Mobile Privacy : Ce que votre opérateur peut voir et faire…

A l’occasion de l’Internet @ Liberty Conference sponsorisée par Google, organisée 23 et 24 Mai 2012 à Washington DC, il s’est tenu un workshop sur la sécurité mobile qui a été animé par l’association Safer Mobile, spécialisée dans la sécurité mobile pour les activistes et journalistes.

Pour être très explicite sur comment les choses se passent, ils ont installé un réseau mobile qui a une portée de quelques mètres via un dispositif utilisant OpenBTS connecté à un PC Portable.

Trois téléphones étaient autorisés à se connecter à ce réseau privé pour servir de test. Chaque transaction (SMS, appel, MMS, etc.) était identifié par deux paramètres : l’IMEI qui identifie votre appareil et l’IMSI qui identifie votre carte SIM. L’achat de carte SIM anonymement est justement interdit dans la majorité des pays du monde pour des raisons de sécurité relatives à la possibilité d’identifier le porteur de la carte SIM.

Plusieurs expériences ont clairement démontré ce que votre opérateur peut voir et faire, en quelques mots :

• Tous vos SMS sont clairement visibles par votre opérateur qui peut les enregistrer, lire, intercepter et, éventuellement, les changer en quasi-temps réel. Si vous utilisez une application de cryptage comme SecureText, vous serez plus facilement repérer éventuellement par rapport à vos intentions.
• Tous vos appels vocaux peuvent être enregistrés par votre opérateur sans que vous en sachiez quoi que ce soit et sans aucun signe distinctif du genre bip ou écho ou autre.
• Toutes vos photos et vidéos envoyées à travers le réseau de votre opérateur en mode MMS par exemple peuvent être copiées.
• Tous vos échanges en mode Data peuvent être loggés même avec les méta-données que vous émettez.
• Tous vos déplacements et géolocalisations, avec une précision qui dépend du nombre de BTS auxquels vous êtes connectés, peuvent être enregistrés avec en prime la position GPS si ce dernier existe sur votre appareil. Tout en sachant que même si votre GPS est désactivé, ce dernier peut être activé à distance par votre opérateur via un protocole spécial appelé Radio Resource Location Services Protocol.

Votre privacy dans tout ça ? ne vous inquiétez pas ! Un opérateur n’a le droit de faire ça que s’il a une autorisation légale ou un jugement l’obligeant à fournir vos données aux services gouvernementaux qui les demandent… Enfin théoriquement.

Pour finir, je vous incite à voir l’expérience de ce politicien allemand, Malte Spitz, qui a galéré pour obliger Deutsche Telecom à lui fournir une copie de toutes ses données enregistrés chez eux sur une durée de Six mois.

Le résultat est juste spectaculaire : http://www.zeit.de/datenschutz/malte-spitz-data-retention

Aux journalistes citoyens des révolutions encours comme en Syrie, je vous suggère une bonne lecture de ce document, très utile à mon avis : Mobile Security Survival Guide for Journalists

Pour conclure, je pense que la seule façon de protéger votre Privacy à 100% c’est d’enlever la batterie de votre téléphone.