Le Premier ministre australien Anthony Albanese a récemment émis une recommandation inhabituelle concernant la cybersécurité, invitant les citoyens à éteindre leurs téléphones portables pendant cinq minutes chaque nuit pour augmenter leur sécurité. Cette pratique apparemment simple soulève des questions quant à son efficacité, à la logique derrière le moment et la durée spécifiques. La recommandation est attribuée à son potentiel de contrer les menaces de logiciels espions et de logiciels malveillants, notamment ceux actifs en arrière-plan.
L’Australie a fait face l’année dernière à des fuites massives et des piratages affectant les données personnelles de 40% de la population. Dans une déclaration citée par The Guardian, le Premier ministre Anthony Albanese a souligné l’importance de la responsabilité personnelle pour maintenir la cybersécurité. Il a proposé une pratique simple : éteindre son téléphone portable cinq minutes chaque nuit. Cette recommandation a également été soulignée comme un rituel quotidien à intégrer dans la routine, comme se brosser les dents.
La stratégie des cinq minutes : considérations possibles
Bien que la logique exacte derrière la durée de cinq minutes et le moment nocturne reste spéculative, il est logique d’explorer les avantages potentiels pour la sécurité numérique. Cette pratique peut contrer les logiciels espions en arrière-plan des appareils. Comprendre cette logique implique de distinguer deux types de logiciels malveillants : les menaces persistantes et non persistantes.
Menaces persistantes : Il s’agit de logiciels malveillants ou de malware qui restent actifs même après le premier lancement de l’application, la session de connexion actuelle ou même après un arrêt complet et un redémarrage. Ils peuvent survivre à travers différentes phases d’utilisation et d’arrêt de l’appareil.
Menaces non persistantes : En revanche, les menaces non persistantes sont temporaires et ne survivent pas du lancement d’une application au suivant, d’une session à la suivante ou de l’arrêt à la réinitialisation. Elles sont effectivement arrêtées lorsque l’appareil est complètement éteint.
En t’encourageant à éteindre ton téléphone tous les jours pendant cinq minutes, la recommandation du Premier ministre pourrait interrompre efficacement les menaces persistantes qui ont réussi à s’installer en arrière-plan de ton appareil. Éteindre ton appareil ferme toutes les applications en cours et arrête ensuite le système d’exploitation, ce qui interrompt l’activité des logiciels malveillants ou des logiciels espions et d’autres processus en arrière-plan. Par conséquent, un arrêt régulier pourrait servir de contre-mesure aux menaces persistantes.
Si les attaquants ne peuvent déclencher que l’exécution de code non autorisé dans ton navigateur, il est probable que leurs logiciels malveillants ne puissent pas sortir du processus du navigateur et, par conséquent, ne puissent pas accéder ou modifier d’autres parties de ton appareil.
Les logiciels malveillants pourraient donc être limités à la session de navigation actuelle, de sorte que redémarrer ton téléphone (ce qui supprimerait le logiciel du navigateur et le code malveillant injecté en mémoire) désinfecterait effectivement ton appareil de manière magique.
Mais si le code non autorisé que les attaquants exécutent via le bogue Zero-Day de WebKit dans ton navigateur déclenche ensuite un autre bogue Zero-Day dans le noyau, c’en est fini de toi.
Les attaquants peuvent utiliser le malware non persistant dans ton navigateur pour compromettre le noyau lui-même et prendre le contrôle de l’ensemble de ton appareil.
Ensuite, les attaquants peuvent utiliser le code non autorisé exécuté dans le noyau de ton appareil pour implémenter une infection persistante de malware qui redémarre automatiquement chaque fois que ton téléphone est redémarré.
Si les attaquants le décident, un redémarrage régulier de ton téléphone chaque jour est une sécurité trompeuse, car tu auras l’impression de faire quelque chose de vraiment important et utile, bien que ce ne soit pas le cas.
Voici 8 autres conseils que tu devrais également envisager
Avec ces pensées en tête, voici quelques conseils supplémentaires sur la cybersécurité mobile que tu devrais également envisager. Malheureusement, aucun d’entre eux n’est aussi simple et discret que simplement “allumer et éteindre”, mais ils sont tous importants à connaître :
1. Renoncez aux applications dont vous n’avez pas besoin
Désinstallez complètement les applications inutiles et supprimez toutes les données associées. Si vos besoins changent, vous pouvez réinstaller l’application à tout moment dans le futur. Le meilleur moyen de prévenir l’espionnage de données par des logiciels malveillants est de ne pas les stocker là où des logiciels malveillants peuvent les voir. Malheureusement, de nombreux appareils mobiles sont livrés avec une série de logiciels préinstallés qui ne peuvent pas être désinstallés, appelés péjorativement logiciels indésirables, mais certains de ces paquets non supprimables peuvent être désactivés pour empêcher leur exécution automatique en arrière-plan.
2. Déconnectez-vous expressément des applications lorsque vous ne les utilisez pas
Ceci est un conseil impopulaire, car vous ne pourrez pas simplement ouvrir une application comme Zoom, Outlook ou Strava et vous retrouver instantanément au milieu d’une réunion, d’un forum de discussion ou d’une sortie de groupe.
Se connecter avec des mots de passe et des codes 2FA via le clavier peu commode d’un téléphone peut être fastidieux. Mais le meilleur moyen de ne pas divulguer involontairement des données est de n’autoriser l’appareil à y accéder que si c’est vraiment nécessaire. Le redémarrage de votre appareil ne “redémarre” pas l’état de connexion des applications que vous utilisez, de sorte que votre téléphone s’authentifie automatiquement auprès de tous les comptes en ligne associés aux applications fréquemment utilisées, à moins que vous ne vous soyez déconnecté. Malheureusement, différentes applications (et différentes options du système d’exploitation) mettent en œuvre des procédures de déconnexion de manière différente, vous devrez donc peut-être fouiller pour découvrir comment le faire.
3. Apprenez à gérer les paramètres de confidentialité de toutes les applications et services que vous utilisez
Certaines configurations peuvent être contrôlées de manière centrale via l’application des paramètres du système d’exploitation de votre téléphone, d’autres peuvent être gérées via l’application elle-même, et d’autres peuvent nécessiter une visite sur un portail en ligne. Malheureusement, il n’existe pas de raccourci pour cela, car différentes applications, systèmes d’exploitation et même fournisseurs de téléphonie mobile ont différents outils de configuration. Envisagez de consacrer un après-midi pluvieux à explorer les nombreuses options de confidentialité et de sécurité disponibles dans les applis et services que vous utilisez.
4. Apprenez à effacer l’historique de votre navigateur, les cookies et les données des sites web, et faites-le souvent
Le redémarrage de votre appareil ne “redémarre” pas l’historique de votre navigateur, ce qui signifie que toutes sortes de cookies de suivi et d’autres éléments de l’historique personnel persistent même si votre téléphone est redémarré. Encore une fois, chaque navigateur procède différemment, aussi devez-vous adapter la procédure d’effacement de l’historique et des cookies au(x) navigateur(s) que vous utilisez.
5. Désactivez autant que possible sur l’écran de verrouillage
Idéalement, votre écran de verrouillage doit être exactement cela, un écran verrouillé, sur lequel vous pouvez faire deux choses : passer un appel d’urgence ou déverrouiller votre appareil pour l’utiliser. Chaque application à laquelle vous permettez d’accéder à votre “écran de verrouillage” et chaque donnée personnelle que vous choisissez d’y afficher (réunions à venir, lignes d’objet des messages, notifications personnelles, etc.) affaiblit votre position de cybersécurité, même de manière minime.
6. Utilisez le code de verrouillage le plus long et le délai de verrouillage le plus court que vous puissiez supporter
Un petit désagrément pour vous peut représenter un obstacle massif pour les cybercriminels. Habituez-vous aussi à verrouiller manuellement votre appareil chaque fois que vous le posez, même si c’est juste devant vous, simplement pour plus de sécurité.
7. Faites attention à ce que vous partagez
Si vous n’avez pas besoin de connaître précisément votre emplacement, envisagez de désactiver complètement les services de localisation. Si vous n’avez pas besoin d’être en ligne, essayez de désactiver le Wi-Fi, le Bluetooth ou votre connexion mobile. Et si vous n’avez vraiment pas besoin de votre téléphone (par exemple, lorsque vous partez pour une promenade sans l’emporter), envisagez de l’éteindre complètement jusqu’à plus tard, comme le suggère le Premier ministre australien.
8. Défini un code PIN sur ta carte SIM, si tu en as une
Une carte SIM physique est la clé cryptographique de tes appels téléphoniques, messages texte et peut-être de certains de tes codes de sécurité 2FA ou réinitialisations de compte. Ne facilite pas la tâche à un voleur qui vole ton téléphone, simplement en insérant ta carte SIM non verrouillée dans son propre téléphone pour s’approprier facilement la fonction “Téléphone” de ta vie numérique. Tu n’auras besoin de ressaisir ton code PIN SIM que lorsque tu redémarreras ton téléphone, pas avant chaque appel.
Au fait, si tu envisages de redémarrer régulièrement ton téléphone – comme nous l’avons mentionné ci-dessus, cela ne fait pas de mal et cela te donne chaque jour un nouveau départ du système d’exploitation – pourquoi ne pas suivre exactement le même processus avec ton ordinateur portable ?
Le mode veille des ordinateurs portables modernes est incroyablement pratique, mais il ne te fait vraiment économiser que quelques minutes par jour, car les ordinateurs portables modernes démarrent de toute façon très rapidement.
Oh, et n’oublie pas non plus de nettoyer régulièrement l’historique de ton navigateur sur ton ordinateur portable – c’est une précaution mineure.
