Protégez les communications de vos VIP !

Le cisa vient de mettre à disposition un guide de sécurisation des communications pour les personnes sensibles. Pour télécharger le rapport en anglais : https://www.cisa.gov/sites/default/files/2024-12/guidance-mobile-communications-best-practices.pdf

Vous trouverez ci dessous une traduction en Français

Laurent TERUIN | MVP | https://workingtogether.fun/ | @workingtogether.bsky.social |contact@workingtogether.fun

Introduction

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a identifié une activité de cyberespionnage menée par des acteurs malveillants affiliés au gouvernement de la République populaire de Chine (RPC) ciblant les infrastructures de télécommunications commerciales.
Cette activité a permis le vol des enregistrements d’appels des clients et la compromission des communications privées d’un nombre limité d’individus hautement ciblés. Bien qu’applicable à tous les publics, ce guide s’adresse spécifiquement aux individus « hautement ciblés » qui occupent des postes gouvernementaux ou politiques de haut niveau et sont susceptibles de détenir des informations susceptibles d’intéresser ces acteurs de la menace. La CISA publie ce guide des meilleures pratiques pour promouvoir la protection des communications mobiles contre l’exploitation par des acteurs de la cybermenace affiliés à la RPC et d’autres acteurs malveillants.

Bonnes pratiques

La CISA recommande vivement aux personnes très ciblées de revoir et d’appliquer immédiatement les meilleures pratiques ci­ dessous pour protéger les communications mobiles.

Les personnes très ciblées doivent partir du principe que toutes les communications entre les appareils mobiles (y compris les appareils gouvernementaux et personnels) et les services Internet risquent d’être interceptées ou manipulées.

Bien qu’aucune solution unique n’élimine tous les risques, la mise en œuvre de ces meilleures pratiques améliore considérablement la protection des communications sensibles contre les acteurs malveillants affiliés au gouvernement et autres. Les organisations ont peut­ être déjà mis en place ces meilleures pratiques, telles que des plateformes de communication sécurisées et des politiques d’authentification multifacteur (MFA). Dans les cas où les organisations ne le font pas, appliquez les meilleures pratiques suivantes à vos appareils mobiles.

Recommandations générales

Appliquez ces bonnes pratiques à vos appareils et comptes en ligne.

1. Utilisez uniquement des communications chiffrées de bout en bout.

• Adoptez une application de messagerie gratuite pour des communications sécurisées qui garantissent un transfert de bout en bout chiffré, comme Signal ou des applications similaires. La CISA recommande une messagerie cryptée de bout en bout. Ces applications peuvent également proposer des clients pour MacOS, Windows et Linux, et parfois le Web. Ces applications prennent généralement en charge les conversations textuelles individuelles, les conversations de groupe avec jusqu’à 1 000 participants et les appels vocaux et vidéo cryptés. En outre, elles peuvent inclure des fonctionnalités telles que la disparition des messages et des images, qui peuvent améliorer la confidentialité. Lors de la sélection d’une solution de bout en bout , évaluez la mesure dans laquelle l’application et les services associés collectent et stockent des métadonnées.

• Activez l’authentification anti­phishing Fast Identity Online (FIDO) . L’authentification FIDO utilise la forme la plus puissante de MFA et est efficace contre les techniques de contournement de MFA. Dans la mesure du possible, des clés de sécurité FIDO basées sur le matériel, telles que Yubico ou Google Titan, sont les plus efficaces ; cependant, les clés d’accès FIDO sont une alternative acceptable.

• Faites l’inventaire des comptes importants, notamment ceux de messagerie électronique et de réseaux sociaux. Passez en revue tous les comptes dont la fuite d’informations pourrait profiter aux acteurs malveillants.
  
• Inscrivez chaque compte dans l’authentification basée sur FIDO, en particulier Microsoft, Apple, et Google. Une fois inscrit à l’authentification basée sur FIDO, désactivez les autres formes d’authentification multifacteur moins sécurisées.
  
• Pour les utilisateurs de Gmail, inscrivez-­vous au programme de protection avancée (APP) de Google , car cela renforce votre défenses contre le phishing et le piratage de compte.
  

3. Éloignez­vous de l’authentification multifacteur basée sur le service de messages courts (SMS). N’utilisez pas les SMS comme deuxième facteur d’authentification. Les messages SMS ne sont pas chiffrés : un acteur malveillant ayant accès au réseau d’un fournisseur de télécommunications qui intercepte ces messages peut les lire. L’authentification multifacteur par SMS n’est pas résistante au phishing et ne constitue donc pas une authentification forte pour les comptes d’individus hautement ciblés.
   
   Remarque : certains services en ligne peuvent utiliser par défaut les SMS lors des processus de récupération de compte ; il peut ne pas être possible d’éliminer complètement les messages SMS du service.
   
   Pour les comptes de moindre valeur, utilisez d’autres formes d’AMF telles que les codes d’authentification. Configurez ces comptes avec une application d’authentification gratuite, telle que Google Authenticator, Microsoft Authenticator ou Authy. Remarque : si les codes d’authentification sont plus efficaces que les SMS, ils restent vulnérables au phishing. Seule l’authentification FIDO résiste au phishing.
   
   Une fois inscrit, désactivez les SMS pour chaque compte. L’inscription à l’AMF basée sur un authentificateur ne désinscrit pas automatiquement le SMS du compte. Cela peut créer un mécanisme de repli faible et exploitable par les acteurs de la menace.
   
   

4 Utilisez un gestionnaire de mots de passe pour stocker tous les mots de passe. Certains gestionnaires de mots de passe, tels que l’application Apple Passwords, LastPass, 1Password, Google Password Manager, Dashlane, Keeper et Proton Pass, signalent automatiquement les mots de passe faibles, réutilisés ou ayant fait l’objet d’une fuite. En outre, certains de ces gestionnaires de mots de passe génèrent des codes d’authentification.

Protéger le mot de passe du coffre-fort (mot de passe principal) par une phrase de passe forte (longue, unique et aléatoire).

Examinez les mots de passe existants pour vous assurer qu’ils sont longs, uniques et aléatoires. Si ce n’est pas le cas, remplacez-les par des mots de passe générés par le gestionnaire de mots de passe. Pour plus d’informations, voir les conseils de la CISA sur l’utilisation de mots de passe forts.

5 Définir un code PIN Telco. La plupart des opérateurs de télécommunications offrent la possibilité de définir un code PIN ou un code d’accès supplémentaire pour votre compte de téléphonie mobile. Ce code PIN est nécessaire pour se connecter à votre compte ou pour effectuer des opérations sensibles, telles que le transfert de votre numéro de téléphone – une étape essentielle pour contrer les techniques de remplacement du module d’identité de l’abonné (SIM).

• Ajoutez un code PIN et un MFA au compte de votre opérateur de téléphonie mobile afin de réduire le risque de techniques d’échange de cartes SIM. Ensuite, utilisez votre gestionnaire de mots de passe pour modifier le mot de passe de votre compte mobile.

6 Mettre régulièrement à jour les logiciels.
Mettez régulièrement à jour les systèmes d’exploitation et les applications des appareils mobiles. Vérifiez chaque semaine que les appareils sont à jour.
Activez la mise à jour automatique sur les appareils mobiles pour garantir la mise à jour du système d’exploitation et des applications en temps voulu.

7 Optez pour la dernière version du matériel fournie par le fabricant de votre téléphone portable. Le matériel le plus récent intègre souvent des fonctions de sécurité essentielles que le matériel plus ancien ne peut pas prendre en charge. Sans la version la plus récente du matériel, les mises à jour logicielles seules ne permettront pas d’obtenir le maximum d’avantages en matière de sécurité.

8 N’utilisez pas de réseau privé virtuel (VPN) personnel. Les VPN personnels ne font que déplacer les risques résiduels de votre fournisseur d’accès à Internet (FAI) vers le fournisseur de VPN, ce qui augmente souvent la surface d’attaque. De nombreux fournisseurs de VPN gratuits et commerciaux ont des politiques de sécurité et de confidentialité douteuses. Toutefois, si votre organisation a besoin d’un client VPN pour accéder à ses données, il s’agit d’un cas d’utilisation différent.

ccéder à ses données, il s’agit d’un cas d’utilisation différent.

Recommandations spécifiques à l’iPhone

Les recommandations ci­dessous sont spécifiques aux utilisateurs d’iPhone pour améliorer la protection des communications mobiles.

1. Activez le mode de verrouillage. Le mode de verrouillage limite strictement certaines applications, sites Web et fonctionnalités, ou rend certaines fonctionnalités indisponibles, afin de réduire la surface d’attaque qui pourrait potentiellement être exploitée par une menace.
2. Protégez vos requêtes DNS (Domain Name System). Apple iCloud Private Relay offre des fonctionnalités améliorées en matiére de confidentialité et sécurité ; Comme alternative partiellement gratuite, utilisez les services DNS cryptés pour iOS de fournisseurs tels que 1.1.1.1 Resolver de Cloudflare, Résolveur 8.8.8.8 de Google , et le résolveur 9.9.9.9 de Quad9. Ces services prennent en charge le DNS chiffré pour empêcher l’interception et la manipulation par les acteurs malveillants.

• Désactivez le paramètre suivant pour garantir que les messages ne soient pas envoyés sous forme de SMS si iMessage n’est pas disponible. iMessage offre un cryptage de bout en bout entre les utilisateurs Apple.
  • Désactiver : Paramètres      Applications      Messages     « Envoyer sous forme de SMS »

• Inscrivez­vous à Apple iCloud Private Relay. Pour des protections supplémentaires, inscrivez­vous à Apple iCloud Private Relay (consultez le Guide de l’utilisateur iCloud) . (pour les instructions de configuration). Private Relay garantit que les appareils iCloud utilisent un DNS sécurisé, masque les adresses IP et répartit le trafic entre les serveurs contrôlés par Apple et un tiers pour réduire les risques qu’une seule entité puisse lier le comportement du navigateur à l’identité de l’utilisateur. Remarque : ces avantages sont limités au navigateur Safari.
• Vérifiez et limitez les autorisations des applications via Paramètres     Confidentialité et sécurité. Vérifiez les applications qui accèdent aux données onnées sensibles, telles que la localisation, l’appareil photo et le microphone. Révoquez et évitez d’accorder des autorisations inutiles ou excessives pour la fonctionnalité de l’application.

Recommandations spécifiques à Android

Les recommandations ci-dessous s’adressent spécifiquement aux utilisateurs d’Android et visent à renforcer la protection des communications mobiles.

1. Privilégier les modèles des fabricants ayant de solides antécédents en matière de sécurité et s’engageant à effectuer des mises à jour de sécurité à long terme. Par exemple, examinez les appareils dédiés aux travailleurs intellectuels recommandés par Android pour les entreprises afin de vous assurer que les modèles répondent aux normes de sécurité et de mise à jour. En combinant un matériel à jour avec des mises à jour logicielles régulières, les utilisateurs d’Android peuvent tirer pleinement parti des améliorations de sécurité en constante évolution de la plateforme. Donnez la priorité aux modèles qui :
   
   Prennent en charge les fonctions de sécurité au niveau du matériel – souvent appelées enclave sécurisée ou module de sécurité matériel (HSM) – pour permettre le stockage sécurisé des clés cryptographiques.
   
   proposent des mises à jour de sécurité au moins mensuelles.
   S’engagent à effectuer des mises à jour de sécurité pendant au moins les cinq prochaines années.
   
2. N ‘utilisez les services de communication riches (RCS) que si le cryptage de bout en bout est activé. Si tous les participants utilisent Google Messages, votre conversation utilisera le cryptage de bout en bout. Pour plus d’informations, consultez les sections Activer les chats RCS dans Google Messages et Utiliser le cryptage de bout en bout dans Google Messages.
   
3. Configurez Android Private DNS pour utiliser un résolveur de confiance à haut niveau de confidentialité, tel que le résolveur 1.1.1.1 de Cloudflare, le résolveur 8.8.8.8 de Google et le résolveur 9.9.9.9 de Quad9.
   
4. Confirmez que l’option Toujours utiliser des connexions sécurisées est activée dans le navigateur Chrome sur votre appareil Android afin d’améliorer la sécurité de la navigation mobile. Cette fonction doit être activée par défaut et garantit que toutes les connexions aux sites web se font par défaut en HTTPS dans la mesure du possible, ce qui permet de se protéger contre l’interception et la manipulation par les acteurs de la menace. Voir les conseils de Google sur la gestion de la sécurité de Chrome.
   
5. Confirmez que la protection renforcée pour la navigation sécurisée est activée dans le navigateur Chrome sur votre appareil Android afin de fournir une couche de protection supplémentaire contre les sites Web malveillants, les tentatives d’hameçonnage et les téléchargements nuisibles. La fonction de navigation sécurisée doit être activée par défaut et vous avertit si vous tentez de naviguer vers des sites potentiellement dangereux ou de télécharger des fichiers suspects. Pour activer et optimiser cette fonctionnalité, consultez les conseils de Google intitulés Choisissez votre niveau de protection pour la navigation sécurisée dans Chrome.
   
6. Confirmez que Google Play Protect est activé pour détecter et empêcher les applications malveillantes. Consultez régulièrement les analyses d’applications pour identifier les menaces potentielles. Faites preuve de prudence si vous utilisez des boutiques d’applications tierces ou des applications « sideloading » provenant d’autres sources.