d’itinérance (roaming).

Il est recommandé d’utiliser un service VPN. Toute la communication sera ainsi «cachée» et un agresseur n’aura aucune chance de pouvoir espionner votre navigation et vos données. Une connexion VPN s’impose notamment pour les applications professionnelles (par ex. courriels professionnels).

Désactivez le réseau sans fil (Wi-Fi) et Bluetooth, si vous n’avez pas besoin de ces services. Non seulement vous déjouerez des méthodes auxquels recourent les cybercriminels pour s’introduire discrètement dans votre appareil, mais la consommation énergétique de votre batterie diminuera.

3. Passer par un magasin d’applications officiel

L’installation d’applications malveillantes compte parmi les principaux vecteurs d’attaque des appareils mobiles. En moyenne, 200 millions d’applications sont installées par jour sur des appareils mobiles, de l’e-banking aux listes de courses. Or leur niveau de sécurité varie beaucoup et dépend en particulier de la source d’où provient l’application installée.

Outre les magasins d'applications qui sont préinstallés sur les téléphones par les fabricants (par ex. Google Play, App Store d'Apple), d'autres plateformes proposent des applications. Ces magasins d'applications sont dits «alternatifs» ou «tiers». Dans les magasins d'applications officiels, des vérifications approfondies sont menées sur les applications. Ce n'est pas le cas, ou alors seulement en partie, pour ces magasins d'applications alternatifs. L'OFCS recommande par conséquent de ne télécharger des applications que dans les magasins officiels. Ne recourez à des magasins d'applications alternatifs que si vous êtes au courant des problèmes de sécurité que cela peut poser et si vous estimez que la source est parfaitement fiable.

Lisez les avis d’autres utilisateurs et les conditions générales d’utilisation de l’application.

Autre risque à signaler, les applications exigent parfois lors de leur installation des droits d’accès excessifs. Ne donnez à une application que les droits nécessaires à son but originel. Évitez les applications qui vous demandent trop de droits d’accès.

  • une application météo n’a pas besoin d’accéder à votre liste de contacts téléphoniques;
  • une application gérant vos listes d’achats n’a pas besoin d’accéder à votre galerie de photos.    

4. Installer un antivirus

Comme les ordinateurs de bureau, les téléphones mobiles sont en butte aux attaques de virus. Il faudrait par conséquent installer un antivirus sur son téléphone mobile. 

5. Effectuer les mises à jour

Les mises à jour publiées par les fabricants et les développeurs ne se bornent pas à offrir de nouvelles fonctions. Elles servent aussi à combler les failles de sécurité et à éviter les erreurs de programmation. Il est par conséquent important de constamment maintenir à jour son appareil et toutes les applications qui y sont installées.  

6. Sauvegarder régulièrement ses données

L'OFCS vous recommande de sauvegarder régulièrement les données enregistrées sur votre appareil, en faisant appel à un service en nuage, lors d’une synchronisation avec votre ordinateur ou directement sur une unité de stockage externe.

Un accident est vite arrivé, tout comme la perte ou le vol de votre appareil!  

7. Activer le chiffrement de l’appareil

En cas de perte ou de vol, le chiffrement vous garantit que des tiers non autorisés n’auront pas accès aux données confidentielles enregistrées sur votre appareil. Le chiffrement est entre-temps automatiquement activé sur beaucoup d’appareils, à condition que le téléphone mobile soit protégé par un PIN ou par les fonctions TouchID ou FaceID. Il vaut toutefois la peine de contrôler sur les anciens appareils si le chiffrement est activé.    

8. Activer le service « Find My … » et avoir accès à la suppression à distance.

On a tôt fait d’oublier son téléphone quelque part. Pour répondre à ce problème, nombreuses sont les marques qui proposent un service de suivit et localisation de l’appareil à distance.

  • Sur Android le service ce nomme « Localiser mon appareil » il peut être directement téléchargé depuis le magasin d’application officielle « Play Store ». Plus d’information sur son activation et son fonctionnement: Aide Compte Google
  • Chez Apple il s’agissait de la fonction « Find My Iphone » qui se nomme aujourd’hui « Localiser ». Celle-ci est nativement installée sur chaque appareil Apple, mais doit être activée manuellement. Plus d’information sur son activation et son fonctionnement: Guide d’utilisation d’iCloud
  • Chez Samsung la fonction s’appelle « Find My Mobile », elle est également nativement présente sur le téléphone, mais demande là aussi une activation manuelle pour fonctionner. Plus d’information sur son activation et son fonctionnement: Find my Mobile

Généralement, ces fonctions de suivit et localisation du smartphone nécessite que l’appareil soit allumé, connecté à un réseau Wifi ou via les données mobiles et avec la géolocalisation activée.
Dans ce cas, l’appareil pourra transmettre sa position exacte et pourra recevoir des instructions comme de s’effacer, de jouer une sonnerie, etc.

En outre, certains modèles d’appareils peuvent être configuré afin que les données qu’il contient s’effacent automatiquement, après un certain nombre de tentatives avec un mot de passe incorrect.

9. Se méfier des stations de recharge publiques

Dès qu’on branche son appareil à une quelconque prise USB pour le recharger, les données qu’il contient sont exposées au risque d’être lues par des tiers. Il est en effet possible de collecter, lors du chargement, des informations sur le type d’appareil, la marque et le modèle. Il est également possible d’y introduire un maliciel.

La meilleure manière de se protéger consiste à utiliser exclusivement le bloc d’alimentation fourni lors de l’achat de l’appareil pour le recharger dans des lieux publics.

Une batterie externe (power bank) peut aussi rendre de précieux services. Vous pourrez la recharger à une station de recharge publique, puis charger votre téléphone mobile à l’aide de cette batterie. Ainsi le téléphone n’entrera jamais directement en contact avec la station de recharge publique.

Dernière modification 01.01.2024

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/infos-fuer/infos-private/aktuelle-themen/mobile-phone-security.html