Les téléphones basiques ne sont pas inoffensifs | Blog officiel de Kaspersky

Une analyse récente de cinq téléphones portables basiques et en vente pour 10 – 20 € ont minutieusement été étudiés en termes de sécurité. Communément surnommés « téléphones mobiles basiques » ou « téléphones pour seniors », et souvent achetés pour les personnes âgées qui ne veulent ou ne peuvent pas utiliser un smartphone, ces téléphones peuvent aussi servir de « roue de secours ». Certains pensent même qu’ils sont plus sûrs que certains smartphones Android.

L’auteur est en désaccord avec ce dernier point. Il a découvert des fonctions cachées dans quatre téléphones sur cinq. Deux transmettent des données lorsqu’ils sont allumés pour la première fois (divulguant ainsi les informations personnelles du nouveau propriétaire), et les deux autres partagent les données personnelles de l’utilisateur et peuvent s’abonner à des contenus payants en communiquant secrètement avec un serveur de commande via Internet.

Téléphones pour seniors infectés

L’auteur de cette étude fournit quelques renseignements sur les méthodes utilisées pour analyser le micrologiciel de ces dispositifs assez simples, et ces aspects techniques pourraient intéresser les personnes ayant envie de reproduire l’analyse. Entrons dans le vif du sujet et voyons les résultats obtenus.

Parmi les cinq téléphones étudiés, deux envoient quelque part les données de l’utilisateur lorsqu’ils sont allumés pour la première fois. Nous ne savons pas vraiment qui reçoit les informations : fabricant, distributeur, développeur du micrologiciel ou toute autre personne. Leur éventuelle utilisation reste aussi un mystère. Nous pouvons en déduire que ces données peuvent être utiles pour surveiller les ventes ou pour contrôler la distribution des lots de produits dans les différents pays. En d’autres termes, cela ne semble pas vraiment dangereux. Après tout, tous les smartphones transmettent des données télémétriques.

Il convient toutefois de rappeler que tous les grands fabricants de smartphones essaient au moins d’anonymiser les données collectées et que l’on sait plus ou moins où elles sont envoyées. Dans ce cas, en revanche, nous ne savons rien sur l’identité de la personne qui collecte des informations sensibles sur les propriétaires sans leur consentement. Par exemple, un des téléphones transmet le numéro de série, le pays où il a été activé, des informations relatives au micrologiciel, la langue et l’identifiant de la station de base, pratique pour savoir approximativement où se trouve l’utilisateur.

De plus, le serveur qui collecte les données n’est pas protégé, ce qui signifie que n’importe qui peut accéder aux informations. Une autre subtilité : la transmission se fait par Internet. Il est fort probable que l’utilisateur d’un téléphone portable basique ne sache même pas que le dispositif peut se connecter. Ainsi, indépendamment de tout le reste, ces opérations clandestines peuvent donner lieu à des frais élevés de trafic mobile.

Un des autres téléphones analysés, en plus de divulguer les données de l’utilisateur, a été programmé pour voler de l’argent au propriétaire. Selon une analyse du micrologiciel, le téléphone a contacté le serveur de commande via Internet et a suivi les instructions reçues, y compris celles qui consistent à envoyer des SMS cachés à des numéros surtaxés.

Le modèle de téléphone suivant dispose de fonctionnalités malveillantes encore plus avancées. Selon l’utilisateur d’un de ces téléphones, un inconnu a utilisé son numéro pour s’inscrire sur Telegram. Comment est-ce possible ? Pour créer un compte sur n’importe quelle application de messagerie instantanée utilisant un numéro de téléphone, un code de confirmation est envoyé par SMS. Il semblerait que le téléphone puisse intercepter le message et faire suivre le code de confirmation au serveur C&C, tout en cachant cette activité au propriétaire. Alors que les exemples précédents ne donnaient lieu qu’à quelques dépenses imprévues pour le propriétaire, ce scénario peut engendrer de véritables problèmes juridiques, notamment si le compte est utilisé à des fins criminelles.

Que devez-vous faire maintenant que vous savez que ces téléphones basiques ne sont pas sûrs ?

La différence entre ces téléphones basiques modernes et leurs homologues d’il y a dix ans est que, de nos jours, même un circuit bon marché peut avoir accès à Internet. Même un dispositif irréprochable pourrait donner lieu à une mauvaise nouvelle : un téléphone choisit spécifiquement pour son incapacité à se connecter à Internet y a tout de même accès.

Ce même chercheur a analysé un autre téléphone à touche. Même s’il n’a trouvé aucune fonctionnalité malveillante, le dispositif avait un menu d’abonnements payants pour recevoir l’horoscope ou jouer à des jeux de démonstration, et l’utilisateur pouvait débloquer la version complète en envoyant un SMS et donc en payant. En d’autres termes, les personnes âgées ou les enfants peuvent appuyer sur le mauvais bouton de ce téléphone, acheté justement parce qu’il n’a pas accès à Internet ni aux applications, et payer pour leur erreur.

Cette histoire de téléphones « infectés » est intéressante parce que ces « fonctionnalités supplémentaires » sont ajoutées par le fabricant ou un intermédiaire en Chine, et les distributeurs locaux pourraient ne pas connaître le problème. Une autre difficulté est que ces téléphones à touche sont envoyés en petits lots et dans plusieurs modèles. Il est donc difficile de faire la différence entre un téléphone normal et un modèle compromis, sauf si quelqu’un analyse minutieusement le micrologiciel. Il est évident que certains distributeurs ne peuvent pas assumer les contrôles adéquats de micrologiciel.

Il serait peut-être plus simple d’acheter un smartphone. Cela dépend évidemment du budget et, malheureusement, les smartphones plus économiques pourraient rencontrer des problèmes similaires en termes de malwares. Si vous pouvez en acheter un, même très basique, choisissez le modèle d’un grand fabricant puisque ce choix pourrait s’avérer plus sûr, surtout si vous choisissez un téléphone à touche parce que vous recherchez quelque chose de simple, fiable et sans vice caché. Vous pouvez réduire les risques sur Android en installant un antivirus fiable. Les téléphones basiques n’offrent pas cette possibilité.

Quant aux personnes âgées, si elles ont l’habitude de répondre au téléphone en ouvrant le clapet, il leur sera presque impossible d’utiliser un écran tactile mais, selon nous, ce changement en vaut la peine. Beaucoup de seniors sont passés aux smartphones assez facilement et peuvent profiter pleinement de tout ce que le vaste monde de l’informatique mobile a à leur offrir.