Les appareils mobiles face aux cybermenaces

Transcription

Les appareils mobiles face aux cybermenaces
Le Conseil des consommateurs du Canada a reçu un financement du Programme de contributions pour les organisations sans
but lucratif de consommateurs et de bénévoles d’Industrie Canada. Les opinions exprimées dans ce rapport ne sont pas
forcément celles d’Industrie Canada ou du gouvernement du Canada.
Auteurs: Dennis C. Hogarth et Howard J. Deane, pour le Conseil des consommateurs du Canada
© Conseil des consommateurs du Canada, Juin 2013
2"
Les"appareils"mobiles"face"aux"cybermenaces"
Table of Contents
RÉSUMÉ"............................................................................................................................................."4!
INTRODUCTION".................................................................................................................................."7!
L’objet!de!cette!recherche!........................................................................................................................................!7!
Les!motifs!qui!ont!incité!le!Conseil!des!consommateurs!du!Canada!à!mener!cette!recherche!................................!7!
Le#risque#que#posent#notre#patrimoine,#notre#espace#numérique#et#notre#sous2estimation#du#danger#...............#7!
Les#capacités#et#l’utilisation#accrue#des#appareils#mobiles#et#la#dépendance#à#l’égard#de#ces#appareils#.............#7!
La#prise#de#conscience#des#consommateurs#..........................................................................................................#8!
Le#risque#est#élevé,#mais#l’impact#demeure#faible#.................................................................................................#8!
Dans!l’intérêt!du!consommateur!..............................................................................................................................!8!
Les#droits#et#les#devoirs#des#consommateurs#(et#la#vie#privée)#..............................................................................#8!
LA"RECHERCHE"................................................................................................................................."11!
La!portée!du!projet!..................................................................................................................................................!11!
Méthodologie!..........................................................................................................................................................!11!
La#recherche#initiale#............................................................................................................................................#11!
La#recherche#originale#.........................................................................................................................................#12!
L’environnement,!les!agents!de!développement!et!les!tendances!.........................................................................!12!
Les#capacités#.......................................................................................................................................................#13!
Les#données#démographiques#.............................................................................................................................#13!
La#dépendance#....................................................................................................................................................#14!
La#nature#humaine#entre#en#jeu#exposant#le#consommateur#à#des#risques#........................................................#15!
Les!acteurs!clés!........................................................................................................................................................!16!
Les#développeurs#de#logiciels#de#sécurité#............................................................................................................#16!
Les#développeurs#d’applications#.........................................................................................................................#17!
Les#organismes#de#réglementation#.....................................................................................................................#18!
Les#développeurs#sur#plateformes#.......................................................................................................................#22!
Fournisseurs#de#service#de#télécommunication#sans#fil#.......................................................................................#23!
Les#vendeurs#au#détail#d’appareils#......................................................................................................................#25!
Mesures#incitatives#pour#atténuer#les#effets#.......................................................................................................#26!
Plateformes!.............................................................................................................................................................!26!
Android#................................................................................................................................................................#27!
L’iOS#de#Apple#.....................................................................................................................................................#29!
BlackBerry#...........................................................................................................................................................#31!
Les!menaces!............................................................................................................................................................!32!
Grille#d’analyse#des#répercussions#:#première#partie#...........................................................................................#33!
La!perte!et!l’exposition!de!données!........................................................................................................................!41!
Les#pertes#financières#..........................................................................................................................................#41!
LA!SENSIBILISATION!DES!CONSOMMATEURS!AUX!DIFFÉRENTES!MENACES!..........................................................!45!
Les#groupes#de#discussion#sur#les#menaces#.........................................................................................................#45!
Conclusion#des#groupes#de#discussion#.................................................................................................................#49!
Le#point#de#vue#du#Réseau#de#consultation#de#l’intérêt#public#............................................................................#49!
Le#point#de#vue#des#répondants#clés#sur#la#sensibilisation#des#consommateurs#.................................................#50!
Les#dernières#recherches#.....................................................................................................................................#51!
Les#mesures#d’atténuation#..................................................................................................................................#51!
La#grille#d’analyse#des#répercussions#sur#les#consommateurs#–#3e#partie#...........................................................#53!
Les"appareils"mobiles"face"aux"cybermenaces" 3"
CONCLUSIONS".................................................................................................................................."55!
LES!MENACES!..........................................................................................................................................................!55!
La!réglementation!...................................................................................................................................................!57!
La!sensibilisation,!la!compréhension!et!le!comportement!des!consommateurs!....................................................!58!
LES"RECOMMANDATIONS"................................................................................................................"60!
Les!consommateurs!................................................................................................................................................!60!
Les#mesures#de#base#............................................................................................................................................#60!
Par#processus#......................................................................................................................................................#60!
La!réglementation!...................................................................................................................................................!62!
Les!fournisseurs!de!services!....................................................................................................................................!64!
Les#fournisseurs#de#plateformes#..........................................................................................................................#64!
Les#développeurs#d’applications#.........................................................................................................................#65!
Les#développeurs#de#logiciels#de#sécurité#............................................................................................................#66!
Les#entreprises#de#télécommunications#sans#fil#..................................................................................................#66!
Les!groupes!de!défense!des!consommateurs!.........................................................................................................!67!
Finalement,#.........................................................................................................................................................#67!
APPENDICES"....................................................................................................................................."68!
Appendix"I"M"Recent"Relevant"Research"..................................................."Error!!Bookmark!not!defined.!
Consumer#Behaviour,#Awareness#and#Mitigation#...................................................#Error!%Bookmark%not%defined.!
The#Threats#.............................................................................................................#Error!%Bookmark%not%defined.!
Appendix"II"M"Public"Interest"Network"Questionnaire"..............................."Error!!Bookmark!not!defined.!
Reluctance#to#mitigate#loss#and#exposure#risk#........................................................#Error!%Bookmark%not%defined.!
Concern#re#loss/theft#of#device#vs.#intrusive#threats#...............................................#Error!%Bookmark%not%defined.!
A#specific#role#for#wireless#carriers#..........................................................................#Error!%Bookmark%not%defined.!
The#regulators#role#..................................................................................................#Error!%Bookmark%not%defined.!
Role#of#Consumer#Groups#........................................................................................#Error!%Bookmark%not%defined.!
The#consumers#role#and#responsibilities#.................................................................#Error!%Bookmark%not%defined.!
Appendix"III"–"Key"Informant"Guidelines"Excerpts"..................................."Error!!Bookmark!not!defined.!
Emerging!Cyber!Threats!on!Mobile!Devices!...............................................................!Error!"Bookmark"not"defined.!
Introductory#Questions#...........................................................................................#Error!%Bookmark%not%defined.!
Risks#of#Mobile#Devices#...........................................................................................#Error!%Bookmark%not%defined.!
Consumer#Knowledge#.............................................................................................#Error!%Bookmark%not%defined.!
Product#Differences#.................................................................................................#Error!%Bookmark%not%defined.!
Cyber#Threats#to#the#Consumer#...............................................................................#Error!%Bookmark%not%defined.!
Insights#on#What#Those#Involved#Can#Do#................................................................#Error!%Bookmark%not%defined.!
What#Do#the#Experts#Do?#........................................................................................#Error!%Bookmark%not%defined.!
Final#Questions#........................................................................................................#Error!%Bookmark%not%defined.!
Key#Informants#........................................................................................................#Error!%Bookmark%not%defined.!
Appendix"IV"–"Focus"Groups"...................................................................."Error!!Bookmark!not!defined.!
Focus!Groups!Discussion!Guide!–!September!2012!(Modified)!.................................!Error!"Bookmark"not"defined.!
4"
RÉSUMÉ"
« Ma première pensée va au coût de remplacement. »1
« Nous conservons tellement d’information dans nos téléphones intelligents. Mon
fil a récemment perdu le sien pendant une heure et il est pratiquement devenu
hystérique lorsqu’il a réalisé tout le danger que cela représentait. Leçons
apprises. »2
« La facilité d’utilisation est une excellente chose, mais nous devons parfois
reconnaître que la sécurité a un prix. »3
Le téléphone intelligent est un appareil mobile puissant, éminemment performant, utile et productif, en
particulier lorsqu’il est jumelé à un consommateur averti. Cependant, lorsque vous jumelez un
consommateur moyen à un monde obscur marqué par l’émergence des cybermenaces, l’avenir semble
moins reluisant et plutôt incertain. Le Conseil des consommateurs du Canada a entrepris d’examiner cet
univers des téléphones intelligents et des cybermenaces courantes et émergentes. Le Conseil souhaite
ainsi évaluer les répercussions sur les consommateurs et connaître le niveau de compréhension et de
conscience que ces derniers ont par rapport à ces menaces, comment ils leur font face et quelles sont les
actions à poser pour atténuer et gérer ces menaces.
Bien que nous ayons fait plusieurs constatations intéressantes, une ressort de l’étude plus que les autres :
• La majorité des cybermenaces qui affectent les consommateurs au cours des trois années que durent
en moyenne, au Canada, les contrats d’engagement auprès d’un fournisseur de téléphones
intelligents émane des consommateurs eux-mêmes. Ils tentent également de les prévenir eux-mêmes.
Plusieurs consommateurs peuvent toutefois se trouver, à leur insu, dans une situation de risque
relativement à la sécurité et à la confidentialité de leurs renseignements personnels et sensibles. De
plus, de manière générale, ils omettent de poser de simples gestes peu coûteux pour éviter la perte de
leurs renseignements ou leur divulgation.
L’univers des téléphones intelligents se révèle très dynamique. Plusieurs facteurs qui ont des
répercussions sur les consommateurs y sont pour quelque chose, notamment :
• L’augmentation impressionnante des capacités des téléphones intelligents modernes, aujourd’hui
devenus de réels ordinateurs de poche, capables de stocker des quantités de données de nature
personnelle ou d’autres types de renseignements comme peuvent le faire plusieurs ordinateurs de
bureau ou portatifs;
• L’augmentation rapide du niveau de dépendance des consommateurs qui vaquent à leurs activités
quotidiennes et dont le nombre augmente aussi rapidement;
• La nature humaine, avec toutes ces tendances que les gens ont à exposer leurs renseignements
personnels à un risque de perte ou de divulgation soit par négligence, soit par ignorance, et,
inversement, pour les personnes malicieuses qui exploitent cette crédulité. En d’autres mots, c’est
1
Focus group participant
Public Interest Network survey respondent
3
Martin Hillger, IT Security Consultant, Key Informant Interview
2
cette tendance séculaire d’ignorer des menaces imminentes jusqu’à ce qu’elles se concrétisent, et
pour les autres de profiter de la situation pour en tirer un gain personnel par des moyens
inappropriés, qui prévaut.
La recherche a conduit à d’autres observations intéressantes :
• Les personnes qui sont conscientes de la forte probabilité des menaces prennent souvent des mesures
appropriées pour les contrer et sont moins susceptibles d’en subir les contrecoups.
• Photos, informations bancaires et mots de passe sont les types de consommateurs d'information sont
les plus préoccupés.
• Les fournisseurs de services de télécommunication sans fil et les détaillants d’appareils mobiles se
trouvent dans une position clé. Les efforts qu’ils déploient, appuyés et aidés des fournisseurs de
plateformes et possiblement des organismes de réglementation, peuvent contribuer de manière
importante à réduire les effets de la forte probabilité d’occurrence de cybermenaces, provenant
principalement du mauvais fonctionnement du matériel informatique ou des logiciels, d’une
mauvaise utilisation de la part de l’utilisateur ou de la perte ou du vol de l’appareil mobile.
• Les cybermenaces électroniques dont l’opération reste secrète (logiciel malveillant, piratage à
distance, etc.) entraînent très peu de répercussions pour le consommateur dont le niveau de
conscience relativement à ces menaces est faible et le degré de préparation pour leur faire face se
reflète dans leurs comportements. Ils leur portent moins attention qu’ils ne le devraient. La
probabilité que ces menaces se concrétisent est faible, mais le potentiel de la force de l’impact est
élevé. Nous pensons que les consommateurs prennent ces menaces plus à la légère parce qu’ils n’en
ont pas peur... encore. Les consommateurs n’agissent toujours pas par réflexe pour prévenir ces
menaces. Ce n’est certainement pas aussi facile que de réduire les chances d’échapper un téléphone
intelligent dans la toilette, de le perdre ou encore de l’exposer à un risque de vol.
Maintenant que nous sommes arrivés à ces conclusions, une question logique serait : que devrions-nous
faire? La réponse dépend de qui vous êtes.
• Les consommateurs ont besoin de connaître quels renseignements en leur possession s’exposent à
des risques de perte ou de divulgation, quelles en sont les répercussions et quel est leur niveau de
tolérance quant à ces risques. Ils doivent comprendre les risques qui pèsent sur eux et savoir
comment agir en conséquence, en prévision d’attaques possibles et en réaction à des attaques
perpétrées contre eux. Les consommateurs qui conservent des renseignements particulièrement
sensibles ou importants sur leurs appareils, ou qui sont préoccupés par la perte ou la divulgation de
leurs données, devraient maintenir un niveau de défense accru contre les menaces de faible
probabilité comme une infection par un logiciel malveillant ou d’autres formes de piratage à
distance. La grille d’analyse des répercussions comprise avec cette recherche peut aider un
consommateur qui cherche à se protéger dans cet environnement mondial mouvementé.
• Les fournisseurs de services de télécommunication sans fil et les détaillants d’appareils mobiles ont
besoin de connaître l’impact qu’ils ont sur les consommateurs et ce qu’ils peuvent faire pour aider
ces derniers, plus particulièrement au moment de la vente d’un appareil.
• Il faut que Apple (iOS), Google (Android) et BlackBerry sachent que le fait de fournir des contrôles
et d’utiliser des procédures d’authentification et des capacités logicielles et matérielles ne suffit pas.
Les paramètres par défaut pour ces mesures préventives devraient être activés, et non le contraire,
comme c’est habituellement le cas quand les consommateurs reçoivent leur appareil. Ils doivent
s’assurer que les fournisseurs de services de télécommunication sans fil et, dans certains cas, les
manufacturiers qui agissent au nom des fournisseurs de plateformes, obtiennent les mises à jour
rapidement pour éteindre toute flambée d’activités malveillantes, et éviter que les appareils
6"
s’exposent à des risques. Ils devraient également veiller à ce que les consommateurs puissent
prendre des décisions relativement aux procédures d’authentification externe ou intégrée. Trop de
consommateurs laissent tout ce qui se trouve sur leur téléphone intelligent non protégé, alors que,
s’ils avaient le choix, ils protégeraient ce qui leur importe le plus et garderaient ouvertes les
applications qu’ils utilisent fréquemment et qui courent peu de risques.
• Les organismes de réglementation ont besoin de savoir comment ils peuvent aider les
consommateurs, à court terme, à se protéger contre les cybermenaces dont la probabilité
d’occurrence est élevée et, à long terme, à veiller à ce qu’il n’y ait pas un effet notable en aval
résultant des cybermenaces potentiellement lancées à grande échelle. À bref délai, ils peuvent créer
un réseau d’appareils volés ou perdus, créant ainsi des conditions favorables pour la mise en place de
mesures pour la mise hors de fonction des appareils, réduisant du coup la probabilité de vol,
puisqu’il y aurait moins d’attrait pour les téléphones volés. Ils pourraient travailler avec des
organisations, particulièrement les fournisseurs de services de télécommunication sans fil, par
l’entremise des cadres réglementaires déjà en place, et encourager (ou réglementer/exiger/réguler, si
nécessaire) des façons par lesquelles ces fournisseurs peuvent remplir leur rôle en tant que
conseillers de confiance, comme les consommateurs les voient. Si les fournisseurs de plateformes ne
peuvent trouver la voie à suivre pour aider les consommateurs à se protéger facilement, il est
possible que les organismes de réglementations doivent intervenir et examiner les options possibles
plus attentivement.
• Dans leur rôle de représentants, les groupes de défense des consommateurs peuvent garder un oeil
sur les organismes de réglementation et les fournisseurs de services sans fil et vérifier leur efficacité
et encourager leurs efforts à vouloir l’améliorer.
Que faut-il retenir de tout cela? Que pouvons-nous faire dans l’immédiat pour produire un effet des plus
bénéfiques? Cela repose sur les épaules des consommateurs, dont bon nombre devraient exercer une
responsabilité accrue pour mieux se protéger contre ces menaces. Ils devraient également envisager les
actions suivantes :
• Évaluer leur tolérance au risque, leur profil de répercussions et les jumeler au téléphone qu’ils
achètent et au risque qu’ils désirent limiter.
• Verrouiller le téléphone intelligent avec un mot de passe.
• Acheter un boîtier robuste.
• Faire régulièrement des copies de sauvegarde.
• Ne pas se connecter à des réseaux Wi-Fi publics inconnus.
• « Penser avant de cliquer » sur un lien ou un courriel qui semble louche.
• Se faire peur. Faire semblant d’avoir perdu son téléphone intelligent. Qu’est-ce qu’une personne
curieuse y découvrirait? Qu’est-ce que ses parents ou ses enfants diraient s’ils le trouvaient?
Les entreprises doivent reconnaître qu’elles risquent de perdre à long terme si elles ne réussissent pas à
investir adéquatement dans des moyens de contrôle des risques cybernétiques pour les consommateurs.
Les entreprises qui retirent des bénéfices de la distribution des téléphones intelligents et des produits
connexes devraient être tenues de fournir des ressources pour réduire les risques pour les
consommateurs et autres personnes qui utilisent les produits, que ce soit en développant des dispositifs
de sécurité plus performants ou avec des programmes d’éd
INTRODUCTION"
L’objet"de"cette"recherche"
Cette recherche a pour but :
• D’identifier les tendances et les risques actuels et émergents liés à l’incidence des cybermenaces sur
l’utilisation d’appareils mobiles intelligents;
• De déterminer le niveau de conscience et de compréhension qu’ont les consommateurs canadiens de
ces risques et comment, si cela est possible, ils peuvent atténuer de tels risques;
• De mener à des recommandations relatives aux actions que peuvent exercer les consommateurs, les
organismes de réglementation et de défense des consommateurs, les concepteurs de plateformes et
les développeurs d’application afin de protéger les consommateurs canadiens.
Les"motifs"qui"ont"incité"le"Conseil"des"consommateurs"du"
Canada"à"mener"cette"recherche"
LE"RISQUE"QUE"POSENT"NOTRE"PATRIMOINE,"NOTRE"ESPACE"NUMÉRIQUE"ET"NOTRE"SOUSM
ESTIMATION"DU"DANGER"
Dans le contexte d’une économie mondiale affaiblie, le Canada est un pays riche. Il est un chef de file
dans l’utilisation de l’Internet et de la technologie. Il se caractérise également par sa propension à
l’échelle du pays à faire confiance. Ces facteurs peuvent mener les consommateurs à sous-estimer les
problèmes de sécurité.
Les cybercrimes exercent un puissant attrait. Les cybercriminels qui mènent des activités sur cette toile
universelle, sans frontière et difficile à contrôler, peuvent facilement exécuter leur travail de manière
assez sécuritaire; lorsqu’ils sont trouvés coupables, ils écopent souvent d’une peine minimale ou très
légère.
Les enjeux sont de taille. La communauté du renseignement aux États-Unis estime que les revenus
provenant d’activités cybercriminelles dépassent ceux de la vente de drogues illicites. Dans le contexte
mondial de la cybercriminalité et en raison du patrimoine, de l’espace numérique et de la sousestimation du danger des consommateurs canadiens, de réelles menaces pèsent sur eux.
LES"CAPACITÉS"ET"L’UTILISATION"ACCRUE"DES"APPAREILS"MOBILES"ET"LA"DÉPENDANCE"À"
L’ÉGARD"DE"CES"APPAREILS"
Les appareils mobiles sont des appareils personnels très puissants qui contiennent autant de
renseignements qu’un ordinateur personnel fixe. Ils sont dotés de systèmes de localisation, ils stockent
des photos, des vidéos, des fichiers de mots de passe et d’autres renseignements sensibles. L’utilisation
de ces appareils croît à un taux à deux chiffres.4 Ce qui a commencé comme une catégorie de téléphones
cellulaires comprend aujourd’hui des téléphones intelligents, des tablettes graphiques et d’autres
4
2012 Canadian Wireless Total Ownership Experience Study. Web. <http://www.newswire.ca/fr/story/804821/j-d-power-and-associatesreports-with-smartphone-and-data-usage-continuing-to-rise-canadian-wireless-customers-indicate-dissatisfaction-with-the-cost->.
8"
appareils entre les deux, alimentés par les utilisations possibles que pourraient en faire un plus grand
nombre de Canadiens pour réaliser des transactions quelconques. Les Canadians ne sortent plus de leur
maison sans eux.
LA"PRISE"DE"CONSCIENCE"DES"CONSOMMATEURS"
Dans leur empressement à vouloir utiliser des téléphones intelligents, les consommateurs s’immiscent
dans un environnement mondial doté de peu de règles, s’exposant ainsi à toutes sortes de menaces.
Parfaitement inconscients du danger, ils prêtent leurs appareils mobiles qui contiennent des courriels,
des documents, des photos, des images et d’autres renseignements personnels de nature sensible. La
perte ou la divulgation de ces renseignements pourrait porter atteinte à leur réputation et les rendre
vulnérables à une extorsion ou encore entraîner une perte financière.
LE"RISQUE"EST"ÉLEVÉ,"MAIS"L’IMPACT"DEMEURE"FAIBLE"
Les plateformes qu’utilisent le BlackBerry et le iPhone ont ouvert la voie à l’environnement ouvert, et
plus populaire, qu’offre le système Android de Google. L’entreprise en cybersécurité McAfee a
récemment désigné Android comme étant la plateforme technologique la plus populaire pour
l’utilisation de logiciels malveillants citant en exemple une nouvelle méthode pour dérober des
renseignements sur un usager en enregistrant ses appels téléphoniques. Cela représente maintenant une
préoccupation majeure pour plusieurs organisations de services de sécurité. De plus, les consommateurs
qui se servent des appareils iOS et BlackBerry sont de plus en plus exposés à des menaces similaires,
mais ils ne cherchent pas à atténuer ces risques.
Le fait de montrer aux Canadiens la gravité de ces menaces fournira l’élan requis pour atténuer ces
menaces et gérer les risques.
Dans"l’intérêt"du"consommateur"
Les facteurs tels l’amélioration des capacités des appareils, un terrain technologique fertile aux menaces,
un taux de pénétration accrue des appareils et un degré de dépendance jamais vu à l’égard de ces
appareils entrent tous en jeu et pourraient entraîner d’importantes répercussions pour le consommateur.
La clé réside dans les conséquences sur les droits et les responsabilités du consommateur.
LES"DROITS"ET"LES"DEVOIRS"DES"CONSOMMATEURS"(ET"LA"VIE"PRIVÉE)"
En 1962, dans un discours historique, John F. Kennedy a présenté quatre droits des consommateurs.
• Le droit à la sécurité
• Le droit à l’information
• Le droit au choix
• Le droit d’être entendu5
En 1985, l’Organisation des Nations Unies, par l’entremise des Principes directeurs des Nations Unies
pour la protection du consommateur, a étendu le champ d’application de ces droits à huit. Ces huit droits
5
John F. Kennedy: Special Message to the Congress on Protecting the Consumer Interest. (n.d.). John F. Kennedy: Special message to the
congress on protecting the consumer interest. [Web page] Retrieved from
http://www.presidency.ucsb.edu/ws/?pid=9108#axzz1uOhMC2H
fondamentaux et le droit à la vie privée se trouvent au coeur du centre d’intérêt du Conseil des
consommateurs du Canada pour les droits et les responsabilités des consommateurs.6
Les recherches que mène le Conseil portent sur ces neuf droits fondamentaux. En résumé, six des huit
droits initiaux s’avéraient pertinents à cette recherche, tout comme le droit à la vie privée. Le tableau qui
suit montre la pertinence actuelle de chacun des huit droits et devoirs des consommateurs et celle de la
vie privée. Dans ce tableau, la pertinence concerne la portée de ce projet.
DROITS"ET"RESPONSABILITÉS"DES"CONSOMMATEURS"
Droits et responsabilités des
Les appareils mobiles face aux
consommateurs
cybermenaces
Satisfaction des besoins fondamentaux
Le droit d’avoir accès à des produits et services essentiels.
La responsabilité d’utiliser ces produits et services de façon
appropriée. S’assurer que les besoins fondamentaux sont
satisfaits.
Sécurité
Le droit d’être protégé contre les produits et les services qui
constituent une menace pour la vie et la santé.
Les cybermenaces exposent chaque personne à
d’importants risques en raison de la perte ou de la
divulgation de renseignements financiers cruciaux ou de
renseignements personnels de nature sensible. Les
consommateurs peuvent être menacés si une personne tente
de voler leur téléphone intelligent.
La responsabilité de lire les modes d’emploi et de prendre
des précautions. Choisir de l’équipement de sécurité, utiliser
les produits selon les instructions et enseigner la sécurité
aux enfants.
La responsabilité du consommateur se limite à savoir
comment utiliser son téléphone intelligent de manière
sécuritaire afin de pouvoir gérer et atténuer les risques au
besoin.
Information
Le droit de connaître les faits qui permettent des choix
informés et d’être protégé contre des publicités ou un
étiquetage trompeurs.
Les consommateurs doivent être en mesure d’évaluer le
risque lié aux menaces en fonction de l’information que les
fournisseurs de logiciels et de matériel informatique leur
donnent.
La responsabilité de trouver et d’utiliser l’information
disponible. Lire les étiquettes, suivre les instructions et faire
une recherche avant d’acheter.
La majorité de l’information dont les consommateurs ont
besoin pour se protéger contre les cybermenaces n’est pas
disponible dans l’immédiat.
Choix
Le droit de pouvoir choisir des produits et des services à des
prix concurrentiels, avec l’assurance d’une qualité
satisfaisante.
La responsabilité de faire des choix informés et
responsables. Résister à la vente sous pression et comparer
avant d’acheter.
Représentation
6
Consumers Council of Canada | Charter of Consumer Rights. (n.d.). Consumers Council of Canada | charter of consumer rights. [Web
page] Retrieved from http://www.consumerscouncil.com/index.cfm?pagePath=About_Us/Consumer_Rights&id=1825
10"
Droits et responsabilités des
consommateurs
Les appareils mobiles face aux
cybermenaces
Le droit de représenter les intérêts des consommateurs dans
la prise de décisions.
Cela est important, puisque la notion de sécurité est souvent
mise de côté, surtout que les consommateurs n’ont pas
tendance à y penser comme ils le font quand ils achètent
autre chose.
La responsabilité de faire connaître ses opinions. Devenir
membre d’une association comme le Conseil des
consommateurs du Canada pour se faire entendre et
encourager les autres à participer.
Réparation
Le droit d’être indemnisé pour des déclarations trompeuses,
des produits de piètre qualité ou des services médiocres.
Les détaillants peuvent offrir aux consommateurs de
l’information et des capacités qui les aideront à plaider leur
cause pour obtenir réparation du préjudice subi.
La responsabilité d’exiger de la qualité. Loger des
réclamations et refuser d’accepter un travail insatisfaisant.
Voici la clé pour les cybermenaces qui guettent les mobiles.
Dans ce cas-ci, les responsabilités priment les droits.
Éducation des consommateurs
Le droit d’acquérir les connaissances et les aptitudes qui
permettent de devenir un consommateur averti.
Les consommateurs peuvent se renseigner eux-mêmes sur
les questions qui demeurent simples, mais ils auront
probablement besoin d’aide pour traiter les questions plus
complexes (par ex. les logiciels malveillants et le piratage).
La responsabilité de profiter des occasions offertes aux
consommateurs. Assister à des séminaires et à des ateliers,
et encourager l’éducation des consommateurs dans les
écoles.
Les consommateurs doivent se renseigner eux-mêmes sur
la nature des menaces, idéalement en fonction de la
situation qui leur est propre.
Environnement sain
Le droit d’évoluer dans un environnement qui ne constitue
pas une menace ou un danger et qui permet de vivre dans la
dignité et le bien-être.
La responsabilité de minimiser les dommages à
l’environnement par le choix et l’utilisation judicieux de
produits et de services. Réduire les déchets, et réutiliser et
recycler autant que possible.
À ceux qui choisissent d’exercer cette responsabilité, le
téléphone intelligent peut fournir une quantité considérable
de renseignements liés à l’environnement. Ces
renseignements peuvent servir à choisir des produits ou des
services plus respectueux ou appropriés sur le plan de
l’environnement.
Confidentialité des renseignements
personnels
Le droit à la protection de la vie privée, particulièrement à
la confidentialité des renseignements personnels.
Très pertinent. Les téléphones intelligents peuvent contenir
une importante quantité de renseignements personnels.
La responsabilité de se renseigner sur l’usage qui sera fait
de l’information et la responsabilité de ne dévoiler des
renseignements personnels que si c’est nécessaire.
Les consommateurs doivent prendre des mesures pour
protéger leur vie privée et connaître la nature des
renseignements qu’ils fournissent. Ils doivent évaluer le
niveau de risque d’atteinte à la vie privée qu’ils acceptent
d’atteindre. Ils auront possiblement besoin d’utiliser
certains outils pour les aider.
LA"RECHERCHE"
La"portée"du"projet"
Cette recherche porte sur les cybermenaces qui guettent les appareils mobiles intelligents dont se sert le
consommateur canadien moyen, et plus particulièrement sur :
• L’information que stocke le consommateur sur ses appareils mobiles;
• Les risques de voir les données se perdre ou être divulguées en raison de la nature des cybermenaces
actuelles et émergentes,
• La prise de conscience du consommateur à l’égard de ces menaces et des risques qui en résultent;
• Les méthodes d’atténuation des risques.
Nous avons sciemment exclu le risque pour les entreprises de la portée de l’étude. Toutefois, nous avons
inclus les risques pour les consommateurs dont l’employeur ou l’entreprise fournit l’appareil mobile.
Les appareils mobiles comprennent les téléphones intelligents, les tablettes et les téléphones cellulaires.
Aux fins de la présente étude, nous nous pencherons sur trois systèmes d’exploitation classés parmi les
premiers sur le marché des téléphones intelligents :
• iOS de Apple;
• BlackBerry;
• Android de Google.
Cette recherche ne propose pas une analyse détaillée de tous les téléphones intelligents, mais dresse
plutôt le portrait des menaces et des problèmes qui pèsent sur les téléphones intelligents de façon
générale.
Les menaces dont nous avons tenu compte sont :
• Le fonctionnement défectueux du matériel, du logiciel ou qui résulte d’une mauvaise utilisation
• La perte ou le vol d’un appareil
• Le piratage à proximité immédiate
• Le cyberharcèlement
• Le piratage informatique à distance
Méthodologie"
LA"RECHERCHE"INITIALE"
La recherche initiale se concentrait d’abord sur l’étude de la documentation disponible en ligne et
imprimée et des entrevues menées auprès de répondants clés sur le sujet des appareils mobiles face aux
cybermenaces afin d’identifier les problèmes et obtenir un aperçu général des intervenants, de
l’environnement et de l’industrie.
Nous avons procédé à une revue de la littérature pour mieux cadrer la portée de la recherche. Nous
avons brossé l’historique et donné un aperçu global de l’environnement, des agents de développement,
des problèmes et des intervenants de l’industrie. Nous avons également analysé des rapports imprimés,
des rapports de recherche, des sites Internet de miniapplications, des sources d’Internet et les médias.
Nous avons élaboré une grille d’analyse des répercussions centrée sur le consommateur. Nous l’avons
établie en fonction des problèmes et des critères recueillis auprès du milieu universitaire, en ligne, dans
la documentation examinée et au cours des processus d’analyse de risque. Nous avons porté une
12"
attention particulière à aider les consommateurs à agir en tant que consommateurs contribuant de
manière productive au marché, et surtout en ce qui a trait à la protection de leurs renseignements
personnels. Nous nous sommes appuyés sur des entrevues avec des répondants clés afin d’établir les
critères, analyser les résultats et élaborer les recommandations.
LA"RECHERCHE"ORIGINALE"
Nous avons modifié la grille en cours de route quant à l’approche, à mesure que les données entraient.
La grille comprend trois parties :
1. Un premier aperçu des cinq catégories de menaces;
2. Une analyse des pertes et des probabilités associées à ces menaces;
3. Les activités d’atténuation en lien avec chaque menace.
Nous avons fait appel aux entreprises Environics et Research House pour fournir et gérer les groupes de
discussions. Les consultations ont eu lieu au mois de septembre 2012 et se sont déroulées sur deux jours
à Toronto et à Montréal. Trois des consultations se sont déroulées en anglais, puis l’autre en français.
Les échantillons assuraient une représentativité adéquate en termes d’origine, de sexe et d’âge. Le choix
des participants s’est fait spécifiquement en fonction d’aspects en lien avec le projet, incluant leurs
secteurs d’emploi que ce soit en marketing, en relations publiques, en études de marché ou des postes
similaires en publicité. La fonction de ce groupe consistait à définir :
• la prise de conscience, l’expérience directe et les préoccupations en lien avec chacune des menaces;
• la méthode d’atténuation
• les renseignements exposés à un risque
• les réflexions sur l’apport du gouvernement, des développeurs et des entreprises.
Nous nous sommes appuyés sur les points de vue des répondants clés pour nous aider à encadrer la
recherche, mettre en évidence certains problèmes de fond et le sujet à étudier et à orienter les
recommandations. Nous avons publié dans ce rapport, la traduction des commentaires qui se
démarquaient par leur pertinence et leur importance.
Nous avons conçu un guide et un plan pour orienter et préparer les répondants et élaboré une série
exhaustive et pertinente de questions portant sur les effets sur les consommateurs.
Nous avons également fait appel au Réseau de consultation de l’intérêt public, propriété du Conseil qui
en assure également la gestion, par la voie de six questions spécifiques, dont le résumé des conclusions
figure dans ce rapport et les résultats détaillés apparaissent en annexe. Ce réseau regroupe des
consommateurs avertis et des personnes qui s’impliquent activement dans leurs communautés. Les
membres de ce réseau s’y sont joints volontairement et sont prêts à répondre à des sondages portant sur
les enjeux touchant les consommateurs. Les membres potentiels doivent remplir un court questionnaire
relatif à leur profil démographique.
L’ensemble de la recherche visait à produire un premier inventaire des risques et des problèmes afin de
construire la grille d’analyse de répercussions centrée sur les consommateurs comportant les effets
potentiels sur eux.
L’environnement,"les"agents"de"développement"et"les"
tendances"
« La réalité est telle que le téléphone intelligent est devenu un centre d’information
et ce rôle ne cesse de croître. Le nombre d’applications pour ces appareils
augmente rapidement et la tendance veut que les connexions s’amplifient et qu’il y
ait une augmentation du traitement des renseignements de nature délicate. »7
« Les clients des réseaux de télécommunication sans fil essaient de tirer le
maximum de leurs téléphones intelligents avec les applications mobiles et les
nombreuses fonctionnalités non disponibles sur les téléphones traditionnels, ce qui
permet d’expliquer le virage pour les téléphones intelligents. »8
LES"CAPACITÉS"
Les nouvelles technologies contribuent à accroître la capacité des téléphones intelligents, créant des
appareils mobiles plus puissants que certains ordinateurs sortis sur le marché il y a cinq ans. Ces
technologies comprennent :
• Une variété de technologies de communications omniprésentes sans fil qui roulent à des vitesses
considérables (communication en champ proche, Bluetooth, cellulaire haute-vitesse, réseau Wi-Fi
public)
• Miniaturisation
• Stockage dans les nuages et mise en mémoire locale
• GPS
• Des miniapplications pour toutes les occasions, qui remplacent parfois des fonctions qui auraient
coûté 1 000 $ ou plus il y a dix ans.
• Des détecteurs de mouvements ou thermiques
Les téléphones intelligents peuvent accéder à Internet à partir de la majorité des villes au Canada.
Il est possible de stoker, sur des appareils mobiles, des photographies, des mots de passé, des courriels,
du texte, les données de localisation (en temps réel et passé), des films, un journal intime, un accès à des
comptes bancaires, des données infoachats; correspondant pour la plupart à des renseignements
sensibles.
Les gens considèrent leurs téléphones intelligents comme une prolongation d’eux-mêmes. Comme l’a
mentionné un des répondants :
« Rien n’est plus personnel aujourd’hui que le téléphone intelligent d’une personne. L’information qui s’y trouve est le reflet
de ses intérêts et des activités qu’elle poursuit de façon régulière. »9
LES"DONNÉES"DÉMOGRAPHIQUES"
L’utilisation de l’Internet et des téléphones intelligents continue d’augmenter rapidement à travers le
monde. En 2012, plus d’un tiers de la population mondiale était en ligne10, soit une augmentation de 8 %
7
Technology Advisory Council, Security and Privacy Work Group. Consumer Education Recommendations. Federal Communications
Commission, December, 2012. Print.
9
Justin Morehouse, Co-Founder and Principal, GuidePoint Security, LLP, Key Informant Interview
10
INFORMATION SECURITY Better Implementation of Controls for Mobile Devices Should Be Encouraged. United States Government
Accountability Office, September, 2012. Print.
8
14"
en dix ans. Le nombre de téléphones intelligents en circulation devrait atteindre deux milliard d’ici
2015.11
54% pour cent des Canadiens ont téléphones intelligents, contre 36% en 201112
Les organisations canadiennes offrent aux consommateurs des fonctions opérationnelles, par l’entremise
des téléphones intelligents, renforçant ainsi leur compétitivité et leur efficacité à l’interne, même si le
fardeau de la charge revient aux consommateurs. Les entreprises vont probablement continuer à
influencer les consommateurs pour qu’ils utilisent des téléphones intelligents, car cela réduira
vraisemblablement leurs dépenses de gestion.
Il se peut que le risque, dans son ensemble, augmente pour d’autres raisons. Par exemple, au Canada, la
plateforme BlackBerry, considérée sécurisée, perd du terrain au détriment d’Android, la dernière
plateforme à faire son entrée sur le marché et la moins sécurisée dans une certaine mesure. Au Canada,
la part de marché du BlackBerry a chuté de 42 %, en 2011, à 33 % aujourd’hui.13 Il est possible que
certains consommateurs ne puissent se payer la technologie la plus récente en termes de téléphonie
intelligente et qu’ils conservent des appareils plus vieux et moins sécuritaires qui ne permettent pas
l’achat de logiciels de sécurité.
La tendance actuelle veut que plusieurs consommateurs, surtout les plus jeunes, changent leur ordinateur
personnel pour des téléphones intelligents sans perdre d’importantes fonctionnalités.
LA"DÉPENDANCE"
« Apple conçoit des produits que les gens ne savaient pas qu’ils voulaient, et
maintenant ils ne peuvent plus s’en passer. » — Tim Cook, PDG, Apple Inc.14
« De façon spectaculaire, les utilisateurs d’appareils mobiles qualifient leurs
appareils comme le gadget en leur possession qui leur importe le plus… »15
Un grand nombre de personnes qui utilise des appareils qui accomplissent davantage de fonctions, peu
importe où elles se trouvent, ne peut faire autrement que d’accroître leur dépendance envers ces
appareils. Une étude récente du centre de recherche PEW sur les adolescents et la technologie révélait
que, chez les jeunes, l’adoption des téléphones intelligents avait augmenté considérablement et que
l’accès Internet par mobile est chose courante. Un adolescent sur quatre accède à l’Internet surtout par
l’entremise de son téléphone.16
11
"Strategy Analytics: Worldwide Smartphone Population Tops 1 Billion in Q3 2012 | Business Wire." Web
<http://www.businesswire.com/news/home/20121017005479/en/Strategy-Analytics-Worldwide-Smartphone-Population-Tops-1>.
12
2012 Canadian Wireless Total Ownership Experience Study. Web. <http://www.newswire.ca/fr/story/804821/j-d-power-and-associatesreports-with-smartphone-and-data-usage-continuing-to-rise-canadian-wireless-customers-indicate-dissatisfaction-with-the-cost->
13
14
Cook: The Only Thing Apple Won’t Do Is Release a Lousy Product | Macworld." Web
<http://www.macworld.com/article/2027891/cook-the-only-thing-apple-wont-do-is-release-a-lousy-product.html>. Goldman Sachs
Technology and Internet Conference, February 2013 CHECK VERBATIM
15
"The Numbers Are In: UK Mobile Users Love Phones Yet Few Take Steps to Protect Them | the Official Lookout Blog." Web
<https://blog.lookout.com/blog/2011/11/09/the-numbers-are-in-uk-mobile-users-love-phones-yet-few-take-steps-to-protect-them/>.
16
Madden, Mary, Amanda Lenhart, Maeve Duggan, Sandra Cortesi, and Urs Gasser. Teens and Technology 2013. Pew Research Center,
The Berkman Center for Internet & Society at Harvard University, March 13, 2013. Print.
Les membres de nos groupes de discussion ont clairement exprimé le fait que les gens ne se départent
pas de leurs appareils.
« Maintenant, je dépends tellement de mon téléphone. Je pourrais être pris quelque part; c’est ma
connexion au monde. »17
Dans une récente étude menée au Royaume-Uni, XX % des répondants ont dit que le premier gadget
qu’ils sauveraient de leur maison en feu serait leur téléphone intelligent. Pour ce qui est de ce qu’ils
jugeaient être des renseignements importants, 35 % d’entre eux ont répondu leurs contacts, 32 % leurs
photos et 9 % leurs textos ou leurs messages vocaux.18
La majorité des répondants se disait inquiète quant à la possibilité de perdre ses renseignements
personnels, mais peu d’entre eux font quoi que ce soit pour les protéger.19
Il est peu probable que cette tendance s’inverse puisque la dépendance des consommateurs continue de
croître, la ligne entre l’utilisation du téléphone intelligent par affaire et pour usage personnel se fait de
plus en plus fine et plusieurs consommateurs choisissent un appareil pour ces deux fins. Le phénomène
« Apportez votre propre appareil » s’avère être une possibilité intéressante pour les consommateurs et
pour les entreprises, qui comporte toutefois certains risques. Puisque certaines industries attirent l’intérêt
des cybercriminels plus que d’autres, il y a lieu de croire que ce phénomène pourrait représenter un
important risque aux entreprises et aux personnes. Aussi, certaines organisations ont récupéré leurs
téléphones, laissant les employés sans leurs données.20
LA"NATURE"HUMAINE"ENTRE"EN"JEU"EXPOSANT"LE"CONSOMMATEUR"À"DES"RISQUES"
« Le manque de connaissance des utilisateurs relativement à l’exposition au risque
et l’insuffisance de dispositifs de sécurité mis en place sur ces plateformes
conduisent à un terrain de prédilection pour les cybercriminels. »21
Le comportement terne du consommateur
Les consommateurs affichent souvent un comportement désinvolte et imprudent, comme l’ignorance, la
paresse et un manque de conscience à l’égard de leurs appareils et l’information qu’ils contiennent. Ils
sont sujets à la perte d’information ou au vol ou ils s’exposent à d’autres grands risques. Cela combiné à
la valeur innée du matériel, à la valeur potentielle des renseignements qu’il contient et la facilité avec
laquelle il est possible d’accéder à l’information ouvre à l’éventualité d’une exploitation possible.
L’exploitation des occasions de comportements et leurs faiblesses
Les personnes, les organisations et possiblement certains gouvernements sont ceux qui pourraient
exploiter ces occasions. Ils cherchent à avoir accès à de l’information ou à la détruire en utilisant des
moyens illégaux ou détournés, dans l’espoir de réaliser des gains financiers ou politiques. Les auteurs de
ces actes peuvent être des fraudeurs locaux qui volent des avoirs pour disposer d’un accès physique à
17
19
20
"The Dark Side of BYOD: Privacy, Personal Data Loss and Device Seizure | BringYourOwnIT.com." Web
<http://bringyourownit.com/2012/02/06/consumerization-byod-policy-privacy-data-loss-device-seizure/>.
21
"Mobile Device Security: The Insider’s Guide." MobiThinking. Web. <http://mobithinking.com/mobile-device-security>.
18
16"
des renseignements, ou encore de nature à intercepter les signaux sans fil Bluetooth ou de
communication en champ proche ou encore de ceux qui mènent des attaquent par-delà les frontières
géographiques en utilisant des logiciels malveillants ou d’autres moyens numériques à l’aide de la
capacité d’Internet de par le monde. Il arrive souvent que la façon dont les délits informatiques ont été
commis rende la persécution de l’auteur du crime difficile... si on parvient à le localiser. Puisque
l’Internet n’a pas de frontières géographiques, il est possible de lancer des attaques à partir d’autres pays
où les lois et les contrôles ne sont peut-être pas aussi stricts que dans leur propre pays.
Ils cherchent habituellement des manières pour avoir un accès à des renseignements qui peuvent être
profitables pour eux. La grille d’analyse des répercussions centrée sur le consommateur donne un aperçu
de la nature des auteurs des crimes par rapport à la nature des menaces.
L’étendue de notre étude comprend ceux qui obtiennent un accès physique au téléphone intelligent d’un
consommateur dans l’intention de le harceler ou de le surveiller malicieusement, habituellement parce
qu’il le connaisse.
La proportion que prend l’occasion et la nature de celle-ci sont mises en évidence de plusieurs manières,
jusqu’à parfois en transformer un citoyen ordinaire en un auteur de crime. Par exemple, ceux qui
trouvent des appareils « perdus » accèdent aux renseignements personnels sans toutefois retourner
l’appareil à son propriétaire. Lorsque quelqu’un perd son téléphone, l’information qu’il contient risque
d’être divulguée, même si la personne qui le trouve est une personne respectueuse des lois. Dans le
projet Honey Stick22, plus de 80 téléphones « perdus » ont été utilisés soit pour accéder aux applications
personnelles, soit aux applications commerciales et dans 70 % des cas pour avoir accès aux deux.
Seulement la moitié de ces téléphones intelligents « perdus » ont retrouvé le chemin de leur
propriétaire.23
Les"acteurs"clés"
LES"DÉVELOPPEURS"DE"LOGICIELS"DE"SÉCURITÉ"
«À mesure que l’ampleur des menaces s’accentue et que les techniques se
perfectionnent, on ne voit pas une augmentation correspondante dans la mise en
place de mécanismes pour atténuer l’impact des menaces. »24
De manière générale, nous retrouvons les mêmes développeurs de logiciels de sécurité pour les appareils
mobiles que pour les ordinateurs personnels, auxquels s’ajoutent de jeunes entreprises qui développent
pour la plateforme Android.
Les entreprises de logiciels de sécurité telles Symantec, McAfee et Kaspersky développent des logiciels
de protection contre les virus, les logiciels malveillants et les logiciels espions. Il arrive souvent que les
plus petites entreprises ne puissent offrir la protection étendue actuellement nécessaire pour protéger les
appareils intelligents.
22
The Symantec Smartphone Honey Stick Project. Symantec Corporation, 2012. Print.
24
23
Les modèles commerciaux des grandes organisations dépendent principalement des revenus provenant
de la vente de logiciels et des programmes d’entretien annuel pour rester en affaires. Cependant, leurs
modèles d’affaires et les organisations qui œuvrent dans le domaine de la vente ne sont pas
nécessairement faits pour servir un très large bassin de consommateurs.
Peu importe, les développeurs de logiciels de sécurité devraient chercher à trouver des façons de
pénétrer le marché avec des offres de produits rentables. Plusieurs recommandations devraient être
d’intérêt pour un grand nombre de ces entreprises puisqu’elles constituent les parties intéressées.
« Les mesures de sécurité visant les téléphones intelligents n’ont pas progressé au même rythme
que celles qui protègent les ordinateurs traditionnels. Les mesures de sécurité techniques comme
les pare-feu, les antivirus et les logiciels de chiffrement se font rares sur les téléphones mobiles et
les mises à jour pour les systèmes d’opération des téléphones mobiles ne sont pas aussi fréquentes
que celles pour les ordinateurs personnels. »25
Même si les logiciels de sécurité pour les téléphones intelligents sont présentés en emballage comme les
logiciels pour les ordinateurs personnels, ils exigent tout de même un processus particulier (et
possiblement coûteux), car ils sont suffisamment différents d’eux. Les services de technologies de
l’information (TI) des entreprises multiplient leurs efforts pour protéger les téléphones intelligents de
leurs employés; ils cherchent davantage à protéger l’environnement TI de l’entreprise des risques au lieu
de protéger les téléphones intelligents. Bref, les entreprises préfèrent dépenser de l’argent pour protéger
leurs propres environnements de technologie informationnelle que le téléphone intelligent d’un employé.
En dernier lieu, puisque les consommateurs sous-estiment les risques de contamination de leurs
téléphones intelligents par un logiciel malveillant, ils ne sont pas prêts à investir dans des solutions
logicielles adéquates.
« Il a dit que les mesures de sécurité traditionnelles que nous utilisons sur les ordinateurs ne
fonctionnent pas aussi bien que ça. Pire encore, les téléphones ont d’autres problèmes comme la
durée de vie des piles, qui rendent irréalistes la mise en place de mesures de sécurité
traditionnelle qui exigent que le programme fonctionne en continu en arrière-plan. »26
Ces facteurs expliquent probablement la lenteur du développement des mécanismes de défense pour les
téléphones intelligents, comme il est possible de le constater à la lecture des commentaires relatifs aux
recommandations du groupe de travail Sécurité et vie privée.27
LES"DÉVELOPPEURS"D’APPLICATIONS"
« Dans la course à vouloir développer l’application la plus sensationnelle du
marché, plusieurs développeurs ne se soucient pas de la sécurité de leurs
applications. »28
Les développeurs d’applications comprennent les entreprises, les organisations philanthropiques, les
boîtes de production de logiciels, les fournisseurs de plateforme, les entreprises de télécommunication
25
Ruggerio, Paul, and Jon Foote. Cyber Threats to Mobile Phones. United States Computer Emergency Readiness Team, 2011. Print.
Traynor, Patrick. Emerging Cyber Threats Report 2011. Security Summit 2010. Georgia Tech Information Security Center, 2010. Print.
27
28
Mobile (In)Security A Survey of Security Habits on Smartphones and Tablets. Confident Technologies, September, 2011. Print.
26
18"
sans fil, les groupes de consommateurs et les consommateurs eux-mêmes. Leur tâche est simple : créer
des applications pour des appareils mobiles.
Puisque plusieurs développeurs sont propriétaires uniques de leur entreprise ou travaillent au sein de très
petites entreprises, il est possible que les ressources et les habiletés auxquelles ils ont accès ne leur
permettent pas d’utiliser des méthodes de développement exemplaires. Les développeurs ont intérêt à
protéger les consommateurs des cybermenaces, mais ces développeurs peu expérimentés peuvent créer
des applications qui restent ouvertes au risque d’exploitation, tout comme peuvent le faire les plus
grosses boîtes. Les développeurs d’applications légitimes désirent que les utilisateurs puissent se servir
de leurs programmes et les comprendre. Ils doivent également se conformer à différentes normes
logicielles élaborées par les principales boutiques d’applications tel l’App Store de Apple ou encore
Google Play. Ils veulent s’assurer que toute application portant leur nom ne peut être exploitée, comme
ce fut le cas pour la version de Angry Bird 2012 pour Android, lorsqu’une application factice a été
lancée, ternissant du coup la réputation du développeur.29 Par exemple :
« Même les logiciels licites pour les téléphones intelligents peuvent être exploités. Les logiciels
pour les appareils mobiles et les services des réseaux sont vulnérables comme le sont ceux pour
les ordinateurs personnels. Pendant des années, les pirates informatiques ont exploité les logiciels
pour les téléphones mobiles pour faire de l’écoute clandestine, faire planter les logiciels de
téléphonie mobile ou mener des attaques. »30
Les développeurs d’applications doivent concevoir des outils dans lesquels les consommateurs peuvent
avoir confiance en matière de sécurité et de fiabilité.
Il arrive souvent que les médias sociaux servent à publiciser une application, dans l’espoir qu’elle se
propage rapidement et à grande échelle, si elle s’avère utile. Malheureusement, les développeurs qui
travaillent avec des moyens limités se trouvent peut-être plus enclin à créer une application qui les
rendra riche rapidement, que de se bâtir une solide réputation sur le marché. La sécurité des applications
peut se retrouver plus loin dans leurs priorités.
Les répondants clés ont émis plusieurs commentaires quant aux développeurs d’application et ce qu’ils
peuvent faire pour améliorer les conditions des consommateurs. Par exemple :
« Les applications sont censées fonctionner dans des bacs à sable, mais plusieurs personnes
sortent de ces systèmes. Les développeurs d’applications pourraient inclure plus de “processus de
confirmation instantanée” dans leurs applications; l’application renverrait à l’utilisateur une
confirmation lorsqu’il s’agirait de transactions sensibles. De cette façon, une personne qui
recevrait une confirmation pour une transaction qu’elle n’aurait pas faite ou autorisée pourrait
prendre immédiatement des mesures pour résoudre le problème. »31
LES"ORGANISMES"DE"RÉGLEMENTATION"
« Le gouvernement n’a pas de rôle plus fondamental que la protection de ses
citoyens. »32
29
"Android Users Targeted in Angry Birds Malware Scam | Technology | Guardian.co.uk." Web
<http://www.guardian.co.uk/technology/2012/may/25/android-users-angry-birds-malware>.
30
31
Mark Donadio, Director of Information Security, KPMG LLP (US), Key Informant Interview
32
"What We Do." Web <http://www.publicsafety.gc.ca/abt/wwd/>.
Les autorités de régulation
Le gouvernement du Canada prend ce rôle très au sérieux, ayant plusieurs départements et organismes
d’autorité et d’exécution qui se partagent les responsabilités touchant diverses composantes de ce
domaine complexe. Les organismes suivants exercent des responsabilités à cet égard.
• Sécurité publique Canada (SP) est l’organisme parapluie du gouvernement du Canada. Il a comme
mandat « de travailler à la sécurité du Canada sur tous les plans, allant des catastrophes naturelles
aux crimes et au terrorisme ». Afin de s’acquitter de ses responsabilités à l’égard des cybermenaces,
il compte sur les organismes fédéraux suivants :
• Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) veille à ce que
les télécommunications servent le public canadien, en exerçant de la surveillance, en instaurant
une réglementation et en veillant à sa mise en force. Le CRTC hébergera bientôt le Centre de
notification des pourriels, afin que les entreprises et les particuliers puissent signaler, par
l’entremise du site Internet fightspam.gc.ca, les messages électroniques non sollicités de nature
commerciale.
• Le Centre antifraude du Canada (CAFC) joue un rôle important quant à l’éducation du public
concernant des pratiques frauduleuses en télémarketing et la collecte et la dissémination de
témoignages de victimes, de statistiques et de documentation, et auxquels ont accès les
organismes d’application de la loi.
• Le Centre canadien de réponse aux incidents cybernétiques (CCIRC), Le Centre agit sous
l’autorité de Sécurité publique Canada. Avec des partenaires au Canada et ailleurs, le Centre
cherche à atténuer les cybermenaces à la sécurité des réseaux informatiques essentiels qui se
trouvent à l’extérieur du gouvernement fédéral.
• La Gendarmerie royale du Canada (GRC), et plus précisément le Groupe intégré de la criminalité
technologique (CICT) qui comprend des « enquêteurs policiers et de membres civils chargés de
lutter contre les crimes de nature informatique, autant d’envergure nationale qu’internationale, et
de fournir une assistance technique aux autres services d’enquête. Nous [le CICT] nous penchons
sur des infractions telles que l’accès non autorisé à un ordinateur ou à un réseau, l’altération de
données informatiques (vol, manipulation, destruction, etc.) et la possession d’équipements ou de
mots de passe visant et facilitant ces fins. »33
• « Le mandat du GICT comporte quatre volets distincts : les enquêtes, le soutien informatique, les
renseignements et la prévention. »34
Le Bureau de la consommation, qui fait partie d’Industrie Canada, est responsable des « questions
entourant la protection du consommateur qui portent sur la protection des intérêts du consommateur sur
le marché, comme la protection de la vie privée et des renseignements personnels contre les pratiques
frauduleuses et déloyales. »35
Le Commissariat à la protection de la vie privée du Canada est responsable d’« aider les personnes et les
organisations à empêcher que les cybercriminels mettent la main sur les renseignements personnels qui
sont en leur possession. La raison pour laquelle le crime cybernétique nous préoccupe est simple; ce
33
"Integrated Technological Crime Unit - Royal Canadian Mounted Police." Web <http://www.rcmp-grc.gc.ca/qc/services/gictitcu/accueil-gict-itcu-home-eng.htm>.
34
"Integrated Technological Crime Unit - Royal Canadian Mounted Police." Web <http://www.rcmp-grc.gc.ca/qc/services/gictitcu/accueil-gict-itcu-home-eng.htm>.
35
"Consumer Protection - Www.consumerinformation.ca." Web <http://www.consumerinformation.ca/eic/site/032.nsf/eng/h_00388.html>.
20"
type de crime implique le vol et l’utilisation malveillante de renseignements personnels, souvent à
grande échelle. »36
L’Association canadienne des télécommunications sans fil (ACTS) affirme avoir l’autorité à l’égard des
questions touchant le sans fil, les développements et les tendances au Canada, mais cette autorité ne
s’étend pas aux cybermenaces.37
La stratégie
« La cybersécurité est une responsabilité partagée, et le gouvernement fédéral, le
secteur privé, d’autres niveaux du gouvernement et les Canadiens doivent
travailler ensemble afin d’assurer la sécurité des cybersystèmes essentiels et de
pouvoir continuer à se protéger en ligne. »38
Cet énoncé provient du Plan d’action 2010 de la stratégie de cybersécurité du Canada. Cette stratégie
repose sur trois piliers :
• Sécuriser les systèmes du gouvernement;
• Nouer des partenariats pour protéger les cybersystèmes essentiels à l’extérieur du gouvernement
fédéral;
• Aider les Canadiens à se protéger en ligne.
Ils ont confié la responsabilité à SPC, à Industrie Canada et à la GRC.
En raison de l’augmentation du bassin d’utilisateurs de téléphones intelligents, de la dépendance des
consommateurs à ces appareils et les risques auxquels ils s’exposent, les autorités de la réglementation
correspondent au seul groupe dont le pouvoir est suffisant pour jouer un rôle de premier rang afin de
réunir et coordonner la participation de plusieurs des parties intéressées afin d’identifier les questions
liées aux téléphones intelligents face aux cybermenaces, de hiérarchiser les priorités et de traiter ces
questions.
La question de la cyber sécurité entourant les téléphones intelligents demeure fondamentale pour les
consommateurs et l’ensemble de l’économie canadienne. Une saine compétition entre les fournisseurs
ne résoudra pas nécessairement les problèmes des menaces grandissantes envers la protection des
données à caractère personnel, la sécurité et les risques financiers qui émergent dans ce marché.
Les lois qui s’appliquent à ce secteur en effervescence deviennent rapidement obsolètes, et il faut soit
interpréter les anciennes lois différemment afin de se défendre contre les menaces, soit en créer de
nouvelles. Trois des répondants clés, qui s’étaient tous appuyés sur l’expérience qu’ils avaient eue avec
le gouvernement américain en matière de sécurité, partageaient ce point de vue.394041
Le consortium américain a recommandé un plan de grande portée :
« Seulement un effort mené de bout en bout et en collaboration, couvrant l’ensemble de
l’écosystème mobile (appareils et plateformes, applications et services des réseaux), permettra
une avancée significative pour remédier à ce problème qui ne cesse de prendre de l’ampleur. Il
36
"ARCHIVED - Did You Know? - Issue 1." Web <http://www.priv.gc.ca/newsletter-bulletin/2008-1/4_e.asp>.
"CWTA | About CWTA." Web <http://cwta.ca/about-cwta/>.
38
Action Plan 2010-2015 for Canada’s Cyber Security Strategy. Government of Canada, 2013. Print.
39
Martin Hillger, IT Security Consultant, Key Informant Interview
40
Ryan Garvey, Information Security Analyst, US State Department, Key Informant Interview
41
Justin Morehouse, Key Informant Interview
37
faut dès aujourd’hui provoquer une prise de conscience chez les consommateurs de la gravité de
ces menaces. Il faut également leur fournir des conseils éclairés et concordants avec la situation
actuelle sur les mesures pratiques qu’ils peuvent mettre en place pour accroître leur sécurité et
protéger leur vie privée. »42
Cette stratégie est cohérente avec les opinions exprimées par les répondants clés voulant qu’un genre de
partenariat soit créé afin de faire avancer les choses :
« Un consortium composé de firmes de télécommunication, d’institutions financières,
d’organisations de consommateurs et du gouvernement travaillant ensemble. Les banques
fourniront peut-être de l’argent. Les firmes de télécommunication assureraient la formation, parce
que l’entreprise entretient déjà une relation étroite avec le client. Si le gouvernement soutenait
cette initiative, les consommateurs se montreraient plus confiants que si une autre organisation
menait le dossier. »43
« Un modèle de partenariat public-privé entre le gouvernement, des fournisseurs et de firmes de
télécommunication, des organisations de consommateurs et d’autres pourrait marcher. Les
fournisseurs et les firmes de télécommunication sont des éléments essentiels au programme, car
ils passent avec les consommateurs des contrats sociaux qui les engagent à veiller à ce que les
personnes qui les payent un montant considérable d’argent soient efficacement protégées. Cela ne
représente peut-être pas tout le monde, mais presque. »44
« Je crois que le gouvernement fait son travail particulièrement bien dans la transmission de toute
cette information, mais c’est une tâche herculéenne. Un partenariat public-privé qui ferait appel
aux trois joueurs importants, le gouvernement, l’industrie et les groupes de consommateurs, serait
de circonstance. Le gouvernement devrait piloter le processus en fournissant le financement initial
et en assurant la direction des opérations. Sinon, l’économie canadienne perdra des milliards de
dollars en raison de la cybercriminalité, des données perdues, etc. »45
Un rapport sur les progrès
Le progrès réalisé reste difficilement mesurable, tout comme celui accompli en vue de réunir les
différentes parties intéressées pour qu’elles acceptent leurs responsabilités. Puisque le plan prévoit une
répartition des responsabilités entre plusieurs organismes gouvernementaux, au bout du compte, il est
difficile de responsabiliser et de rendre des comptes pour résoudre les problèmes émergents de
cybermenaces touchant les consommateurs canadiens. Il en résulte une matrice complexe de rôles et de
responsabilités qui n’affectent pas directement tous les besoins de sécurité des consommateurs canadiens
au sein du monde cybernétique émergent du téléphone intelligent.
La GRC est responsable au premier chef des délits informatiques contre les Canadiens, y compris le
monde du téléphone intelligent. Un répondant clé rapporte :
« Un rapport de vérification récent mentionne que l’augmentation de la cybercriminalité a laissé
le programme de la GRC qui s’occupe d’enquêter sur tout, de la pornographie infantile à la
fraude par Internet, avec un important retard à rattraper. Ce retard constitue un réel danger à
son travail. Le rapport précise que la vérification a résulté de la constatation qu’il y avait une
42
43
Willi Kraml, Chief Information Security Officer, KPMG International, Key Informant Interview
44
Ryan Garvey, Key Informant Interview
45
22"
augmentation des activités criminelles reliées à l’utilisation d’ordinateurs ou d’autres appareils
électroniques — des actes criminels, y compris des cas de fraude par Internet commis à l’insu de
certains consommateurs et l’utilisation d’appareils mobiles pour planifier des opérations
illégales. Dans une présentation donnée par Dave Black, membre civil du Centre intégré
d’expertise sur les cybercrimes, celui-ci a soulevé le point que la GRC avait besoin d’abord de
capacités supplémentaires pour combattre les cybercrimes puis d’instaurer un partenariat avec le
secteur privé. »46
Actuellement, le plan canadien prévoit que toute personne croyant que l’accès à son téléphone a été
compromis doit s’adresser à son fournisseur de téléphone mobile et non pas à l’unité de cyber
criminalité.
Comme l’a souligné un répondant-clé, l’intérêt récent du Commissaire à la protection de la vie privée de
l’Ontario :
« Le Bureau du commissaire de la protection de la vie privée de l’Ontario a formulé des exigences
s’appliquant aux appareils mobiles parce le Bureau a vu la quantité de renseignements personnels
qui se trouvent sur les téléphones intelligents et les périphériques de stockage USB et que
plusieurs de ces appareils sont perdus avec de grandes quantités de renseignements personnels
dont la sécurité est compromise. »47
Le point de vue des réseaux d’intérêts publics
Question : Comment les organismes de réglementation peuvent-ils aider les
consommateurs à se protéger des cybermenaces autres que celles qui pèsent sur les
téléphones intelligents perdus, volés ou endommagés?
Résumé"de"leurs"réponses":"
Les autorités de réglementation devraient exiger que les fournisseurs de services installent un logiciel de
protection et qu’ils le mettent à jour périodiquement en tant que service gratuit ou inclus dans leurs
forfaits. Les fournisseurs devraient aussi informer les consommateurs, de façon claire et précise, des
menaces de l’heure et leur donner des exemples facilement compréhensibles concernant les
cybermenaces qui les guettent. Ils devraient aussi fournir un service gratuit de « remise à zéro » du
téléphone lorsque celui-ci a été exposé à un risque afin de lui rendre sa configuration d’origine. Pour
décourager les pirates à poser des cybermenaces, il faudrait imposer des pénalités plus sévères et mettre
à jour la législation sur la protection de la vie privée. Il faudrait également éduquer la population afin de
les sensibiliser au sujet et de les encourager à adopter des mesures de protection.
LES"DÉVELOPPEURS"SUR"PLATEFORMES"
« Les développeurs sur plateformes, comme Apple et Google, ont en réalité fait
beaucoup pour protéger les consommateurs et améliorer la sécurité par
l’entremise du design de l’interface des téléphones intelligents, si l’on compare à
46
"Cybercrime Backlog ‘a Significant Risk’ to RCMP, Internal Audit Warns - Need to Know - Macleans.ca." Web
<http://www2.macleans.ca/2013/01/29/cybercrime-backlog-a-significant-risk-to-rcmp-internal-audit-warns/>.
47
Don Sheehy, Associate Partner, Deloitte Canada, Key Informant Interview
ce que les concepteurs d’ordinateurs PC ont fait à ce jour pour protéger les gens.
Ils auraient de la difficulté à s’attaquer efficacement au défi de sensibilisation des
utilisateurs. »48
Les développeurs sur plateformes sont des organisations qui conçoivent soit le matériel informatique,
soit les systèmes d’opération associés à l’environnement du téléphone intelligent, ou les deux. Tout
comme avec les développeurs d’application, ils font des affaires pour générer un bon revenu de leurs
opérations de manière stable. Leur réputation auprès des consommateurs est très importante pour
maintenir leur niveau d’activité commerciale, puisque ce sont les consommateurs qui leur font confiance
afin qu’ils maintiennent un environnement d’exploitation sécuritaire. Les développeurs de plateforme
devraient se soucier de la sécurité des téléphones intelligents et des risques qui les guettent, puisque les
consommateurs peuvent rapidement changer leurs habitudes d’achat si jamais il y avait une grave
violation de la sécurité des appareils en raison de leurs choix technologiques. D’importants problèmes
de responsabilité peuvent éventuellement survenir si les développeurs de plateforme négligent de
protéger adéquatement ceux qui lui ont fait confiance. Par conséquent, les développeurs sur plateformes
doivent veiller sur les menaces et les risques à la sécurité qui pèsent sur l’utilisation sécuritaire de leurs
appareils.
FOURNISSEURS"DE"SERVICE"DE"TÉLÉCOMMUNICATION"SANS"FIL"
Les fournisseurs de service de télécommunication sont des entreprises qui fournissent les réseaux de
conduits que les consommateurs utilisent pour accéder aux ressources et à l’information disponibles sur
Internet ou échanger des renseignements par voie électronique en envoyant des messages textes ou
utilisant le courrier électronique, les médiaux sociaux ou d’autres technologies émergentes qui facilitent
les communications entre les consommateurs et les entreprises. Ces fournisseurs de service ont tout
intérêt à assurer la protection des données sur lesquelles ils ont un contrôle, peu importe qu’elles
transitent sur leurs lignes de télécommunication ou qu’elles se trouvent stockées sur leurs serveurs.
Au Canada, les principaux fournisseurs de services sont Rogers Communications, Telus et Bell
Mobilité. Il y a aussi de plus petits fournisseurs dont les parts de marché sont minimes, mais une
tendance se dessine à vouloir consolider encore plus l’industrie canadienne des télécommunications sans
fil.
Les problèmes et les enjeux
La limite qui sépare les fournisseurs de services de télécommunication et les développeurs sur
plateformes et d’applications se brouille de plus en plus à mesure que ces organisations étendent la
portée de leurs services au-delà des activités traditionnelles de leurs secteurs respectifs. Tout logiciel qui
se retrouvera éventuellement sur chaque téléphone intelligent porte le sceau du développeur de la
plateforme, du fabricant du matériel informatique (surtout dans le cas d’Android puisque le fabricant et
le développeur diffèrent) et du fournisseur de service de télécommunication. Malgré la multiplicité des
intervenants, ce sont les fournisseurs de service de télécommunication qui occupent la première ligne de
défense et ceux qui sont dans la meilleure position (à tort ou à raison) pour aider les consommateurs.
Les contrats pluriannuels demeurent un problème pour les consommateurs et ces contrats ont des
conséquences. Selon deux de nos répondants clés49, dépendamment de la date d’achat de certains
48
49
Willi Kraml, Key Informant Interview
Justin Morehouse, Ryan Garvey, Key Informant Interviews
24"
téléphones intelligents, les vendeurs et les développeurs sur plateformes accordent un soutien pour aussi
peu que six mois. Par conséquent, un consommateur qui signe un contrat pluriannuel n’aura peut-être
pas accès aux programmes de correction pour leur téléphone intelligent. Ceci peut représenter un
problème pour les consommateurs canadiens, car, traditionnellement, les fournisseurs de service de
télécommunication offrent des contrats d’une durée de trois ans. Ces téléphones s’exposent non
seulement à un risque de défaillance ou de bris, mais ils sont vulnérables aux logiciels malveillants.
Comme le fait remarquer un répondant clé :
« Je suis préoccupé par les fournisseurs de services dans les nuages qu’utilisent les utilisateurs de
téléphones intelligents et les services de réseaux sociaux auxquels ils se connectent, et par
l’intégrité de certains de ces services et des environnements informatiques. »50
Ils peuvent aider
Nous constatons que le moment idéal pour sensibiliser les consommateurs aux risques auxquels ils
pourraient faire face est au point de vente. L’ajout d’un dépliant d’information dans la trousse fournie à
l’acheteur contribuerait largement à éduquer et sensibiliser les consommateurs sur les risques qui les
guettent et les mesures de protection possibles.
Les groupes de discussions ont souligné que les fournisseurs de service de télécommunication étaient les
mieux placés, au moment de la vente, pour aider les consommateurs à comprendre les risques et à se
protéger – soit en les aidant à régler les paramètres de sécurité ou leur montrer comment protéger leur
appareil à l’aide d’un simple mot de passe.
Les fournisseurs de service de télécommunication et les développeurs sur plateformes pourraient aider
les consommateurs de plusieurs façons. Ils pourraient par exemple, mettre des liens en évidence sur
leurs sites Internet, menant les consommateurs à des renseignements importants, qu’ils ont publié euxmêmes ou que d’autres ont publié, sur les faits d’actualité concernant les logiciels malveillants, les
tactiques d’hameçonnage et d’autres risques touchant l’espace cybernétique et d’autres moyens de
défense. Même la création d’un blogue qui vise à encourager un échange d’information entre les
consommateurs bien informés et les novices en la matière constituerait vraisemblablement un pas en
avant.
Nos répondants clés ont nettement penché pour les fournisseurs de services de télécommunication sans
fil.
« C’est cher, tout a un coût. Je ne pense pas que les firmes de télécommunication vont vraiment
souhaiter vouloir aider à sensibiliser les consommateurs, car elles n’ont pas à payer la facture et
ne sont pas affectées directement. Tout échange d’information qui se fait sur leurs réseaux
correspond à des revenus pour elles, peu importe la nature de cette information, alors même le
trafic d’information que génère les cybercriminels est un revenu pour les firmes de
télécommunication. »51
« La responsabilité de configurer un appareil devrait revenir en grande partie au consommateur,
mais malheureusement une grande partie de la gestion de la configuration est hors de leur
contrôle. Si le fournisseur configure et personnalise l’appareil pour le consommateur, le
50
51
Martin Hillger, Key Informant Interview
consommateur pourrait s’attendre à ce que le fournisseur ait une certaine responsabilité
relativement à la sécurité. » 52
Le point de vue du Réseau de consultation de l’intérêt public
Question : La majorité des participants à nos groupes de discussion a suggéré que
leur fournisseur de services de télécommunication sans fil (généralement Rogers,
Bell ou Telus) était l’organisation vers laquelle il se tournerait probablement pour
obtenir du soutien et des conseils en ce qui a trait à la sécurité de leur téléphone,
surtout si cela leur était proposé au moment de l’achat. Selon vous, qu’est-ce que
ces entreprises devraient faire pour accroître cette relation de confiance dans
l’intérêt du consommateur et de sa protection?
Résumé"de"leurs"réponses":"
Les faits d’actualité et l’information pertinente rapportés par les fournisseurs de services pourraient
attirer l’attention des consommateurs sur les menaces courantes et les méthodes de protection à
employer. Les fournisseurs pourraient envoyer ces renseignements à leurs clients par message texte ou
imprimer l’information sur leurs factures (papier ou électronique). Ils devraient offrir gratuitement des
dispositifs de protection facilement accessibles au lieu d’essayer de vendre d’autres services aux
consommateurs. En cherchant à éduquer et à sensibiliser les consommateurs sur les virus et les
problèmes de piratage, les fournisseurs contribueraient à modifier la perception du public voulant que le
risque soit minimal. Un numéro 1-800 pourrait être mis en place afin que les consommateurs puissent
rapporter des téléphones perdus ou volés afin d’en effacer la mémoire, si possible, et qu’il soit
impossible de les utiliser ou de les activer sur un autre réseau. Les fournisseurs de services pourraient
surveiller pour une utilisation anormale des appareils, tout comme le font les entreprises de cartes de
crédit, et soit communiquer avec le titulaire du contrat pour confirmer la légitimité des activités
suspectes ou désactiver le téléphone. Comme l’a souligné un répondant, le point de vente est
probablement ce qui se révèle le plus efficace.53
LES"VENDEURS"AU"DÉTAIL"D’APPAREILS"
Les vendeurs d’appareils au détail forment un important réseau de distribution pour la vente de
téléphones intelligents et le service. Ils agissent comme interface primaire entre les consommateurs, les
développeurs de plateforme et les fournisseurs de services de télécommunication. Tout comme ces
derniers, les vendeurs au détail ont habituellement un contact direct avec les consommateurs au point de
vente. Aussi, la majorité des détaillants a du personnel qui peut facilement expliquer aux consommateurs
les caractéristiques de sécurité de base, puisqu’il doit connaître les appareils et les caractéristiques
techniques pour les vendre. Les détaillants auraient un rôle formidable à jouer dans la configuration
initiale des paramètres de sécurité des téléphones intelligents des consommateurs et dans l’opération de
sensibilisation en leur fournissant, au point de vente, des renseignements sur les risques qui menacent
leurs appareils. Le processus pourrait être facilité davantage si les développeurs sur plateformes
réglaient les paramètres par défaut des téléphones pour que les dispositifs de sécurité soient activés au
moment de livrer le téléphone au point de vente.
52
53
James Howard, Chief Privacy Officer, KPMG LLP (US), Key Informant Interview
Public Interest Network survey respondent
26"
Cependant, les détaillants sembleraient plus motivés par la vente de marchandises que l’offre de services
superflus, puisque le niveau de revenu tiré d’un soutien après-vente demeure habituellement modeste.
Par conséquent, il faudrait soit mettre en place des mesures incitatives pour les détaillants, soit les inciter
à incorporer cette façon de faire dans la gestion de la qualité du service. Il est possible que ce « service
d’éducation » doive être présenté comme une valeur ajoutée qui les démarque des compétiteurs. Peu
importe, comme un répondant incertain de l’approche le fait remarquer :
« Le temps c’est de l’argent. Ils ne font pas d’argent s’ils passent leur temps à sensibiliser les
consommateurs. »54
Une campagne plus vaste qui met l’accent sur un système d’information sur Internet est nécessaire. Il
faudrait faire appel à une agence de marketing ou de publicité qui aurait comme mission d’élaborer une
stratégie reposant sur la sensibilisation et l’éducation des consommateurs.
MESURES"INCITATIVES"POUR"ATTÉNUER"LES"EFFETS"
Chaque joueur qui se trouve sur le marché des téléphones intelligents a soit un intérêt à se pencher sur
les cybermenaces qui visent les consommateurs, ou une certaine responsabilité envers ces derniers, bien
que leurs rôles et leurs responsabilités en lien avec la sécurité de ces dispositifs pourraient être mieux
définis. Il est possible que les développeurs de plateformes, les détaillants, les fournisseurs de service de
télécommunication, et même les fournisseurs d’applications n’aient pas suffisamment d’incitatifs pour
aider les consommateurs à réduire les risques dans ces domaines parce que la dynamique du marché est
telle qu’ils ne veulent pas perdre — même si un manque de confiance émerge. Aussi, la perte, le vol ou
le mauvais fonctionnement d’un téléphone intelligent, ou l’utilisation de tout service frauduleux de
télécommunication en lien avec cet appareil se solde tout de même par une entrée d’argent pour
plusieurs de ces organisations.
Diverses autres organisations peuvent avoir un intérêt croissant pour atténuer les menaces dans cet
environnement. Par exemple, bien que les banques et les institutions financières n’ont pas été
immédiatement identifiées comme victimes possibles du vol ou de la perte de renseignements se
trouvant sur un téléphone intelligent, il est improbable que les consommateurs contre qui de tels crimes
sont commis et qui connaissent d’importantes pertes financières absorbent le montant total de la perte.
De plus, la publicité entourant l’utilisation frauduleuse de renseignements financiers volés d’un
téléphone intelligent pourrait contribuer à une perte de confiance de la part des consommateurs vis-à-vis
les transactions bancaires par téléphone, laissant les banques aux prises avec des systèmes très coûteux
destinés à permettre l’utilisation de ces appareils et que les consommateurs hésitent à adopter.
Plateformes"
Google, BlackBerry et Apple sont les trois principaux développeurs de systèmes d’exploitation
couramment utilisés aujourd’hui dans les téléphones intelligents. Le système d’exploitation Android de
Google fonctionne sur de nombreuses plateformes matérielles notamment Samsung, LG, Motorola et
HTC, alors que celui de Apple et celui du BlackBerry fonctionnent seulement sur les appareils qu’ils
fabriquent. Il n’est pas surprenant que les trois environnements d’exploitation diffèrent grandement entre
eux. Ryan Garvey, un répondant clé, les résume ainsi :
54
Mark Donadio, Key Informant Interview
« L’environnement du BlackBerry est fermé; personne ne sait comment l’appareil marche. Celui
du iPhone est un peu plus ouvert, mais l’environnement est quand même clos. Quant au système
d’exploitation sur les appareils Android, il est complètement ouvert, ce qui ouvre la voie à
quiconque veut créer des programmes malveillants sur cette plateforme. »
Cela dit, il faut se rappeler que le développement de logiciels malveillants nécessite une zone de
vulnérabilité à exploiter. Puisqu’Android utilise un code source ouvert, il y a là un environnement de
prédilection pour la création de logiciels malveillants. La part de marché que détient le BlackBerry dans
le monde varie quelque peu; au Canada sa part de marché est plus importante que partout ailleurs, mais
la situation est en train de changer. Selon l’étude Canadian Wireless Total Ownership Experience Study
menée en 2012 qui porte sur la satisfaction des propriétaires de téléphones sans fil au Canada, le
pourcentage d’utilisateurs de BlackBerry est passé de 42 % en 2011 à 33 % en 2012. Apple et Samsung
ont tous les deux connu une hausse, atteignant 30 % et 13 % respectivement.55
ANDROID"
Android utilise le noyau Linux, qui est lui-même un système d’exploitation qui s’appuie sur un code
source ouvert. Le système d’exploitation s’adapte facilement; les fournisseurs et les fabricants peuvent
facilement adapter le code; les plus importants fabricants de téléphones intelligents utilisant la
plateforme Android utilisent tous une variante du système d’exploitation. Bien que les téléphones se
ressemblent, ils sont tous différents et ils doivent tous être mis à jour et modifiés séparément.
Les téléphones intelligents Android se trouvent sur les mêmes réseaux de distribution au détail que les
autres téléphones intelligents. Toutefois, jusqu’à tout récemment, l’exploitation commerciale des
applications logicielles était incontrôlée. Les consommateurs pouvaient s’adresser directement aux
développeurs pour obtenir une application, sans qu’elle ait été soumise à une inspection de qualité. En
raison de cela et des défaillances des mécanismes de sécurité des versions antérieures du système
d’exploitation Android, les utilisateurs d’Android s’exposaient davantage aux risques associés à des
logiciels malveillants. Google a maintenant créé Google Play, une boutique virtuelle d’applications
similaire à l’App Store de Apple, pour avoir un meilleur contrôle sur les applications Android.
Android est le système d’exploitation de choix pour les pirates et développeurs de logiciels malveillants
en raison de la nature du code source et son avantageuse position sur le marché. Cependant, cela ne
fonctionne que si les utilisateurs ne désactivent pas le blocage lors d’achats d’applications ailleurs que
sur Google Play, ce qui se fait facilement, pour accéder à d’autres boutiques en ligne comme GetJar et
Amazon Apps. Bien que ces deux sites exercent certains contrôles, cela ouvre la voie à d’autres
boutiques dont les pratiques éthiques peuvent s’avérer discutables.
Android est la plateforme de choix pour les pirates et les développeurs de logiciels malveillants en
raison de sa nature ouverte et de sa position relativement forte sur le marché; il est permis de croire que
cela vaut plus pour la deuxième raison que la première.
« Actuellement, les cybercriminels ont une préférence marquée pour le système d’exploitation
Android. Grâce à des techniques astucieuses de manipulation sociale, ils parviennent à
convaincre leur victime d’installer une application “utile”. L’utilisateur donne volontiers son
autorisation, et voilà, la sécurité de l’appareil est compromise. »56
55
2012 Canadian Wireless Total Ownership Experience Study. Web. <http://www.newswire.ca/fr/story/804821/j-d-power-and-associatesreports-with-smartphone-and-data-usage-continuing-to-rise-canadian-wireless-customers-indicate-dissatisfaction-with-the-cost->
56
Enterprise Readiness of Consumer Mobile Platforms. Trend Micro, Incorporated, 2012. Print
28"
Bien que les améliorations apportées aux systèmes d’exploitation Android et de meilleurs contrôles
aident, les utilisateurs de téléphones intelligents qui utilisent actuellement des versions antérieures du
système courent toujours un risque de contamination.
L’augmentation du nombre d’applications malveillantes suit la croissance rapide de la population qui est
propriétaire de téléphones intelligents à l’échelle du globe. Tout indique que la réalité de la menace
gagne rapidement en ampleur.
« Les fraudes de primes par des programmes troyens touchant les services de messagerie SMS
sont de coûteux rappel de l’existence d’applications nuisibles, mais le pire est la fonction
d’exfiltration des données qui s’exécute dans cet univers numérique cauchemardesque — les
logiciels malveillants peuvent copier les messages SMS, intercepter les communications, activer le
microphone à distance et mener d’autres tâches redoutables. »57
En raison des changements continus apportés à l’environnement du système d’exploitation et de
l’incertitude des exigences de soutien technique à apporter aux versions antérieures des systèmes
d’exploitation Android, les risques qui pèsent sur ces systèmes découlent de la conception originale de la
plateforme et la taille du bassin de consommateurs non protégés. Les appareils Android plus âgés font
face à une situation de vulnérabilité les rendant susceptibles d’être attaqués.
Comme le fait remarquer un des répondants clés :
« Selon la date d’achat de certains téléphones intelligents, les vendeurs et les développeurs sur
plateformes accordent un soutien pour aussi peu que six mois. »58
Un autre répondant, James Morehouse, rend compte de la position relative d’Android :
« L’environnement des téléphones Android est définitivement plus vulnérable aux attaques que
celui des téléphones iOS ou BlackBerry. . . À ce jour, n’importe qui peut télécharger une
application provenant de n’importe où sans avoir à modifier quoi que ce soit ou à débrider le
téléphone. Cette situation est troublante, car les applications s’affichent comme des produits
légitimes offerts par les principales banques et institutions financières. »59
Voici un exemple des problèmes grandissants liés à Android :
« Jusqu’à ce que Google Play voit le jour, il n’y avait aucun moyen de vérifier la légitimité d’une
application logicielle. Aujourd’hui, un pirate informatique peut télécharger une application de
services bancaires parfaitement légitime, la décompiler, installer un code malveillant, la
recompiler et envoyer les renseignements à un serveur malveillant pour entrer dans le système
visé. Le pirate laisse ensuite le consommateur effectuer des transactions bancaires sur le serveur
de la banque. Dès lors, le pirate a accès aux données de connexion au compte de l’utilisateur.
L’utilisateur final n’a aucune idée, en dehors de Google Play, de ce qui a été distribué par
l’entremise de la boutique d’application pour comprendre s’il avait affaire à la banque ou à
quelqu’un d’autre. »60
Pour l’instant, le risque semble relativement faible, mais il augmentera certainement, à mesure que les
développeurs de logiciels malveillants s’activeront et que les cibles s’avéreront particulièrement
intéressantes.
57
59
60
"Android 2.3 Gingerbread Targeted with Malware More Than Any Other Mobile OS." Web. http://bgr.com/2012/11/06/android-securitygingerbread-malware/.
58
« La croissance exponentielle des applications Android malveillantes ne s’est pas traduite en une
augmentation des risques pour la plupart des utilisateurs. Des chercheurs du GTISC, qui ont
mené une analyse du trafic DNS transitant sur les serveurs d’un important fournisseur de
téléphonie cellulaire pendant trois semaines, ont trouvé que seulement un très petit nombre
d’appareils, soit 0,002 %, montrent des signes d’infection aux États-Unis. »61
Les consommateurs doivent être aux aguets lorsqu’ils utilisent des appareils Android moins récents dont
les systèmes d’exploitation sont touchés par une vulnérabilité accrue.
L’IOS"DE"APPLE""
Quelque chose se passe entre les consommateurs et leur « expérience Apple » qui se poursuit au-delà
des caractéristiques physiques du matériel et de l’interface utilisateur pour attirer les consommateurs.
« Mais, même ici, les gens pensent à l’expérience utilisateur en fonction des caractéristiques
physiques du matériel informatique (un élément non négligeable) ou à la fluidité de l’interface
utilisateur du système d’exploitation. Bien que ces deux facteurs soient certainement importants,
l’expérience utilisateur, en ce qui concerne Apple, dépasse largement ce cadre apparent. »62
Apple a conçu son système d’exploitation iOS pour qu’il fonctionne uniquement sur son iPhone et
d’autres appareils mobiles comme le iPad. C’est ainsi que le niveau de sécurité du système
d’exploitation iOS s’avère fondamentalement supérieur à celui d’Android. Apple est également à
l’origine du concept de prise en charge de la communauté de développement des applications par
l’entremise de son processus unique d’approbation. Les développeurs doivent soumettre leurs logiciels à
un processus de contrôle de qualité avant de pouvoir le vendre dans l’App Store de Apple. Ce processus
de certification peut prendre d’une à deux semaines. Les organisations doivent également donner des
preuves de leur stabilité financière et de leur viabilité avant qu’Apple approuve leur produit. Les sociétés
sont soumises à une procédure de vérification beaucoup plus rigoureuse que celle des particuliers, mais
elles ont une plus grande flexibilité, surtout par rapport à la distribution à l’interne de leurs applications
sur les appareils. Ce processus vise surtout les entreprises qui utilisent des applications de gestion à
l’interne.63
Les fournisseurs et les magasins au détail traditionnels, y compris les magasins Apple distribuent les
iPhone.
« L’approche brevetée de Apple se montre maintenant ouvertement favorable aux entreprises. Le
strict contrôle qu’Apple exerce sur l’ensemble de son écosystème — du matériel à la plateforme
en passant par les applications — contribue à accroître la sécurité et le contrôle du système
d’opération du segment des consommateurs de téléphonie mobile. Cependant, à la différence de
l’approche pleinement intégrée de Research in Motion, Apple ne fournit pas directement les
composantes des unités finales nécessaires pour sécuriser et contrôler ses appareils mobiles, mais
fait plutôt appel à une multitude de fournisseurs tiers normalement bien placés dans le segment de
la gestion des appareils mobiles. »64
61
63
Emerging Cyber Threats Report 2013. Georgia Tech Information Security Center, 2012. Print.
Nachenberg, Carey. A Window Into Mobile Device Security. Examining the security approaches employed in Apple’s iOS and Google’s
Android. Symantec Corporation, 2011. Print
64
Enterprise Readiness of Consumer Mobile Platforms. Trend Micro, Incorporated, 2012. Print.
30"
Bien qu’il soit reconnu qu’Apple a exercé un strict contrôle sur l’environnement du iPhone et les
applications qui fonctionnent avec son système d’exploitation, il y a de récents cas où la sécurité de
certaines applications aurait été compromise, par le fait que les développeurs de logiciels malveillants et
les cybercriminels se concentrent davantage sur le système d’exploitation iOS de Apple. Le niveau de
sécurité du iPhone surpasse, de façon générale, celui d’Android, mais demeure inférieur à celui du
BlackBerry. Cependant, si le iPhone est débridé, son niveau de sécurité chute et il devient vulnérable au
piratage. Comme le souligne un des répondants clés :
« Si vous avez un iPhone qui n’est pas débridé, vous devez installer des applications qui
proviennent de l’App Store, et Apple tente d’assurer la sécurité des applications qui s’y trouvent,
mais il y a tout de même quelques cas où des logiciels malveillants s’y sont retrouvés. Il existe
toutefois dans l’environnement iOS certaines faiblesses qui le rendent moins sécuritaire que le
BlackBerry, par exemple. »65
Même avec ces mesures de contrôle en place, les experts en sécurité considèrent que l’iOS a certaines
failles que les développeurs de logiciels malveillants pourraient exploiter. Plusieurs cherchent à avoir
accès à l’environnement Apple en raison de l’importante augmentation de sa base d’usagers.
À date, l’iOS « a su résister aux attaques. Mais aucune des technologies de protection de l’iOS ne
défend contre les attaques d’ingénierie sociale comme l’hameçonnage ou le pourriel. »66
« En raison des incertitudes du marché, Apple a peut-être été plus prudente dans son approche.
Dans l’iOS6, le géant de la technologie pour les consommateurs a ajouté Passbook, une
application qui permet de rassembler, en un endroit, des documents importants tels des billets
d’avion, des cartes privatives et des billets de cinéma, mais qui laisse de côté les cartes de crédit
et les paiements automatiques. »67
Apple a recours au cryptage pour prévenir la perte de renseignements en cas de vol ou de perte de
l’appareil.
« Le but du cryptage est de prévenir la perte de renseignements en cas de vol ou de perte. Le
cryptage de l’iOS au niveau de l’appareil sert principalement à l’effacement rapide des données
de l’appareil. Puisque, sur l’appareil, chaque octet de données est codé par matériel avec une clé
de chiffrement, il est possible d’effacer la mémoire d’un appareil en éliminant cette clé. »68
Lorsque le mécanisme de destruction est activé (si l’appareil est perdu ou volé, ou si quelqu’un entre un
mot de passe incorrect 10 fois), la clé de chiffrement est effacée, rendant les données cryptées
indéchiffrables. Si un utilisateur configure l’appareil, cela peut également se faire à distance. Si un
utilisateur devait perdre son iPhone ou se le faire voler, la mémoire de l’appareil peut être effacée; il faut
toutefois que l’appareil soit connecté à Internet pour que l’utilisateur puisse y avoir accès.
« Bref, l’approche de l’iOS de se murer dans l’isolement, s’est montrée favorable à la protection
contre les attaques en réseau. Cependant, les attaques contre des applications précises comme les
65
Android. Symantec Corporatioin, 2011. Print
67
Emerging Cyber Threats Report 2013. Georgia Tech Information Security Center, 2012. Print
68
Android. Symantec Corporatioin, 2011. Print.
66
navigateurs Web, bien qu’elles soient menées en vase clos et qu’elles ne puissent affecter d’autres
applications, peuvent tout de même causer des dommages importants à un appareil. »69
BLACKBERRY"
BlackBerry (anciennement Research In Motion, Corp.) a élaboré un système d’exploitation propriétaire
pour ces appareils mobiles. Même si c’est un système d’exploitation propriétaire, il est possible
d’utiliser n’importe qu’elle application tierce codée en java 7. BlackBerry teste toutes les applications et
exige que chaque application soit accompagnée d’un certificat portant une signature numérique. Les
applications sont disponibles dans la boutique BlackBerry App World.
Dans le domaine des téléphones intelligents, les experts en sécurité considèrent l’environnement
BlackBerry comme le plus sécuritaire. Conçu pour répondre aux exigences en matière de sécurité de la
majorité des entreprises, son système d’exploitation reste le plus clos parmi les trois systèmes
disponibles. Tout comme l’iOS de Apple, le système d’exploitation du BlackBerry est conçu
exclusivement pour sa plateforme matérielle. Ainsi, les développeurs du système d’exploitation sont en
mesure de mettre en place de nombreux contrôles de sécurité. Cependant, BlackBerry a la réputation
d’axer ses activités sur le milieu des affaires plutôt que sur les particuliers; conséquemment, l’entreprise
soutient seulement un nombre limité d’applications grand public comparativement à Android et iOS.
Aussi, bien que BlackBerry est d’ordinaire la marque de téléphone intelligent de choix du milieu des
sociétés, l’entreprise n’a pas suscité le même attrait sur le marché des consommateurs.
« Pour ce qui est des plateformes individuelles, les analyses effectuées par des experts montrent
que certains systèmes d’exploitation sont plus développés que d’autres. BlackBerry obtient un
score élevé sur toute la ligne et se démarque clairement du groupe des trois plateformes mobiles
grand public émergentes. Les exigences en matière de sécurité et de gestion pour tout
environnement entrepreneurial font de cette plateforme celle de choix pour les tâches les plus
exigeantes que les appareils mobiles ont à exécuter. »70
Le nouveau système d’exploitation BlackBerry 10 lancé récemment semble permettre le téléchargement
d’un plus grand nombre d’applications utiles vers une partition de mémoire séparée. BlackBerry cherche
à se repositionner dans le marché des téléphones intelligents en misant sur la convivialité et les
applications axées sur le consommateur, tout en maintenant les contrôles de sécurité que les acheteurs au
sein des organisations recherchent.
Tous les principaux environnements d’exploitation des téléphones intelligents bénéficient des
mécanismes de bac à sable ou des mesures d’isolement des applications et des données. Voilà une des
différences fondamentales qui sépare l’environnement BlackBerry de celui des ordinateurs personnels et
qui donne au premier un niveau de protection supérieur contre les attaques potentielles.
Selon les experts en sécurité, le système d’exploitation BlackBerry demeure très sécuritaire avec
seulement quelques cas où la sécurité des données a été compromise. Cependant, avec la plateforme
BlackBerry 10, l’entreprise introduit un système de partitions séparées pour faire fonctionner des
applications grand public et de gestion, et ouvre la voie à un important bassin de nouvelles applications
grand public. Il reste à voir si ce système augmentera les risques d’exploitation illégale par les
cybercriminels.
69
Android. Symantec Corporatioin, 2011. Print.
70
32"
Bien que la plateforme BlackBerry comporte un niveau de sécurité élevé, il n’en demeure pas moins
qu’elle demeure vulnérable aux risques externes comme la perte ou le vol.
Les"menaces"
« Tout appareil dont le comportement dépend d’instructions logicielles peut être
manipulé pour fonctionner autrement que le prévoyaient ses créateurs. » « Un
agent externe peut compromettre la sécurité de tout appareil connecté à un réseau
quelconque, de quelconque façon que ce soit. Plusieurs de ces intrusions
informatiques n’ont pas été détectées. » 71
« On ne tend plus la main à l’autre pour l’écouter, l’autre vous vole à
l’arraché. »72
Le tableau suivant correspond à la première partie de la grille d’analyse des répercussions sur les
consommateurs. Elle comporte une liste des menaces courantes et émergentes, une description de ces
menaces, la façon dont elles sont utilisées et les répercussions qu’elles ont sur le consommateur. Comme
nous l’avons mentionné dans la portée du projet, les catégories de menaces incluent :
• Le fonctionnement défectueux
• La perte ou le vol
• Le piratage à proximité immédiate
• Le cyberharcèlement
• Le piratage informatique à distance
71
72
Global Risks 2012. World Economic Forum. Print.
Patrick Traynor, Assistant Professor, Georgia Tech School of Computer Science, Emerging Cyber Threats Report 2011. Security
Summit 2010. Georgia Tech Information Security Center, 2010. Print.
GRILLE&D’ANALYSE&DES&RÉPERCUSSIONS&:&PREMIÈRE&PARTIE&
La nature de la menace
Qui la profère et pourquoi
Impact sur le
consommateur
Fonctionnement défectueux
Matériel et logiciel
Dommage physique en raison de négligence ou d’une mauvaise utilisation.
Bris d’une composante matérielle.
Le système d’opération ou un logiciel plante.
N’importe qui, mais habituellement le
consommateur – involontaire.
Le consommateur.
Appareils/biens personnels.
Données perdues (si elles n’ont pas été
sauvegardées).
Le système d’exploitation ou le logiciel
peut être endommagé.
Les fichiers de données sur le téléphone
peuvent être corrompus ou perdus.
Le consommateur par négligence ou sa
méconnaissance.
Le « syndrome du gros doigt ».
Copie de sauvegarde inaccessible, ou
mauvaise version du document.
Divulgation involontaire de
renseignements sensibles.
La perte résulte principale de la négligence du
consommateur. Certains supposent que la
largeur des nouveaux téléphones intelligents fait
en sorte qu’il est embarrassant de les garder dans
des poches; les gens sont donc moins portés à
Habituellement, il faut se procurer un
autre téléphone intelligent.
Les données sont perdues, s’il n’existe
pas de copie de sauvegarde.
Les données sont divulguées si le
Erreur d’utilisation
Une erreur d’utilisation survient en raison d’un manque de connaissance
relativement à l’utilisation de l’appareil ou du logiciel, souvent avec les fonctions
de sauvegarde et de restauration ou au moment d’écraser ou de restaurer des
données vers le mauvais téléphone enregistrés sur un même compte.
Les utilisateurs peuvent inconsciemment rendre des données publiques, surtout
des photos par l’entremise des médias sociaux ou des galeries de photos.
La perte ou le vol
Le téléphone intelligent est involontairement laissé derrière ou égaré. Le
téléphone se trouvait dans un sac à main ou une mallette volé, il a été saisi avec
force ou pris de la demeure ou du bureau d’une personne.
Les clients des cafés se vont voler impudemment leurs iPhone :
« Le phénomène se nomme « Faire la cueillette des pommes » et c’est une
34&
Les&appareils&mobiles&face&aux&cybermenaces&
épidémie dans les grandes villes comme Chicago, Los Angeles et New York —
ainsi que dans les banlieues du sud de la Californie. »73
« Le vol de téléphone est un problème grandissant. Le service de police de New
York, en collaboration avec AT&T, a mis en place un service d’enregistrement de
téléphones pour tenter d’aider à retrouver les téléphones intelligents qui sont
volés ou encore les remettre à zéro s’ils ne sont pas retrouvés. Au cours de la
dernière semaine, j’ai parlé à deux personnes dans des contextes différents qui
ont eu leurs téléphones intelligents volés d’entre leurs mains alors qu’elles
marchaient tranquillement. »74
73
les garder sur eux.
Ce sont des individus opportunistes, et parfois
bien organisés, qui commettent les vols.
Souvent, ce sont des connaissances du
propriétaire du téléphone intelligent.
téléphone n’était pas protégé par une
procédure d’authentification, parfois
même avant que le consommateur ne
s’en aperçoive.
Nachenberg, Carey. A Window Into Mobile Device Security. Examining the security approaches employed in Apple’s iOS and Google’s Android. Symantec Corporatioin, 2011.
Print
74
Les&appareils&mobiles&face&aux&cybermenaces& 35&
Impact sur le
consommateur
Quelqu’un de malveillant ou malin dans les
parages avec l’intention d’utiliser un appareil
sans fil qui n’est pas le sien.
Les pirates peuvent attaquer des appareils
mobiles pour montrer leur savoir-faire ou
impressionner la communauté de pirates
informatiques. Bien que l’art du piratage
exigeait à une époque de bonnes connaissances
et habiletés informatiques, de nos jours les
pirates informatiques peuvent télécharger de
l’Internet des scripts conçus pour attaquer et
des protocoles et lancer des attaques contre des
appareils mobiles.77
Les personnes qui stockent sur leur téléphone
intelligent leurs renseignements personnels ou
celles des autres (ou des organisations avec
lesquelles ils font affaire).
Transmission de renseignements
personnels à son insu puisque les
pirates informatiques peuvent avoir
accès à la liste de contacts ou aux
données sensibles stockées sur le
téléphone intelligent.
Il est possible d’effacer les données
d’un téléphone intelligent.
Le pirate peut se servir de l’information
communiquée en champ proche pour
faire des achats pour lui, alors que c’est
sa victime qui paye.
Les utilisateurs qui utilisent le même
code pour leur téléphone intelligent et
leurs cartes de crédit s’exposent au vol
de ces dernières.
Des partenaires, des amis ou des membres de la famille qui
sont jaloux ou curieux; des cybercriminels et des personnes
troublées.
Espièglerie de la part d’un ami ou d’une connaissance
(par ex., échanger les numéros de téléphone de la liste de
Sentiment de gêne; violation de la confidentialité;
risque possible pour sa propre personne.
Un message peut être envoyé à la mauvaise
personne; le message qui est destiné à l’être aimé
est envoyé à sa mère au lieu.
Le piratage à proximité immédiate
Écoute électronique — Piratage Bluetooth (bluesnarfing : copiage du
carnet d'adresses et de l’agenda) — Wi-fi — Par-dessus l’épaule
Une personne qui se trouve dans une zone de couverture Bluetooth est en mesure
d’obtenir un accès Bluetooth à un téléphone intelligent, car l’appareil physique
n’est pas protégé d’un mot de passe ou encore elle peut exploiter une faille dans
le logiciel de l’appareil compatible Bluetooh. Un criminel pourrait convaincre
quelqu’un de se connecter localement à un point d’accès Wi-Fi qu’il contrôle,
alors que le consommateur croît qu’il se connecte à un réseau Wi-Fi public
légitime.
À l’aide d’un logiciel spécialisé, les pirates peuvent trouver les téléphones
intelligents qui transmettent des données décryptées circulant sur un réseau Wi-Fi
et d’usurper les renseignements d’authentification de sa victime et assumer son
identité en ligne.
Une personne peut voir le mot de passe de quelqu’un, particulièrement évident
sur un iPhone avec son code à quatre chiffres, puis l’utiliser plus tard lorsqu’il
vole le téléphone intelligent. Une menace qui, jusqu’à maintenant, n’a pas été
trop dangereuse, mais qui devrait prendre de l’ampleur, concerne l’arrivée des
téléphones intelligents équipés de puces pour la communication en champ
proche.75
Le portefeuille mobile va vraiment changer le phénomène du piratage à proximité
immédiate.76
Le cyberharcèlement
Il est possible de localiser l’emplacement des appareils mobiles enregistrés et de suivre les
déplacements pour des fins malhonnêtes ou illégales.
Il est possible d’utiliser la fonction « localisation du téléphone » pour suivre un membre de la famille
ou un ami, puisque les personnes partagent souvent leurs identifiants.
Il est possible d’obtenir les données de localisation en utilisant la fonctionnalité de repérage GPS que
75
James Howard, Key Informant Interview
77
INFORMATION SECURITY Better Implementation of Controls for Mobile Devices Should Be Encouraged. United States Government Accountability Office, September, 2012.
Print.
76
36&
l’utilisateur ou quelqu’un ayant accès au téléphone aurait activée au moyen d’une application
logicielle légale ou d’un logiciel malveillant téléchargé sur l’appareil mobile de l’utilisateur. (Voir
piratage informatique à distance.)
Il est possible d’utiliser Bluetooth (piratage à proximité immédiate) pour prendre le contrôle d’un
téléphone intelligent et lire les courriels ou les messages textes.
contacts de la mère d’un adolescent et de sa copine).
Impact sur le
consommateur
Les pirates – soit pour des raisons illégales ou pour faire
montre de leurs talents aux autres pirates.
Les pirates peuvent maintenant facilement télécharger des
logiciels et consulter des sites d’information pratique portant
sur comment avoir accès à des téléphones intelligents ou
d’autres appareils mobiles.
Des personnes ou des groupes au hasard ou ciblés.
Possibilité d’une perte de données ou de
divulgation de renseignements, selon les objectifs
du pirate informatique.
Les pirates utilisent l’exploitation de réseaux en raison de la
capacité technique du téléphone et la garantie d’anonymat
pour distribuer les logiciels malveillants et avoir accès à
d’autres à partir des téléphones intelligents des
consommateurs.
Cette méthode peut également servir à accéder aux
renseignements stockés sur un téléphone intelligent.
Une perte de données, la divulgation de
renseignements, la sécurité de l’information
compromise, un sentiment de gêne d’avoir été
pris comme plateforme de lancement pour
s’emparer de l’information d’autres.
Les criminels qui attaquent les téléphones
intelligents le font généralement pour réaliser un
gain financier.
Les pirates malicieux qui attaquent pour
accroître leur notoriété, pour acquérir le droit de
se vanter ou pour signaler à une entreprise des
failles logicielles, afin de prendre des mesures
nécessaires. Dans ces situations, il arrive
souvent que les consommateurs se fassent
prendre entre deux feux.
L’auteur peut divulguer les renseignements ou les
conserver pour une utilisation future pour des fins
moins nobles.
L’information peut être modifiée. Le
consommateur peut rencontrer d’importants
problèmes selon les modifications apportées.
Les logiciels malveillants peuvent dormir dans
les appareils des consommateurs jusqu’à ce qu’ils
soient activés.
Le piratage informatique à distance
L’écoute électronique — Interception de données — Reniflage Wi-Fi
L’interception des données se fait quand un pirate écoute les conversations qui transitent depuis et
vers un appareil mobile.
Plusieurs techniques existent pour faire de l’écoute électronique :
•
Des attaques de type intermédiaires : lorsqu’un appareil mobile se connecte à un réseau
Wi-Fi non protégé et que l’attaquant intercepte et modifie la communication.
•
Le reniflage Wi-Fi : lorsque les données transitent depuis ou vers un appareil en utilisant
une connexion réseau non sécurisée, le pirate peut copier l’information.
Piratage à distance – L’exploitation des réseaux
Au lieu de cibler les téléphones intelligents, le pirate qui exploite par l’entremise d’un réseau utilise
les failles des réseaux, habituellement Wi-Fi ou Bluetooth. Ceci peut se faire sans que l’utilisateur ait
à poser une action. Le pirate intercepte les communications qui transitent vers et depuis l’appareil.
Piratage à distance – Les logiciels malveillants
Les logiciels malveillants comprennent une variété d’applications qui offrent
différentes possibilités, y compris :
• Indique l’emplacement et fournit d’autres renseignements sensibles.
• Donne un accès lecture-écriture à l’historique de navigation de
l’utilisateur.
• Permet de lancer des appels téléphoniques.
• Permet d’activer le microphone ou la caméra de l’appareil pour enregistrer
clandestinement de l’information.
• Permet de télécharger d’autres applications malveillantes.
Une fois installé, le logiciel malveillant peut lancer un grand nombre d’attaques
et se répandre sur d’autres appareils.
Des logiciels espions peuvent être installés secrètement afin de recueillir des
renseignements du téléphone intelligent à l’insu de l’utilisateur, par exemple :
• Les logiciels qui enregistrent les frappes sur le clavier des appareils
mobiles pour saisir l’information sensible, tels que des mots de passe,
des renseignements sur les comptes bancaires et d’autres données
38&
sensibles que les gens stockent en mémoire.
• Les « virus » ou les programmes qui peuvent se reproduire et s’attaquer
aux appareils mobiles.
• Un cheval de Troie peut se cacher au sein d’un dossier légitime jusqu’à ce
qu’il soit lancé pour qu’il commence à effectuer son travail d’intrusion
malveillant.
Les manipulations malveillantes, surtout celles envers les plateformes Android,
représentent le segment où les cybermenaces se feront sentir le plus, surtout sur
les appareils mobiles.78
Piratage à distance - Les machines zombies
Par l’entremise de machines zombies, il est possible de se servir un grand nombre
d’appareils mobiles ou coordonner des attaques sur un site Internet, qui par la
suite fait de l’hameçonnage, envoie du pourriel ou d’autres logiciels malveillants
vers d’autres appareils mobiles.
Il y a un débat à savoir jusqu’à quel point les téléphones intelligents sont utilisés
pour lancer et coordonner des attaques : J’ai de la difficulté à croire que
l’environnement des machines zombies se déplacera aux appareils mobiles parce
que les fournisseurs de services dans les nuages et même les ordinateurs
personnels disposent de capacités supérieures.79
Les opérateurs de machines zombies ratissent
large.
Renseignements possiblement perdus
ou la sécurité des renseignements a été
compromise ou des dommages causés
indirectement à d’autres.
Cybercriminels
Cette stratégie permettrait à des cybercriminels
mieux organisés de cibler certains groupes de
consommateurs pour des attaques futures.
compromise.
Les consommateurs peuvent se
retrouver victimes d’une escroquerie.
Piratage à distance – Exploitation par navigateur Internet
Certaines des plus grandes menaces (mis à part un bris ou une perte) découlent
des efforts voulant que les utilisateurs des téléphones intelligents se connectent à
des sites qui peuvent téléverser des codes malveillants ou recueillir des
renseignements comme l’adresse courriel du consommateur ou d’autres
coordonnées, pour une utilisation future. Les navigateurs correspondent à
l’application que les pirates utilisent comme cible. Les attaquants connaissent les
failles de sécurité des navigateurs qu’ils peuvent facilement exploiter.80
Les exploitations par navigateur s’appuient sur des failles de sécurité dans les
78
Technology Advisory Council, Security and Privacy Work Group. Consumer Education Recommendations. Federal Communications Commission, December, 2012. Print.
80
Print.
79
logiciels de navigation utilisés pour avoir accès aux sites Web.
Si une page Web détermine que la personne qui consulte le site utilise une
version du logiciel de navigation qui est vulnérable, le site Web de l’attaquant
envoie des instructions malveillantes au logiciel de navigation. Une fois que
l’attaquant contrôle le navigateur Internet, il peut avoir accès à la majorité des
données qui se trouvent sur l’appareil.81
Bien que ces menaces se font à l’aide d’Internet et que l’Internet est disponible
sur n’importe quel ordinateur, la situation est particulière pour les appareils
mobiles, car les utilisateurs de téléphones intelligents sont plus susceptibles de
cliquer sur les liens qui apparaissent sur leur téléphone que sur ceux de leur
ordinateur personnel.82
Piratage à distance — Hameçonnage
L’hameçonnage est une arnaque qui se sert de courriels ou de messages éclair pour tromper les gens
et leur faire divulguer des renseignements sensibles. Les arnaqueurs Internet utilisent un courriel
comme un appât pour saisir les mots de passe et les renseignements financiers.
Les pirates informatiques portent maintenant leur attention vers les quartiers chauds de la ville où
l’argent se trouve – les gestionnaires (les « « Whales » en anglais). Les courriels qu’ils envoient ne
sont que des spéculations et ils ne sont pas personnalisés pour le moins, mais ils font référence à des
points importants en matière de gestion comme des assignations à témoigner, des plaintes des clients
83
ou des problèmes de gestion du personnel.
Vous pouvez être certain que les cybercriminels vont suivre cette tendance à la hausse et qu’ils
prendront des mesures pour intercepter le flux de ces précieuses données.84
Les pirates et les cybercriminels qui cherchent à capturer
quelques personnes dont les noms apparaissent dans un
envoi électronique groupé.
En répondant à un courriel de cette nature, il est
possible que la sécurité de l’information soit
compromise; perte financière si la victime
effectue une transaction.
Les cybercriminels
Des personnes ou des groupes au hasard ou
ciblés.
La sécurité des renseignements a été
compromise; perte financière.
Piratage à distance – Téléchargement de logiciels malveillants
Les applications malveillantes peuvent prendre la forme d’une rustine ou d’un
utilitaire que des utilisateurs non méfiants peuvent télécharger. Des personnes
non autorisées peuvent alors utiliser les appareils mobiles et avoir accès aux
renseignements personnels ou au système de ressources.
81
Print.
82
Mobile (In)Security A Survey of Security Habits on Smartphones and Tablets. Confident Technologies, September, 2011. Print
83
Beware These 6 Emerging Cyber Threats . Web. <http://www.dynamicbusiness.com.au/blogs/beware-these-6-emerging-cyber-threats-17102011.html>.
84
Beware These 6 Emerging Cyber Threats . Web. <http://www.dynamicbusiness.com.au/blogs/beware-these-6-emerging-cyber-threats-17102011.html>.
40&
Impact sur le
consommateur
Piratage à distance – L’exploitation du jour
Les cybercriminels profitent de l’avantage des failles de sécurité avant que le
développeur ne publie une rustine.
&
Puisque l’exploit est en lien avec une menace
inconnue, le cybercriminel est virtuellement
assuré que les téléphones intelligents n’auront
pas de rustines logicielles installées pour
empêcher la réalisation de l’exploit.
Des personnes ou des groupes au hasard ou
ciblés.
compromise.
La#perte#et#l’exposition#de#données##
Nous entrons de plus en plus de renseignements dans nos téléphones intelligents. Nous vivons donc de
plus en plus avec le risque qu’une tierce personne accède à nos mots de passe, ou à toute autre
information confidentielle (comme des textos, des courriels ou des photos), et les divulgue si nous
perdons notre appareil, nous le faisons voler ou pirater. Même si l’information n’est pas utilisée dans
une intention malveillante, la violation de renseignements peut-être traumatisante pour bon nombre de
consommateurs.
LES#PERTES#FINANCIÈRES#
Le risque de perte ou de divulgation des renseignements bancaires tient compte du fait que l’information
récupérée par le biais d’un piratage ou l’introduction possible d’un logiciel malveillant dans le téléphone
intelligent d’un consommateur permettrait à un cybercriminel d’accéder aux actifs financiers de
l’utilisateur, et de les contrôler.
Plus le consommateur utilise son téléphone intelligent pour ses opérations bancaires, ses transactions
d’achat ou d’autres transactions financières, plus le risque que des cybercriminels interceptent ses
données financières augmente. L’introduction des puces NFC (Near Field Communication –
communication en champ proche), qui permettent d’autoriser électroniquement des transactions
bancaires, a également augmenté la possibilité que des détenteurs de téléphone voient leurs transactions
financières compromises par des personnes manœuvrant à proximité.
La probabilité de risque
La probabilité qu’une menace se concrétise occupe une place capitale dans tout processus d’évaluation
des risques. Dans certains cas, on doit s’appuyer sur des témoignages pour déterminer le facteur de
probabilité arbitraire. Les données statistiques servent généralement de base pour évaluer la probabilité
de risque. C’est le cas des nombreuses menaces liées à l’utilisation d’un téléphone intelligent, où les
statistiques relatives aux circonstances dans lesquelles les téléphones ont été perdus sont relativement
abondantes, mais où les statistiques sur les attaques par des logiciels malveillants (particulièrement les
attaques réussies) viennent juste d’être établies. On peut alors craindre que la probabilité de risque soit
surévaluée ou sous-évaluée, tout comme le niveau de risque général associé à n’importe quelle menace
individuelle.
« ...les plateformes mobiles d’aujourd’hui diffèrent grandement en matière de sécurité et de
capacité de gestion. D’une façon générale, même si les attaques auxquelles elles sont vulnérables
ne sont pas les mêmes que celles des ordinateurs de bureau personnels, les plateformes mobiles
modernes offrent une bien meilleure protection que les systèmes d’exploitation d’ordinateurs de
bureau traditionnels en ce qui concerne les mécanismes de sécurité, d’authentification et de
protection des données. »85
85
42#
Les#appareils#mobiles#face#aux#cybermenaces#
Les répercussions
Selon les circonstances, un seul cas peut entraîner différentes conséquences. En outre, selon les
circonstances, il se peut que l’on ne se rende pas immédiatement compte de l’ampleur des conséquences
(p. ex., les répercussions seront différentes si la personne qui retrouve un téléphone intelligent perdu, et
toutes les données personnelles qu’il contient, utilise les renseignements personnels du propriétaire de
l’appareil pour en tirer un avantage financier ou si elle ne les utilise pas.).
Le tableau suivant indique, pour chaque catégorie de menace, la nature de la perte et du risque, si ce dernier est connu ou inconnu, la
probabilité d’occurrence et les répercussions, ainsi que le risque global pour le consommateur. Cette évaluation est établie en fonction
d’un appareil sans protection ou authentification.
La perte estelle
généralemen
t connue?
La perte estelle
inconnue?
Le risque
de
divulgatio
n est-il
connu?
Le risque de
divulgation estil inconnu?
Quelle est la
probabilité
d’occurrence?
Quelles sont les
répercussions
pour le
consommateur?
Risque
général
pour le
consomm
ateur
Fonctionnement
défectueux du
matériel, des
logiciels ou
mauvaise
utilisation de
l’utilisateur
Oui -
Non (en
général)
Oui –
Aucune
divulgation
Non
Élevée - Habituellement
> 50 % de risque en lien
avec la durée de vie de
l’appareil
Faibles à élevées
(de 0 à 100 %
selon les données)
Moyen à
élevé
(dépend des
données
stockées)
La perte ou le vol
Non –
Absence du
bien matériel
Non
Oui –
Risque de
divulgation
complète
Non – Dépend du
niveau de prise de
conscience de
l’utilisateur
Élevée - habituellement
> 50 % de risque en lien
avec la durée de vie de
l’appareil
Faibles à élevées
(de 0 à 100 %
selon les données)
Moyen à
élevé
(dépend des
données
stockées)
Le piratage à
proximité
immédiate
Non –
Habituellemen
t aucun signe à
l’usager
Oui
Non
Oui
Faible <,03%
Moyennes –
Dépend de
l’information
obtenue
Faible
Le piratage
informatique à
distance
Non - Faible
<,03%
Oui – À
moins que
l’utilisateur
s’en
aperçoive
Non
Oui
Faible <,03%
Faibles à
moyennes Dépend de
l’information
obtenue
Faible
Cyberharcèlement
Non - Faible
<,03%
Oui - À
moins que
l’utilisateur
s’en
Non
Oui
Faible
Élevées, selon la
motivation
Faible à
élevé, selon
la
motivation
44"
aperçoive
LA#SENSIBILISATION#DES#CONSOMMATEURS#AUX#
DIFFÉRENTES#MENACES#
« Ma première pensée va au coût de remplacement. »86
« Nous conservons tellement d’information dans nos téléphones intelligents. Mon
fil a récemment perdu le sien pendant une heure et il est pratiquement devenu
hystérique lorsqu’il a réalisé tout le danger que cela représentait. Leçons
apprises. »87
Ce qui nous a poussés à réaliser cette étude, c’est le fait que le consommateur canadien moyen n’est pas
vraiment au courant des risques techniques les plus sophistiqués liés aux téléphones intelligents. Les
membres des groupes de discussion, du réseau de consultation de l’intérêt public et les répondants clés
ont malheureusement confirmé nos présomptions. Bon nombre de consommateurs semblent faire preuve
d’indifférence et d’insouciance en ce qui concerne la perte de leurs téléphones ou la divulgation de leurs
renseignements. Beaucoup d’entre eux ont reconsidéré leur conduite après avoir pris conscience de
certaines menaces. Ils sont nombreux à ne pas voir le degré de perfectionnement de leur téléphone
intelligent, ni les risques qu’il peut entraîner :
« Les consommateurs semblent totalement ignorer les risques relativement à la sécurité; ils
adoptent même une attitude encore plus désinvolte qu’avec leurs propres ordinateurs. Pour eux,
la sécurité de leur appareil mobile est une question moins préoccupante que celle de leur PC. »88
LES#GROUPES#DE#DISCUSSION#SUR#LES#MENACES##
Les menaces matérielles : le défaut de fonctionnement, la perte ou le vol
Lorsqu’on a demandé aux propriétaires de téléphones intelligents de penser aux risques liés à ces
appareils, on a remarqué une disparité entre la perception des menaces matérielles et des menaces
électroniques. Tous les participants avaient déjà connu une des quatre menaces matérielles
(endommagement, panne, perte ou vol) liées à la possession d’un téléphone intelligent et tous
considéraient ces menaces comme faisant partie intégrante des risques liés à leurs appareils. De ce point
de vue, ils considéraient tous leur téléphone de la même façon que leurs autres biens, excepté le fait que
le prix d’un téléphone intelligent est disproportionnel comparativement à celui des appareils et
accessoires qu’ils utilisent quotidiennement. Selon notre étude, les trois principales préoccupations en
matière de menace matérielle de leurs téléphones sont le coût de réparation ou de remplacement du
téléphone, la perte de données et le désagrément de ne plus avoir de téléphone.
Lorsqu’on leur a demandé de comparer les menaces relativement à un téléphone intelligent endommagé,
en panne, perdu ou volé, presque tous les participants ont paru principalement concernés par le coût de
86
Public Interest Network respondent
88
"Mobile Device Security: The Insider's Guide." MobiThinking. Web. <http://mobithinking.com/mobile-device-security>.
87
46#
Mobile#Cyber#Threats#
remplacement ou de réparation de leur appareil. Une autre de leurs préoccupations a été de savoir si la
garantie du fabricant ou du fournisseur couvrait l’appareil endommagé ou en panne (c.-à-d. si ces
derniers acceptaient, dans certains cas, de remplacer ou de réparer les téléphones).
L’idée de ne plus utiliser leur téléphone intelligent, qui fait partie intégrante de leur vie, se trouve au
premier rang des préoccupations.
« C’est comme une extension de mon bras; c’est une dépendance dont je devrais me départir plus
souvent. »89
La plupart des personnes sont préoccupées par la perte de leurs données, et celles dont les téléphones
contiennent des renseignements professionnels (contacts, communications confidentielles, etc.) sont les
plus inquiètes. Les personnes qui ont entré des données de nature hautement confidentielle (mots de
passe, information bancaire) sont également préoccupées par la perte de ces données. Cependant,
d’après les groupes de discussion interrogés sur le sujet, les personnes qui attachent le plus d’importance
à leurs données, et trouvent nécessaire de les sauvegarder dans le nuage informatique, ne se soucient pas
particulièrement de l’identité des personnes pouvant y accéder.
« Je n’ai pas particulièrement peur de perdre quelque chose, car tout est sauvegardé. Par contre,
je ne voudrais pas que quelqu’un d’autre y ait accès (courriels, photos personnelles,…) »90
Le respect de la vie privée occupe le premier rang des préoccupations, particulièrement pour les
personnes qui conservent des renseignements de nature confidentielle dans leurs téléphones (information
bancaire, photos personnelles, messages personnels et professionnels). Si la plupart des utilisateurs ont
indiqué utiliser des mots de passe pour se protéger, ils sont cependant nombreux à révéler ne pas le faire,
en raison du fait qu’ils utilisent leurs téléphones souvent et que ce n’est pas pratique. Certaines
personnes pensent même qu’un mot de passe est inutile devant un pirate informatique déterminé et
habile.
« Ce n’est pas que je ne veux pas utiliser de mot de passe, c’est simplement que j’utilise mon
téléphone trop souvent pour cela. C’est peut-être aussi de la paresse. De toute façon, si mon
téléphone est volé, je pense que n’importe qui peut pirater mon code. »91
En outre, bien que certains participants connaissent le chiffrement, très peu l’utilisent vraiment.
En conclusion, la plupart des participants sont au courant des menaces matérielles liées à la possession
d’un téléphone intelligent. Cependant, le fait de ne plus avoir de téléphone et le coût de remplacement
de ce dernier ressort souvent comme étant une préoccupation plus importante que la perte de données.
Nous observons que, bien que le coût de remplacement et le désagrément de ne plus avoir de téléphone
soient des motifs valides, le téléphone semble être un outil indispensable sur le plan émotionnel. En
effet, les utilisateurs perçoivent le fait de ne plus avoir accès à leur téléphone intelligent comme une
perte importante.
« Mon téléphone ne contient rien de particulier, juste des contacts et des photos, rien de vraiment
personnel. C’est plus le désagrément de devoir en acheter un autre. »92
« Pour ma part, ce n’est pas une question de données, car elles sont toutes synchronisées avec
mon ordinateur. »93
89
91
92
93
90
Mobile#Cyber#Threats# 47#
« Cela m’est déjà arrivé d’avoir un téléphone intelligent endommagé ou qui ne fonctionne pas, et
j’en ai presque fait une crise cardiaque. En plus, les risques sont plus élevés qu’avec les autres
appareils. »94
« Perdu ou volé, parce que c’est probablement la façon la plus facile d’accéder aux informations,
et c’est ce qui risque le plus de se produire. »95
« Je n’ai pas d’ordinateur à la maison; alors, si je perds mon téléphone, c’est la catastrophe. »96
Étant donné que plusieurs consommateurs achètent des téléphones intelligents qui sont subventionnés
presque à 100 %, selon des conditions de versements étalées sur la durée du contrat, les coûts de
remplacement sont exorbitants. Il s’en suit que le taux global d’utilisation des téléphones intelligents
resterait inférieur à son niveau actuel, n’eût été ces subventions, qui, en réalité, correspondent à une
mesure d’étalement dans le temps.
Les menaces intentionnelles : le piratage à proximité, le piratage à distance, l’insertion
de logiciels malveillants
Les participants marquent une distinction entre les menaces matérielles et les menaces d’accès. Il est
difficile d’évaluer le nombre de personnes victimes de ce genre d’attaques, car il est possible qu’elles
n’en aient même pas eu conscience. Cela rend ces attaques encore plus menaçantes et explique pourquoi
de nombreuses personnes se sentent incapables de se protéger.
La façon dont les personnes perçoivent les menaces matérielles et les menaces d’accès diffère. Alors que
tout le monde semble savoir et comprendre les risques matériels liés à la possession d’un téléphone
intelligent, on trouve un mélange de confusion et de crainte lorsqu’il s’agit de comprendre la nature des
cybermenaces (comme le piratage à distance et l’insertion d’un logiciel malveillant).
« Je pensais que le niveau de sécurité était relativement élevé, car je dois posséder le code de la
personne pour me connecter à son Wi-Fi. »97
« La plupart des Starbucks possèdent un Wi-Fi avec un code. Tous les utilisateurs de
l’établissement se connectent avec le même code. »98
« J’ai entendu dire que quelqu’un pouvait voler nos resnseignements juste en étant à côté de
nous. »99
« Mon Gmail est toujours activé sur mon téléphone, mon compte en ligne s’y trouve aussi. Je
pourrais me faire voler mon identité. »100
« Mais ils peuvent récolter plein de renseignements à partir de notre courriel, la banque que nous
utilisons, etc. Ils peuvent se faire passer pour nous à partir de quelques renseignements
seulement. »101
Lorsqu’on parle d’attaques cybernétiques, beaucoup de personnes pensent que les probabilités que cela
leur arrive sont d’une sur un million :
94
97
98
99
100
101
95
96
48#
« J’en ai déjà entendu parler, mais cela ne m’a jamais vraiment inquiété. On nous parle des
pirates informatiques, mais ce risque ne m’est jamais véritablement venu à l’esprit. J’imagine que
je ne suis pas assez important pour me faire pirater. »102
« Qui se préoccupe de ma vie privée? Nous sommes tous sur Facebook, où on trouve beaucoup de
renseignements. Pour moi, ce n’est pas très important. »103
« Je suis peut-être naïve, mais nous ne sommes pas des vedettes… »104
Pour les participants, la protection contre les attaques cybernétiques est hors de leur contrôle. Même si
certaines personnes se perçoivent comme des victimes potentielles, elles admettent que les moyens des
pirates informatiques dépassent l’étendue de leur capacité à se protéger.
« Un bon pirate informatique trouvera toujours le moyen d’accéder à votre système. »105
« Que puis-je faire? Si cela m’est déjà arrivé… »106
Les participants établissent également un lien important entre les menaces dont ils ont entendu parler et
les menaces qu’ils connaissent déjà pour les avoir expérimentées avec leurs ordinateurs.
« Je sais, c’est arrivé dans les années 90 avec les ordinateurs et, aujourd’hui, nos téléphones sont
de mini-ordinateurs. »107
« Quelqu’un s’est déjà servi de mon courriel pour envoyer un message sur mon ordinateur.
J’imagine que si on peut faire cela avec un ordinateur, on peut également le faire avec un
téléphone intelligent. »108
Cependant, tous les participants s’accordent pour dire que les consommateurs ont tendance à ignorer la
corrélation entre les ordinateurs et leurs téléphones.
« Les gens ne pensent pas que c’est important, parce qu’ils ne voient pas que les risques qui
existent avec Internet peuvent survenir sur leur téléphone. »109
« Je suis prudent avec l’ordinateur, mais pas avec mon cellulaire. Je me suis demandé le mois
dernier si c’était prudent. Je pensais que l’utilisation du cellulaire était plus sécuritaire. »110
Lorsqu’on leur a demandé de déterminer l’impact des piratages à distance ou de l’insertion de logiciels
malveillants, les participants ont démontré une inquiétude plus vive qu’avec les menaces matérielles. Ce
phénomène était principalement causé par le fait qu’il se peut que cela soit déjà arrivé sans qu’on le
sache.
« Je prendrais cela comme un viol. »111
Connaissant très peu le piratage à distance et l’insertion de logiciels malveillants, les participants
s’inquiètent de plus en plus. Ils ont presque tous indiqué prendre maintenant leur sécurité plus au
sérieux. Cependant, la majorité des participants de Toronto accorde plus d’importance aux dommages
102
104
105
106
107
108
109
110
111
103
matériels qu’aux menaces électroniques, alors que, pour les participants de Montréal, ce sont les
menaces électroniques qui priment. Comme l’indique un participant de Montréal :
« On se trouve devant deux aspects distincts : le préjudice et la sécurité – ce sont deux niveaux
différents. »112
Le cyber-harcèlement
Lors de la discussion sur le suivi, le préjudice et le harcèlement électroniques, les participants ont
indiqué qu’ils trouvaient que ces sujets s’apparentaient peu aux téléphones intelligents. Pour eux, ces
menaces sont plus criminelles au sens classique du terme. Bien qu’ils soient au courant du fait que les
téléphones intelligents puissent être utilisés comme un outil pour le suivi électronique, de tels préjudices
et harcèlements ne semblent pas les alarmer.
CONCLUSION#DES#GROUPES#DE#DISCUSSION#
Ce qui ressort concernant les menaces actuelles auxquelles sont confrontés les utilisateurs de téléphones
intelligents, c’est que les consommateurs ont besoin d’être mieux informés sur les risques liés à la
possession et l’utilisation de leurs appareils. Ils se soucient davantage des menaces matérielles de leurs
appareils que des menaces électroniques. D’après les groupes de discussion, il existe un écart important
entre la connaissance des consommateurs et les menaces actuelles auxquelles ils sont confrontés, bien
qu’ils fassent particulièrement attention aux menaces qui risquent le plus de se concrétiser. Tous les
participants s’accordent sur le fait que la responsabilité de minimiser les menaces et d’en informer les
consommateurs devrait revenir aux fournisseurs, au gouvernement et aux fabricants d’appareils.
Cependant, lorsqu’ils se trouvent confrontés à l’urgence d’une menace existante, la plupart des
participants s’accordent sur le fait qu’ils sont les premiers responsables de la sécurité de leurs
renseignements personnels.
« Nous faisons attention sur Facebook, alors nous devrions faire la même chose avec notre
téléphone. Nous ne sommes jamais totalement en sécurité. »113
« C’est une question de logique. Si on télécharge une application, il faut s’assurer qu’elle provient
d’une boutique. On y trouve généralement des commentaires concernant les logiciels
malveillants. »114
« Le plus important, c’est que les gens soient informés. »115
En ce qui concerne les renseignements personnels dont les participants sont le plus soucieux, on trouve,
sans ordre particulier, les photos, les renseignements bancaires et les mots de passe.
LE#POINT#DE#VUE#DU#RÉSEAU#DE#CONSULTATION#DE#L’INTÉRÊT#PUBLIC#
Question : Pour la plupart des consommateurs, la sécurité et la confidentialité de
leurs renseignements sont importantes. Ils protègent majoritairement leurs
ordinateurs portables et de bureau de différentes façons, incluant l’utilisation de
mots de passe, d’anti-virus, de pare-feu, etc. Ils prennent cependant beaucoup
112
114
115
113
50#
moins de mesures pour protéger les renseignements contenus dans leurs
téléphones intelligents. Presque la moitié d’entre eux n’utilise pas de mots de
passe, la plupart n’ont pas d’anti-virus, et pratiquement personne ne prend de
mesures contre les cybermenaces ciblées. Qu’en pensez-vous?
En général, les réponses penchaient vers le fait que les consommateurs ne comprenaient pas qu’un
téléphone intelligent puisse être menacé, qu’ils manquaient de vigilance et d’information. Les anti-virus
sont relativement récents; les vendeurs et les entreprises de télécommunications ne diffusent pas
l’information sur ces risques, ni les solutions pour se protéger. Les mots de passe, au-delà du simple
verrouillage du clavier, sont considérés comme étant peu pratiques. Les consommateurs n’ont pas
l’impression qu’une telle situation peut leur arriver. Parmi les raisons, on trouve le manque
d’information de la part des fournisseurs de services, le laisser-aller des consommateurs, l’excès de
confiance, la surabondance de dispositifs et le manque d’information sur leur capacité.
Question : Selon les groupes de discussion, perdre son téléphone intelligent, se le
faire voler ou l’endommager, inquiètent plus les consommateurs que des
cybermenaces plus spécifiques, et potentiellement plus préjudiciables, comme les
logiciels malveillants, le piratage ou le harcèlement. Qu’en pensez-vous?
Les participants s’entendent généralement pour dire que le désagrément, le coût et la démarche de
remplacement d’un téléphone intelligent surpassent le risque d’une menace électronique. Le manque
d’information pertinente sur les cybermenaces dont le public pourrait être victime contribue au manque
de connaissances et, par conséquent, de minimisation des risques. Ils estiment que les téléphones
intelligents ne sont pas des ordinateurs, et qu’ils n’ont pas conscience de ces attaques.
LE#POINT#DE#VUE#DES#RÉPONDANTS#CLÉS#SUR#LA#SENSIBILISATION#DES#CONSOMMATEURS#
Nous avons interrogé nos répondants clés sur la sensibilisation des consommateurs en matière de
cybermenaces. L’un d’entre eux a avancé l’hypothèse que les gens avaient besoin de recevoir un choc…
« Les gens seraient plus préoccupés par leur sécurité et les cybermenaces si les médias publiaient
des exemples précis de menaces possibles. Les organisations, ainsi que les organismes
gouvernementaux, qui ont subi des menaces ne désirent pas partager l’information avec les
organismes de réglementation ou les médias, ce qui fait que l’on n’en entend pas vraiment parler.
Il est difficile de faire comprendre aux gens un événement qui ne touche pas un membre de leur
famille ou un ami. »116
Une autre activité de recherche menée auprès d’un ancien organisme :
« Le Comité consultatif de la bureautique a réalisé une étude limitée auprès de consommateurs
d’un point de vue familial sur la sensibilisation à la sécurité. L’étude a révélé que la plupart des
consommateurs n’utilisent même pas les méthodes de protection les plus simples (p. ex., les mots
de passe) disponibles sur leurs téléphones intelligents. »117
Un autre répondant pointait principalement les hypothèses erronées du doigt :
116
117
Les consommateurs ont un faux sentiment de sécurité en ce qui concerne l’intégrité des
applications, et ils dépendent beaucoup des processus. Ils pensent que les fournisseurs de
plateformes offrent davantage qu’ils le font en réalité. Les preuves d’homologation sont
inexistantes pour bon nombre d’applications, même si les personnes pensent le contraire. »118
LES#DERNIÈRES#RECHERCHES#
Le point de vue des groupes de discussion rejoint les recherches effectuées ailleurs dans le monde sur les
cybermenaces.
Un sondage Lookout, réalisé en novembre 2011, auprès d’un millier d’utilisateurs de téléphones mobiles
au Royaume-Uni a révélé que les utilisateurs étaient étroitement reliés à leurs appareils mobiles; presque
la moitié des utilisateurs ont indiqué que leur téléphone intelligent était le plus important gadget qu’ils
possédaient. La moitié des utilisateurs a également indiqué qu’elle se sentirait frustrée ou anxieuse si
elle se retrouvait sans son téléphone intelligent et déclaré qu’elle ne pourrait rester sans son téléphone
plus que quelques heures. Toutefois, moins de 15 p. cent des personnes interrogées ont indiqué être en
mesure de retracer leur téléphone mobile si elles le perdaient, alors qu’elles sont beaucoup plus que
15 p. cent à disposer de cette fonction.119
Une étude plus récente, effectuée par le PEW Research Center (États-Unis), a révélé que les utilisateurs
étaient plus nombreux à prendre des mesures pour protéger leurs données, mais que cela ne représentait
encore que moins de la moitié des personnes interrogées. Ils désinstallent également des applications qui
soulèvent des doutes quant à l’utilisation de leurs renseignements personnels, sauvegardent les données
indispensables et effacent leur historique de recherche. Ils désactivent également la fonction de
localisation de leurs appareils afin d’éviter toute détection, même si cette opération les empêche de
retracer leur téléphone s’il est perdu ou volé.
LES#MESURES#D’ATTÉNUATION#
Les anti-virus et anti-maliciels
« Les téléphones intelligents n’ont pas évolué au même rythme que les ordinateurs en matière de
sécurité. Les mesures techniques de sécurité (pare-feu, anti-virus et chiffrement) sont inhabituelles
sur les téléphones mobiles et les systèmes d’exploitation de ces appareils ne sont pas aussi souvent
mis à jour que ceux des ordinateurs personnels. »120
Un logiciel anti-virus ou anti-maliciels peut protéger un appareil contre le piratage à distance. La
sélection d’un logiciel dans un processus d’application permet d’empêcher la transmission de virus. Les
compagnies comme Norton/Symantec, Kaspersky, McAfee et Lookout fournissent ce logiciel pour les
téléphones intelligents, généralement pour Android et BlackBerry, mais il n’est pas préinstallé.
L’authentification
La forme la plus courante d’authentification est le mot de passe. C’est généralement la seule mesure de
contrôle des cybermenaces directement offerte par les fournisseurs de plates-formes avec leurs
téléphones intelligents.
118
120
119
52#
La biométrique, qui inclut la reconnaissance des empreintes digitales, de la rétine ou du visage, n’en est
qu’à ses débuts et, aussi intéressante soit-elle, elle apporte son lot de difficultés. Android indique, dans
son système de sécurité, que « quelqu’un qui vous ressemble pourrait déverrouiller votre téléphone »121.
Un autre répondant clé confirme :
« Je me demande si la technologie est assez avancée pour que cette méthode soit efficace. On peut
contourner certaines technologies, par exemple en utilisant une photographie pour authentifier un
utilisateur. »122
Un autre problème lié aux téléphones intelligents est le nombre de sites Web exigeant un mot de passe.
Il existe des outils de gestion de mots de passe pour les PC, mais peu d’utilisateurs de téléphones
intelligents utiliseront cette méthode. Il existe maintenant des logiciels de gestion de mots de passe pour
les téléphones intelligents, mais les consommateurs doivent coordonner le programme avec leurs
ordinateurs personnels, leurs téléphones intelligents et parfois leurs portables et leurs tablettes. Par
conséquent, ces derniers utilisent généralement des mots de passe plus simples (voire aucun mot de
passe) et des méthodes moins efficaces pour authentifier leur accès aux sites Web.
La protection matérielle
Il s’agit effectivement d’une lapalissade, mais le ratio coûts-avantages est très favorable. Les téléphones
qui sont matériellement protégés, à l’abri de l’eau, rangés dans un étui et qui ne sont pas exposés seront
plus sécuritaires.
« La protection matérielle des téléphones intelligents, incluant la configuration, la protection
contre le vol et autres dommages, relève principalement de la responsabilité du
consommateur. »123
La protection de proximité et d’accès
Cette partie se divise en deux : premièrement, ne pas se connecter sur un réseau Wi-Fi que l’on ne
connaît pas et ne pas coupler un appareil Bluetooth en public; deuxièmement, installer un réseau privé
virtuel sur son téléphone intelligent si on doit se connecter à un réseau Wi-Fi public.
« …lorsqu’elle établit une connexion Internet non approuvée, la connexion à un RPV fournit un
tunnel chiffré de votre appareil mobile à Internet. Cela protège les utilisateurs qui se connectent à
un réseau Internet public, comme dans un Starbucks ou à l’aéroport, et où quelqu’un pourrait
chercher un trafic non chiffré. »124
La sauvegarde et le chiffrement
La façon la plus simple pour un consommateur d’éviter de perdre des données est de faire régulièrement
des sauvegardes de son téléphone intelligent. Si les informations contenues dans le téléphone sont de
nature confidentielle, il est également possible de les chiffrer, particulièrement lorsque l’utilisateur ne
contrôle pas entièrement l’endroit où la copie de sauvegarde est conservée (p. ex., dans le « nuage »).
L’effacement
Les boutiques d’applications pour téléphone intelligent proposent généralement des programmes
permettant aux propriétaires de retracer leurs appareils en cas de perte ou de vol et d’en effacer les
121
HTC One Sense 5.0, Android JellyBean 4.1.2
123
James Howard, Key Informant Interview
124
122
données. Devant être installé avant la disparition du téléphone intelligent, ce programme requiert
souvent l’activation du GPS. Cela peut, bien entendu, entraîner des conséquences imprévues, comme
l’explique l’un de nos répondants clés :
« … une des faiblesses est que vous devez utiliser votre identification Apple pour activer Find My
Phone. Les gens partagent souvent leur identification avec les membres de leur famille et, s’ils
possèdent plusieurs appareils, ils les partagent sur un seul compte d’identification Apple. Par
conséquent, les membres de la famille peuvent retrouver ou suivre un autre membre de la
famille. »125
Le point de vue du Réseau de consultation de l’intérêt public
Question : Comment les groupes de défense des consommateurs peuvent-ils aider
ces derniers à se protéger contre les cybermenaces autres que la perte, le vol ou
l’endommagement des téléphones intelligents?
Il a été d’avis général d’organiser des campagnes permanentes d’éducation et de sensibilisation à
l’intention des consommateurs, afin que ces derniers puissent accéder à de l’information pertinente; de
recommander et de fournir des liens vers des logiciels de protection gratuits pour l’ensemble des
téléphones intelligents, afin de s’assurer que les consommateurs connaissent et possèdent les outils dont
ils ont besoin pour se protéger; d’adresser une pétition aux fournisseurs de services pour qu’ils offrent
gratuitement aux consommateurs des services de protection contre les menaces potentielles; de travailler
avec les autres groupes de défense des consommateurs pour faire front commun devant les organismes
de réglementation et les législateurs pour qu’ils modifient et fassent respecter la protection des
consommateurs; de fournir des informations précises sur les différents sites populaires pour
périphériques mobiles (Facebook, Twitter, etc.) et d’illustrer de manière simplifiée les risques potentiels
ou les problèmes de protection des renseignements personnels; de contrôler les organismes de
réglementation.
Question : Que peuvent faire les consommateurs pour se protéger contre les
risques plus fréquents de perte, de vol ou d’endommagement?
Il a été d’avis général que les consommateurs peuvent activer des fonctionnalités telles que « Find My
Phone » ou l’effacement à distance des données si elles sont fournies avec leurs téléphones. Ils peuvent
utiliser des mots de passe et vérifier que l’information contenue dans leur téléphone est protégée en cas
de perte ou de vol; garder leur téléphone près d’eux et être attentifs à leur entourage; sauvegarder les
renseignements. Les réponses se ressemblent : rester vigilants, faire des sauvegardes, effacer
immédiatement les données en cas de perte de leur appareil, connaître tout ce qui se trouve sur le
téléphone.
LA#GRILLE#D’ANALYSE#DES#RÉPERCUSSIONS#SUR#LES#CONSOMMATEURS#–#3E#PARTIE#
La 2e partie de la grille d’analyse des répercussions sur les consommateurs illustre les probabilités et les
mesures générales d’atténuation du risque. Afin de les déterminer, nous avons pris en compte les
éléments suivants :
125
54#
•
•
•
•
La mesure dans laquelle les consommateurs font appel à la technologie, étant donné que,
généralement, plus ils possèdent d’applications et fréquentent les médias sociaux, plus les risques
sont élevés.
Le niveau de sensibilisation aux risques des utilisateurs et les mesures qu’ils prennent pour se
protéger, notamment en utilisant les applications et les fonctionnalités du téléphone intelligent ou un
logiciel tiers.
Si, en tant qu’individu ou membre d’un groupe, le consommateur fait l’objet d’une attention
particulière (par ex., dans le cas des vedettes ou des personnes fortunées).
Le niveau de tolérance au risque et les répercussions de la perte ou de l’exposition de données sont
des facteurs déterminants pour déterminer la démarche des consommateurs. Généralement, moins ils
sont tolérants au risque et plus les répercussions sont élevées, plus ils consacreront de temps et
d’argent à la réduction des risques.
#
Mesure d’atténuation des risques
Estimation de la
probabilité
d’occurences
Anti-virus
Anti-maliciel
Authentif
ication
Protection
matérielle
Protection
de
proximité
Sauvegarde
S/O
Moyen
Faible
Minimal
Minimal
Minimal
S/O
Faible
Moyen
Moyen
Moyen
Moyen
S/O
Oui
Coût associé
Action associée
Mauvais
fonctionnement
> 50 %
S/O
S/O
Oui
Perte/Vol
> 50 %
S/O
Oui
Oui
Oui
Oui
Piratage de
proximité
<1%
S/O
Oui
Oui
Oui
S/O
Piratage à
distance – en
général
<1%
Oui
Oui
S/O
S/O
Oui
Piratage à
distance –
maliciel
<1%
Oui
Oui
S/O
S/O
Oui
Piratage à
distance –
hameçonnage
<5%
S/O
Oui
S/O
S/O
S/O
<1%
S/O
Oui
Oui
Oui
S/O
Cyberharcèlement
#
CONCLUSIONS#
LES#MENACES#
Le risque principal pour les Canadiens provient d’un mauvais fonctionnement, d’une perte ou d’un vol,
ce qui ne constitue pas en soi la forme la plus intrusive de menaces cybernétiques.
Les menaces les plus courantes se trouvent dans le domicile : laisser tomber le nouvel iOS ou le
téléphone Android dans l’évier ou sur le carrelage, par exemple.
Des recherches préliminaires ont indiqué une nette prédominance de maliciels Android, mais, bien que
cela soit avéré, leurs répercussions sont de peu d’importance. Depuis les débuts d’Android, les logiciels
malveillants se développent de façon exponentielle pour attaquer ce système, plus rapidement encore
que sur les iOS et les BlackBerry.126 La présence de logiciels malveillants ne porte cependant que
rarement préjudice aux consommateurs et le nombre d’infections est largement inférieur à 1 p. cent.127
La perte ou le vol d’un téléphone comporte plus de risques pour le consommateur que la plateforme ellemême.
Les statistiques sur la transmission de logiciels malveillants par Internet peuvent s’avérer tout aussi
difficiles à obtenir. Malheureusement, les personnes et les organisations sont souvent peu désireuses de
partager l’information sur les cyberattaques et leurs taux de réussite, ce qui fait que les statistiques sont
souvent inexactes. L’autre problème est qu’il est possible que la personne ignore qu’elle a été piratée, le
pirate informatique évitant de laisser des traces qui permettraient à la victime de prendre des mesures
défensives.
Les iOS peuvent être vulnérables, mais il y a peu de logiciels malveillants qui s’attaquent à ce système.
Les versions antérieures Android contiennent des « vulnérabilités » qui ont été réduites avec les derniers
systèmes d’exploitation, et il existe également des applications anti-maliciels pour Android, bien
qu’elles ne soient pas les seules plateformes, puisque iOS et BlackBerry ont de telles applications.
Bien que les applications constituent un accès aux téléphones intelligents, particulièrement dans le cas
d’Android, l’accès aux renseignements des utilisateurs est généralement plus à risque avec le navigateur,
particulièrement sur les petits écrans des petits téléphones intelligents. Lorsque ces logiciels affectent les
appareils mobiles, l’établissement du lien se fait plutôt avec le site Internet consulté qu’avec l’appareil
qui a servi à y accéder. Il se trouve simplement que l’appareil dont se servait le consommateur à ce
moment-là était un téléphone intelligent.
Plus longtemps un consommateur garde le même téléphone intelligent et plus le risque qu’une
vulnérabilité ne soit pas corrigée par une mise à jour est élevé. Les contrats de trois ans constituent un
risque important, car les consommateurs conservent le même téléphone intelligent plus longtemps. On
craint que les fournisseurs de plateformes n’informent pas les consommateurs et les fabricants des
correctifs et règlent les problèmes sans dire un mot.128 Si ces correctifs ne sont pas appliqués aux
différentes versions d’un système d’exploitation, principalement Android, les téléphones intelligents
peuvent présenter un risque à l’insu des utilisateurs.
126
INFORMATION SECURITY Better Implementation of Controls for Mobile Devices Should Be Encouraged. United States Government
Accountability Office, September, 2012. Print.
127
Emerging Cyber Threats Report 2013 - Georgia Institute of Technology. Web.
<http://www.nymity.com/Free_Privacy_Resources/Previews/ReferencePreview.aspx?guid=d29c7f80-0ec0-4a1a-97ac-33ee748c73bc>.
128
56#
Par#catégorie#de#menaces#
Le#mauvais#fonctionnement#
Durant un contrat typique de trois ans avec leur entreprise de télécommunications, la plupart des
consommateurs canadiens se trouvent confrontés à un moment ou à un autre à un problème de
fonctionnement de leur téléphone intelligent. Le risque de défaillance augmente lorsqu’on considère les
maladresses des utilisateurs, principalement pendant les manœuvres de sauvegarde. La probabilité de
perdre les données varie de zéro à 100 p. cent, selon l’existence ou non d’une sauvegarde. L’exposition
indésirable de renseignements est improbable dans ce scénario.
Les mesures d’atténuation des risques, spécifiquement la sauvegarde, sont faciles à prendre et
généralement bien connues et peu coûteuses. Le laisser-aller, la négligence ou le fait de braver les
probabilités constituent les facteurs qui seront à l’origine d’une perte de données dans cet exemple.
La#perte#ou#le#vol##
Sur une période de trois ans, la probabilité de perdre ou de se faire voler un téléphone intelligent est
également élevée. En raison de leur forte valeur de revente, les téléphones intelligents sont de plus en
plus la cible de voleurs à l’arraché et ne sont généralement pas retrouvés.
Les risques de perdre des renseignements et les mesures d’atténuation des risques des consommateurs
sont les mêmes que pour les risques de mauvais fonctionnement du matériel. La différence est que le
risque d’une exposition indésirable des renseignements est considérable dans le cas de la perte ou du vol
d’un téléphone. D’après les études de recherche, les consommateurs doivent s’attendre à ce que leurs
renseignements soient exposés dans la plupart des cas s’ils n’ont pas authentifié leur téléphone (par ex.,
avec un mot de passe) pour en empêcher l’accès.
Le#piratage#à#proximité#
Il est rare que les piratages à proximité soient déclarés, en partie parce qu’ils ne sont généralement pas
détectés et, dans certains cas, la publicité de cette information peut s’avérer être embarrassante.
Cependant, ces piratages ne sont pas courants et sont rarement déclarés, notamment en raison du fait du
nombre limité d’occurrences connues. Même si les probabilités que ce type d’évènement arrive sont
relativement faibles, il existe un risque modéré à élevé que des données soient divulguées.
Bien que les statistiques sur le piratage à proximité soient difficiles à déterminer, les témoignages sont
nombreux. Des vidéos sur You Tube, accessibles en ligne, montrent comment des pirates potentiels
agissent étape par étape pour pirater un téléphone Android à l’aide d’un Bluetooth.
Les consommateurs peuvent atténuer les risques, mais cette démarche demande de faire preuve de
logique et de vigilance, en plus d’utiliser des technologies de pointe tels un réseau privé virtuel, ou
d’autres actions simples, comme désactiver la connexion lorsqu’elle n’est pas utilisée, modifier le code
de couplage par défaut 0000 d’un appareil Bluetooth et refuser toute demande de jumelage inattendue.
Le#piratage#à#distance#ou#les#maliciels#
Les attaques à distance sont relativement complexes, car elles s’appuient sur les faiblesses de
l’environnement opérationnel du téléphone intelligent, en plus de se servir des comportements à risque
ou des erreurs des utilisateurs mal informés perte financière en raison du vol de mots de passe ou d’un
identifiant ou même la messagerie SMS Premium.
Même si les probabilités d’être victime d’un piratage à distance sont relativement faibles, ces attaques
s’accompagnent d’un risque très élevé de divulgation des renseignements.
Le risque augmente en raison du potentiel de revenus illicites et parce que l’auteur de ces attaques peut
agir pratiquement de n’importe quelle partie du monde.
L’utilisation des sites de réseaux sociaux augmente rapidement et avec elle les sources potentielles de
logiciels malveillants et de cyberattaques. Avec la popularité et la croissance des comptes sur Twitter et
Facebook, les pirates peuvent maintenant utiliser les réseaux sociaux comme tremplin pour lancer des
cyberattaques. L’utilisation d’URL courtes et chiffrées dans Twitter peut diriger un utilisateur vers un
site qu’il ne sera en mesure d’évaluer qu’après y avoir accédé.
Les anciennes plateformes Android sont plus vulnérables aux attaques, mais il est possible d’acheter un
logiciel pour se protéger contre certains types de logiciels malveillants et de virus. Il est probable que
l’iOS doive davantage faire face à ce type d’attaques; par contre, les logiciels pour protéger les iPhone
sont actuellement moins nombreux.
La recherche de logiciels malveillants est utile, mais elle ne sert qu’à détecter les menaces connues et
pas les nouvelles. En fin de compte, la recherche traditionnelle effectuée sur les ordinateurs personnels
pourrait ne pas être aussi efficace dans l’environnement des téléphones intelligents et il faut donc
trouver d’autres méthodes. Ils peuvent servir à détecter des sites Web malveillants.
Malgré les diverses procédures de vérification mises en place par les fournisseurs de plateformes,
certaines applications se révèlent nuisibles. Elles peuvent intentionnellement accéder à des
renseignements personnels ou, en raison d’irrégularités au moment du développement, révéler des
renseignements à d’autres logiciels malveillants ou intrusifs.
Le#cyber9harcèlement#
La probabilité qu’une personne soit victime de harcèlement au moyen de son téléphone intelligent
présente un problème moins important que les répercussions potentielles. Il est difficile de déterminer la
façon dont les cas les plus fréquents de cyber-harcèlement apparaissent, puisque les auteurs peuvent
aujourd’hui utiliser différents moyens technologiques partout dans le monde – par ex., les médias
sociaux. Cependant, le système de positionnement mondial qu’on trouve aujourd’hui dans les téléphones
intelligents, combiné avec les capacités Bluetooth et Wi-Fi, constituent un outil pratique pour pratiquer
le cyber-harcèlement par téléphone.
• Les paramètres et les applications de localisation que les consommateurs utilisent de façon
volontaire peuvent également être utilisés par leurs amis, mais une personne qui a à la fois des
intentions sournoises et accès au téléphone intelligent d’une autre personne peut devenir une menace
potentielle.
• La probabilité d’occurrences et le niveau de risque dépendent des circonstances, mais des épouses ou
des maris jaloux, ainsi que d’autres personnes, ont utilisé les téléphones intelligents, avec de graves
conséquences.
La#réglementation#
Il devient important de reconnaître la nécessité et le mandat du gouvernement de protéger les
consommateurs canadiens. Signaler le niveau de risque reconnu par le Forum économique mondial,
déterminé pour la première fois cette année, dont le risque des cybermenaces fait partie des cinq
principales menaces mondiales, apparaît pour la première fois sur la liste.129
Compte tenu des coûts éventuels des cybermenaces pour l’économie canadienne, le gouvernement est le
plus (et possiblement le seul) habilité à instaurer une réglementation dans ce domaine. C’est
particulièrement le cas pour ce qui est de la coordination de la sensibilisation des consommateurs, des
129
Global Risks 2012. World Economic Forum. Print
58#
groupes de défense des consommateurs et le développement des technologies, incluant une
réglementation possible des développeurs de plateformes et d’applications, des entreprises de
télécommunications et autres intervenants pour tenter d’atténuer le risque dans tous les domaines.
« En fin de compte, ces difficultés indiquent le chemin que doit prendre la stratégie canadienne
en matière de cybercriminalité. Les stratégies égocentriques, concentrées sur les défis nationaux
ne peuvent lutter efficacement contre la cybercriminalité internationale. Les stratégies qui
cherchent une collaboration internationale doivent faire des compromis en ce qui concerne les
objectifs, afin de veiller à la bonne marche de la coopération internationale, ou imaginer une
approche plus antagoniste. »130
Il est dans l’intérêt du gouvernement de davantage sensibiliser les consommateurs. L’adoption du
téléphone intelligent ou de tout autre appareil mobile intelligent est si répandue que l’on estime que tous
les consommateurs posséderont et utiliseront un tel objet d’ici deux à trois ans.
La#sensibilisation,#la#compréhension#et#le#comportement#des#
consommateurs#
« Malheureusement, beaucoup d’utilisateurs de téléphone intelligent ne
comprennent pas… les failles de sécurité. Ils sont incapables d’activer le logiciel
de sécurité qui est fourni avec leur téléphone et ils pensent qu’il est tout aussi
sécuritaire de naviguer sur Internet avec leur appareil mobile qu’avec leur
ordinateur. »131
La perte de renseignements et leur divulgation indésirable sont pour la plupart causées par les
consommateurs, et ce sont également ces derniers qui peuvent empêcher ces situations de se produire en
étant raisonnablement prudents et en faisant attention. Ainsi, la perte pourrait se limiter au coût de
remplacement du téléphone. Les consommateurs peuvent se protéger contre les menaces en les
connaissant et en se comportant raisonnablement.
Les consommateurs savent tout cela. Même s’ils estiment que le gouvernement, les fabricants
d’appareils et les entreprises de télécommunications devraient assumer davantage de responsabilités, ils
admettent ne pas être suffisamment responsables eux-mêmes.132
Le risque qui semble le plus inquiéter les consommateurs concerne le risque matériel lié à la perte du
téléphone intelligent pendant une certaine période et le coût de remplacement de l’appareil. Bien que
l’information contenue dans le téléphone soit importante à leurs yeux, souvent la première réponse est
de remédier à la perte du téléphone intelligent. Nous avions d’autres attentes avant d’interroger les
groupes de discussion.
133
Les renseignements pour lesquels les consommateurs sont le plus inquiets en matière de divulgation ou
de perte sont les photos, les informations bancaires et les mots de passe.134
130
Levin, Avner, Paul Goodrick, and Daria Ilkina. Securing Cyberspace: A Comparative Review of Strategies Worldwide . Ryerson
University. 2011. Print.
131
132
Focus group finding
133
Focus group finding
Un nombre important de consommateurs semble sous-estimer les répercussions de la perte ou de
l’exposition de leurs renseignements; ils les reconnaissent seulement après coup ou après avoir vu les
conséquences sur une personne qui leur est proche.
Alors que les consommateurs se disent concernés par la protection de leurs informations personnelles
importantes, un nombre inquiétant d’entre eux s’est dit surpris par la quantité d’informations facilement
exposées au risque. Ils n’imaginent pas être la cible d’une attaque et ils sont plus préoccupés par le coût
de remplacement de leur téléphone s’il est perdu ou volé. Les consommateurs désirent majoritairement
protéger les données de leur appareil mobile, mais ils ne veulent pas en prendre la responsabilité, et ne
semblent pas prendre de mesures adéquates pour protéger leurs renseignements personnels.
Le refus d’authentifier leurs appareils, de mettre à l’essai et de sauvegarder leurs renseignements de
façon appropriée, de faire attention aux dommages matériels, aux pertes et aux vols, et d’être prudents
en se connectant à des réseaux publics, constitue la première cause d’exposition des consommateurs au
risque. Même quand ces mesures d’atténuation sont disponibles sur les appareils, elles ne sont pas
activées. Bien que les contrôles existent, ils ne sont pas mis en pratique.
Les développeurs de plateformes ont fourni certaines protections aux consommateurs qui ont le choix de
les activer ou pas (par ex., l’utilisation d’un mot de passe, la fonctionnalité « Find My Phone » et
l’effacement des données du téléphone à distance), mais elles ne sont pas réglées par défaut. Ces
fonctions doivent plutôt être appliquées par les consommateurs, dont bon nombre n’activent même pas
la plus simple des protections par manque de connaissance des risques potentiels, manque d’information
sur la façon d’activer ces fonctions de contrôle ou parce qu’ils croient que ces contrôles (par ex., les
mots de passe) sont compliqués ou dérangeants.
Bon nombre de consommateurs continuent de voir les appareils mobiles plus comme un téléphone que
comme un appareil informatique mobile.
Les consommateurs acceptent généralement la configuration préinstallée par défaut de l’appareil, se
fiant, consciemment ou non, à l’entreprise de télécommunications ou au revendeur auprès de qui ils ont
effectué leur achat. Les consommateurs qui bénéficient des meilleurs conseils et des bonnes
configurations au moment de leur achat sont les moins à risque.
Les consommateurs sont pour la plupart inquiets à propos des informations bancaires contenues dans
leurs appareils.135
Ces éléments sont également clairement apparus au cours des discussions avec les groupes de discussion
et certains de nos répondants clés, ce qui laisse entendre qu’ils ne font pas encore assez confiance au
système.
134
135
Focus group finding
Mobile (In)Security A Survey of Security Habits on Smartphones and Tablets. Confident Technologies, September, 2011. Print.
60#
LES#RECOMMANDATIONS#
« Il n’existe pas de solution « tout-en-un » pour se protéger contre toutes les
cybermenaces. »136
On ne peut faire que deux choses pour contrôler les risques pour les consommateurs : réduire le risque
(probabilité et conséquence) ou gérer le risque en sensibilisant la population et en prenant des mesures
d’atténuation du risque. Personne ne peut aider un consommateur mieux que lui-même. Les droits des
consommateurs sont essentiels, mais, dans ce cas-ci, il est primordial que les consommateurs prennent
leurs responsabilités. Aussi, commençons par le groupe le plus important.
Les#consommateurs#
« La facilité d’utilisation est une excellente chose, mais nous devons parfois
reconnaître que la sécurité a un prix. »137
LES#MESURES#DE#BASE#
Il est facile de rédiger une longue liste de toutes les mesures que peuvent prendre les consommateurs.
Nous pensons que cela ne servira à rien. Voici une courte liste qui peut être appliquée dans la plupart des
contextes et dont les actions sont presque toutes gratuites.
• Faites comme si vous aviez perdu votre téléphone intelligent. Qu’est-ce qu’une personne indiscrète y
trouverait?
• Établissez votre tolérance au risque et la nature des répercussions, puis adaptez ces informations à
votre téléphone et aux risques que vous voulez atténuer.
• Verrouillez votre téléphone intelligent avec un mot de passe.
• Achetez un boîtier rigide.
• Faites régulièrement des sauvegardes.
• Ne vous connectez pas à des réseaux Wi-Fi publics inconnus.
• « Réfléchissez avant de cliquer ».
PAR#PROCESSUS#
En achetant votre téléphone intelligent
Prenez connaissance des recommandations en matière de sécurité du développeur pour les composants
matériels ou le système d’exploitation. Demandez l’aide de votre entreprise de télécommunications sans
fil ou du revendeur. N’hésitez pas à poser des questions.
Prenez connaissance des différents moyens de protection.
Demandez combien de temps le fournisseur fournira des mises à jour de sécurité.
136
137
En effectuant les réglages de votre téléphone intelligent
Réglez votre téléphone de façon à ce que les sauvegardes se fassent automatiquement et faites
occasionnellement des essais.
Créez un mot de passe et établissez le délai de verrouillage de l’écran.
Procurez-vous une application de gestion des mots de passe et synchronisez-les avec votre ordinateur
personnel.
Déterminez si vous avez besoin d’un anti-virus ou d’une autre protection contre les logiciels
malveillants.
Achetez un autocollant en aluminium avec votre nom, votre adresse et le numéro de téléphone de votre
domicile, mais pas celui de votre mobile.
Sachez où se trouvent vos données. Avec les nuage informatiques et les différents systèmes de fichiers,
vos dossiers peuvent se trouver n’importe où.
N’utilisez que des applications qui ont été certifiées par le développeur de la plateforme (par ex., les
applications provenant de « Google Play » ou des bibliothèques de logiciels « App Store » de Apple).
Effacez les applications que vous n’utilisez pas.
Lisez les autorisations, particulièrement dans le cas d’Android.
Configurez-le. Vous pouvez changer les paramètres par défaut. Deux processus : un pour trouver et un
autre pour les alertes ou les notifications.
Au quotidien
Utilisez un mot de passe et choisissez-en un qui ne corresponde pas à votre NIP bancaire.
Ne gardez pas les applications de façon permanente.
Prenez connaissance des implications avant d’activer ou de désactiver le GPS.
Activez la fonction de verrouillage lorsque vous vous absentez.
Désactivez le Bluetooth lorsque vous ne l’utilisez pas, particulièrement lorsque vous vous trouvez dans
un lieu public ou achalandé. De préférence, activez-le lorsque vous montez dans votre auto et
désactivez-le lorsque vous en descendez.
Lorsque vous vous débarassez de votre téléphone
Effacez toutes les données.
J’ai une faible tolérance au risque, les répercussions sont élevées et je fais souvent des
allées et venues
Installez une connexion à un RPV et utilisez-la lorsque vous vous connectez à un point d’accès Internet
non sécurisé. Habituellement, cela comprend, entre autres, les cafés, les hôtels et les aéroports.
Renseignez-vous sur la mise en place d’un logiciel de sécurité supplémentaire pour atténuer les risques
d’infection par logiciel malveillant, particulièrement pour les téléphones intelligents fonctionnant sous
les anciens systèmes Android.
Activez la fonction d’effacement à distance, si c’est possible, pour éviter que d’autres personnes
puissent accéder à vos informations personnelles. Activez le GPS en tout temps pour pouvoir retracer
votre téléphone.
Ne couplez pas vos appareils Bluetooth dans un endroit public.
Ne faites rien d’inhabituel sur votre téléphone intelligent; gardez cela pour votre PC.
62#
Je m’inquiète à propos du cyber-harcèlement
Les consommateurs devraient être attentifs aux circonstances susceptibles d’inciter une personne à
vouloir les suivre.
Ne laissez pas d’autres personnes avoir accès à votre téléphone intelligent ou votre mot de passe.
Désactivez le GPS.
Les applications
Il est préférable que les consommateurs choisissent consciencieusement leurs applications et suppriment
les applications qu'ils n'utilisent pas. Particulièrement sur Android, les consommateurs devraient lire
attentivement les autorisations qu'ils accordent quand ils téléchargent une application. La plupart des
consommateurs ne se rendent pas compte de l’étendue avec laquelle une application peut accéder à
d'autres renseignements sur un téléphone intelligent, y compris les renseignements sur le téléphone,
l'emplacement, le réseau de communication, l'état du téléphone et de l'identité, les messages textes, des
outils du système, l'accès à la caméra, etc. Si un consommateur n'est pas sûr de la sécurité d’une
application qu'il désire vraiment, il peut consulter le site Web des développeurs, lire les commentaires
des utilisateurs et sur Android et la réponse du développeur à une critique. Lorsque les consommateurs
consultent les classements, ils devraient lire les critiques argumentées. Ils devraient également, au
moment de mettre à jour une application, examiner l’ensemble des autorisations accordées. Ils peuvent
alors les changer.
Nous encourageons fortement les consommateurs à partager leurs opinions sur les applications et de
rédiger des analyses critiques dans les boutiques virtuelles d’applications, en faisant part de leurs
commentaires sur ce qui fonctionne bien et moins bien. De plus, si l’analyse est bien détaillée avec le
contexte, les permissions accordées et l’expérience d’utilisation, cela ne fera qu’aider les autres à mieux
comprendre. Dans le cadre de recherches récentes au Conseil, nous avons trouvé que les « Avis des
lecteurs » constituent un outil très puissant, surtout lorsque les opinions émises sont bien rédigées,
réfléchies et détaillées. Voici notre version de « Au suivant », un appel à la défense des avis des usagers
et des lecteurs, une action pour promouvoir un échange ouvert de points de vue objectifs de la part des
consommateurs et commentés par les entreprises.
La#réglementation#
« Rejoindre la population diversifiée du “consommateur type” exige de trouver la
bonne dose de contenu, qui sera non seulement efficace contre les plus grandes
menaces, mais qui sera également assez concis pour être systématiquement et
constamment répété, afin de mettre en place le volet Sensibilisation et de le
consolider dans la conscience publique… »138
138
Réduire les menaces
Partenariat#publicZprivé#
Réunir les consommateurs (les groupes de défense des consommateurs), les entreprises de
télécommunications, les commerces et les revendeurs pour gérer les risques et recommander des
solutions.
• À l’instar de la FTC et de la FCC aux États-Unis, donner la première impulsion et encourager les
différents groupes d’intervenants à prendre des mesures pour gérer les risques cybernétiques liés aux
téléphones intelligents et sensibiliser les consommateurs.
• La création d’un partenariat public-privé par Sécurité publique devait être annoncée et les progrès
plus clairement signalés.
• Beaucoup de risques cybernétiques liés aux téléphones intelligents et aux technologies mobiles qui
s’y rattachent pourraient être l’objet du prochain conflit mondial s’ils ne sont pas adéquatement
contrôlés.
• Diriger et promouvoir les mesures visant à réunir les représentants des différents groupes
d’intervenants en vue d’élaborer et de mettre en œuvre une stratégie destinée à placer le Canada et
les Canadiens devant la gravité de ce nouveau problème.
• Astreindre les différents intervenants à fournir les ressources requises pour l’accomplissement de ces
programmes.
• Mettre sur pied des programmes de sensibilisation sur les risques et mieux les faire connaître aux
consommateurs.
• Servir de vitrine et de premier interlocuteur pour les requêtes et les déclarations de problèmes liés
aux cybermenaces.
Aider les consommateurs
Il reste encore beaucoup à faire pour sensibiliser les consommateurs aux risques et à la façon de les
atténuer.
Travailler#avec#les#entreprises#de#télécommunications#sans#fil#
• L’institution d’un projet de loi exigeant que les entreprises de télécommunications et les fournisseurs
de plateformes offrent, dans les contrats à long terme proposés aux consommateurs, un soutien
technique à long terme et des correctifs de sécurité des logiciels pour traiter les failles en matière de
sécurité des téléphones intelligents.
• Les entreprises de télécommunications sans fil devraient être encouragées à collaborer avec les
consommateurs à compter de la date d’achat.
• Les organismes de réglementation devraient exiger que les fournisseurs de services incluent dans
leurs produits un logiciel de protection, qu’ils l’installent et le mettent régulièrement à jour.
• Les fournisseurs devraient donner de l’information claire et précise sur les menaces courantes, ainsi
que des exemples facilement compréhensibles sur les cybermenaces auxquelles les consommateurs
peuvent se trouver confrontés.
• Les fournisseurs devraient inclure un service de restauration afin que le consommateur puisse effacer
les données de son téléphone et revenir à la configuration d’origine lorsque l’appareil a été menacé.
• L’alourdissement des peines et l’actualisation des lois sur la protection de la vie privée devraient
également être utilisés comme moyen de dissuasion des cybermenaces et d’éducation afin
d’accroître la sensibilisation du public et l’adoption de mesures de protection.
64#
•
Un programme national de registre des téléphones intelligents devrait être fourni pour inscrire les
personnes et effectuer le suivi de leurs téléphones afin d’être en mesure de les retrouver en cas de
vol. Si les personnes enregistrent leurs téléphones auprès de la police, elles auront plus de chance de
les retrouver en cas de vol. Suivre les travaux réalisés jusqu’à présent par le Conseil de la
radiodiffusion et des télécommunications canadiennes et les informations détaillées de l’Association
canadienne de télécommunications sans fil.
Les#fournisseurs#de#services#
« Seule une démarche de collaboration d’un bout à l’autre de la chaîne, couvrant
l’écosystème du mobile (appareils et plates-formes, applications, services de
réseau), permettra de véritablement progresser et de lutter contre ce problème qui
se développe rapidement. »139
LES#FOURNISSEURS#DE#PLATEFORMES#
Les fournisseurs de plateformes sont au cœur du développement des appareils et des systèmes
d’exploitation; il leur incombe, par conséquent, la responsabilité de mettre à disposition des
consommateurs des produits incluant des dispositifs de protection appropriés pour atténuer les risques
auxquels peuvent être exposées les personnes qui utilisent leurs produits et leurs services.
Fabriquer des appareils plus résistants. Nous ne comprenons pas pourquoi il n’y a pas plus d’appareils
qui ont une prise en main et une robustesse comparables à ceux des appareils BlackBerry.
Mettre en application des fonctions d’attribution permettant d’identifier par Internet chaque téléphone
intelligent; ainsi, en cas de perte ou de vol, le propriétaire légitime d’un téléphone enregistré sera en
mesure de désactiver les instructions de l’appareil de façon permanente, et de le rendre inutilisable par
d’autres personnes. Envisagez d’utiliser le numéro d’identité internationale d'équipement mobile
(IMEI).
Les développeurs devraient investir davantage dans des solutions de sécurité des plateformes et
collaborer avec les autres intervenants pour les mettre en application.
Ils devraient également fournir plus d’information sur les correctifs et les corrections de bogue qu’ils
installent sur leurs systèmes; les fournisseurs de plateformes règlent souvent des problèmes sans même
en informer la population.
Ils devraient concevoir de meilleurs dispositifs de protection pour les systèmes matériels et logiciels
(par ex., l’authentification biométrique).
La fonction d’effacement à distance devrait être intégrée dans tous les systèmes d’exploitation Android.
Les développeurs de systèmes d’exploitation devraient établir des normes de sécurité claires auxquelles
devraient se conformer les développeurs d’applications.
139
Envisager la mise en application d’autres outils logiciels permettant de retrouver un téléphone intelligent
volé.
Les téléphones intelligents devraient être préconfigurés avec des paramètres par défaut d’activation de
fonctionnalités permettant d’atténuer les risques comme les mots de passe ou la sauvegarde, de façon à
ce que ces fonctionnalités soient activées au moment où les consommateurs achètent leur téléphone et
puissent être désactivées par la suite, s’ils le désirent.
Diffuser l’information sur les problèmes de sécurité par des annonces publicitaires et de la
documentation sur les appareils mobiles.
Les particularités des plateformes
iOS#
• Les iPhone devenant de plus en plus la cible des développeurs de logiciels malveillants, suivre les
développements relatifs aux défaillances possibles de la sécurité des iPhone qui pourraient avoir des
conséquences négatives sur la sécurité des utilisateurs.
• Apple devrait mettre en application les fonctions d’effacement à distance et « Find My iPhone »
dans son environnement iCloud.
• Apple devrait mettre en place des mots de passe autres que des codes secrets à quatre chiffres.
BlackBerry#
• Aucune recommandation immédiate pour BlackBerry, autre que celle de rester au courant des
évolutions possibles en matière de sécurité à la suite de l’implantation récente du système
d’exploitation du nouveau BlackBerry 10.
Android#
• En ce qui concerne les téléphones intelligents fonctionnant sous l’ancien système d’exploitation
Android, étudier l’application de logiciels de sécurité supplémentaires pour atténuer les risques
d’infection par logiciels malveillants.
• Envisager de n’utiliser que des applications certifiées par Google et les inclure dans les bibliothèques
de logiciels Google Play.
LES#DÉVELOPPEURS#D’APPLICATIONS#
Les développeurs d’applications ont un rôle important à jouer en ce qui concerne l’intégration de
dispositifs de protection appropriés lors de la conception des applications. Les développeurs
d’applications devraient :
• être encouragés à concevoir des applications sécuritaires;
• être tenus de suivre les normes de sécurité;
• suivre un programme « d’approbation » visant à assurer le respect des normes de sécurité;
• être conscients des risques potentiels de maliciels pour les utilisateurs de leurs applications;
• prendre des mesures concrètes pour concevoir des dispositifs de contrôle de la sécurité à
l’intérieur de leurs applications, afin de se protéger contre un accès potentiellement non autorisé
et l’utilisation illégitime de renseignements confidentiels.
66#
LES#DÉVELOPPEURS#DE#LOGICIELS#DE#SÉCURITÉ#
Nouer des alliances avec les entreprises de télécommunications pour fournir des logiciels de sécurité.
Collaborer avec les développeurs de plateformes et de systèmes d’exploitation.
Faciliter les investissements et les mesures incitatives pour développer des programmes de sécurité
destinés aux consommateurs et aux entreprises.
Suivre les normes de sécurités recommandées.
Mettre en application un programme d’approbation afin de confirmer le respect des normes de sécurité.
Diffuser les applications sur un site sécurisé certifié comme étant sans maliciel.
LES#ENTREPRISES#DE#TÉLÉCOMMUNICATIONS#SANS#FIL#/#LES#VENDEURS#AU#DÉTAIL#
D’APPAREILS#
Les entreprises de télécommunications doivent instituer des programmes de contrôle des réseaux
destinés à identifier les cybermenaces, les logiciels malveillants et autres activités malveillantes. Les
fournisseurs de services devraient surveiller les usages anormaux, de la même façon que les sociétés
émettrices de cartes de crédit, et soit confirmer l’activité suspecte avec le détenteur du contrat, soit
désactiver le téléphone.
Les fournisseurs de services devraient offrir gratuitement les options de protection déjà en place au lieu
d’inciter les consommateurs à les acheter. La sensibilisation et l’information sur les situations actuelles
de virus et de piratage permettraient au public d’abandonner l’idée que le risque est minime.
Intégrer, dans la mesure du possible, de l’information gouvernementale sur les cybermenaces en créant
une application conjointement avec les organismes de réglementation canadiens pour sensibiliser le
public et lui permettre de dénoncer ou de déclarer des activités suspectes, ce qui donnerait la possibilité
de mener des actions plus rapidement, en plus d’établir des données plus complètes et plus uniformes
qui permettraient de déterminer les tendances.
Assister de façon plus directe et proactive les consommateurs qui rapportent un nombre croissant
d’incidents suspects, et déclarer l’activité malveillante suspecte aux autorités plutôt que de laisser cette
responsabilité aux consommateurs.
Communiquer efficacement avec les fournisseurs de services et alerter les consommateurs des menaces
actuelles et des méthodes de protection, possiblement par texto ou en intégrant des messages dans les
factures (papier ou électroniques).
Un numéro 1-800 simplifié devrait être mis à la disposition de la population pour déclarer les téléphones
perdus ou volés et s’assurer que les données des appareils sont effacées, si possible, pour qu’ils ne
puissent pas être utilisés ou activés sur un autre réseau.
Les fournisseurs de services sans fil devraient donner aux utilisateurs autant d’information qu’ils le
peuvent puisqu’ils savent quel système d’exploitation chaque téléphone de leur réseau utilise.
Les entreprises de télécommunications devraient fournir, dans les contrats à long terme proposés aux
consommateurs, un soutien technique à long terme et des correctifs pour traiter les failles en matière de
sécurité à l’intérieur des environnements d’exploitation des téléphones intelligents.
Founir un anti-virus comme c’est le cas avec les services Internet.
Les détaillants devraient être tenus de fournir de l’information dans les emballages montrant aux
consommateurs comment configurer leurs téléphones intelligents de façon à atténuer les cybermenaces
et les risques.
Les#groupes#de#défense#des#consommateurs#
Les ressources des groupes de défense des consommateurs sont limitées. S’ils ne devaient poser qu’une
action, ce serait de collaborer avec les autres groupes de défense des consommateurs pour faire front
commun devant le gouvernement afin qu’il applique des changements et fasse exécuter les lois.
Leurs actions devraient être fondées sur des activités concrètes, particulièrement par le biais de réseaux
sociaux et de pressions efficaces sur les organismes de réglementation pour :
• organiser des campagnes permanentes d’éducation et de sensibilisation;
• recommander et fournir des liens vers des logiciels de protection gratuits pour les différents
téléphones intelligents et adresser une pétition aux revendeurs et aux opérateurs de téléphonie
mobile pour coordonner les mesures de protection;
• fournir des informations précises sur les différents sites populaires pour périphériques mobiles
(Facebook, Twitter, etc.) et illustrer de manière simplifiée les risques potentiels ou les problèmes de
protection des renseignements personnels.
FINALEMENT,##
Les entreprises doivent reconnaître qu’elles risquent de perdre à long terme si elles ne réussissent pas à
investir adéquatement dans des moyens de contrôle des risques cybernétiques pour les consommateurs.
Les entreprises qui retirent des bénéfices de la distribution des téléphones intelligents et des produits
connexes devraient être tenues de fournir des ressources pour réduire les risques pour les
consommateurs et autres personnes qui utilisent les produits, que ce soit en développant des dispositifs
de sécurité plus performants ou avec des programmes d’éd.
68#
APPENDICES#
Appendix#I#Z#Recent#Relevant#Research#
CONSUMER#BEHAVIOUR,#AWARENESS#AND#MITIGATION#
2012 Canadian Wireless Total Ownership Experience Study
In May 2012, J. D. Power and Associates published the 2012 Canadian Wireless Total Ownership
Experience Study. Over 14,000 mobile phone users were queried during October 2011 in March 2012.
The study looked at customer satisfaction of the wireless carriers, and mobile device behavior of the
respondents. Their key findings included:
• Respondents are keeping their mobile devices longer than previously. They use the same device for
20 months in 2012, up from 18 months the prior year.
• 54% of Canadian wireless customers own smartphones, up dramatically from 36% the prior year.
• Brand loyalty is changing dramatically, in that BlackBerry, with stronger market share in Canada
and virtually anywhere else in the world, has seen a dramatic decrease in their market share, with
Apple and Samsung increasing. Apple and BlackBerry currently have about a third of the market
each.
• Customer satisfaction with their wireless carriers increased over 5% in 2012, from 2011.140
Lookout Mobile Security Survey, November 2011
In November 2011, a mobile security company in San Francisco, Lookout, conducted a survey of 1,000
mobile users in the UK. They were looking to determine how Britons saw their mobile devices and what
they did to protect. Their findings, which to some may be rather disturbing, are summarized below:
• Ahead of their wallets, keys, photo albums and laptops or tablets, their mobile phone was the
number one item that they would elect to take with them from a burning house, if they could pick
only one item.
• More than half of the users surveyed said that they felt "connected" or "safe" when they had their
mobile devices on their person; half of them felt "frustrated" or "anxious" when they were without
their mobile device, and the majority were concerned about losing contacts and other information on
their mobile device.
• Over 30% indicated they could last no more than a few hours if their mobile device went missing.
• Yet despite all this concern and angst, if you take precautions to backup information, or to have an
appropriate password on their mobile device. Less than 15% of those surveyed stated they would
have a way in which they could track a lost or stolen phone. This 15%, is much lower, then the
number of smartphones that have that capability within their system.141
140
141
“The Numbers Are In: UK Mobile Users Love Phones Yet Few Take Steps to Protect Them | the Official Lookout Blog.” Web
Privacy and Data Management on Mobile Devices, PEW Research Center, September,
2012
In a national survey of 2,254 adults conducted during March and April 2012 respondents indicated
significant findings relating to protecting personal information and mobile data, and experiences of lost
or stolen mobile devices. These findings included:
• The use of their personal information was a key factor in the decision of more than half of app users
to uninstall or not install an app.
• Cell phone owners do make significant efforts to protect their information. They found that 41%
"back up the photos, contacts and other files on the phone" to ensure against damage or loss. A third
clear their browsing and search history under cell phones, and almost 20% "turned off the location
tracking feature" due to concerns about others accessing their location information.
• Over 30% of respondents had had a lost or stolen phone.
• 12% of respondents believe that their privacy was breached through another person accessing the
contents of their mobile device.
• Those respondents with smartphones were more vigilant in protecting their mobile data, but they
were also at greater risk of greater exposure to privacy breaches.142
Teens and Technology, 2013
In September 2012, the PEW Research Center surveyed 802 adults and their 802 teen children to
determine the teens use of mobile devices and technology. Their findings include the following:
• Smartphone adoption among American teens has increased substantially and mobile access to the
internet is pervasive͘
• One in four teens are cell-mostly Internet users who say they mostly go online using their phone and
not using some other device such as a desktop or laptop computer.
• These are among the new findings from a nationally representative survey of 802 teens ages 12-17
and their parents which shows that:
• 78% of teens now have a cell phone, and almost half (47%) of those own smartphones. That
translates into 37% of all teens who have smartphones, up from just 23% in 2011.
• One in four teens (23%) have a tablet computer, a level comparable to the general adult population.
• Nine in 10 (93%) teens have a computer or have access to one at home. Seven in 10 (71%) teens
with home computer access say the laptop or desktop they use most often is one they share with
other family members. Mobile access to the internet is common among American teens, and the cell
phone has become an especially important access point for certain groups:
• About three in four (74%) teens ages 12-17 say they access the Internet on cell phones, tablets, and
other mobile devices at least occasionally.
• One in four teens are cell-mostly Internet users — far more than the 15% of adults who are cellmostly. Among teen smartphone owners, half are cell-mostly.
• Older girls are especially likely to be cell-mostly Internet users; 34% of teen girls ages 14-17 say
they mostly go online using their cell phone, compared with 24% of teen boys ages 14-17. This is
notable since boys and girls are equally likely to be smartphone owners.
142
Boyles, Jan Lauren, Aaron Smith, and Mary Madden. Privacy and Data Management on Mobile Devices. Pew Research Center’s
Internet & American Life Project, September 5, 2012. Print.
70#
•
Among older teen girls who are smartphone owners, 55% say they use the Internet mostly from their
phone. In overall Internet use, youth ages 12-17 who are living in lower-income and lower-education
households are still somewhat less likely to use the Internet in any capacity – mobile or wired.
However, those who fall into lower socioeconomic groups are just as likely and in some cases more
likely than those living in higher income and more highly educated households to use their cell
phone as a primary point of access.143
THE#THREATS#
2013 Global Threat Intelligence Report
These findings below, produced from “incidents and trend information” are derived “from hundreds of
billions of landlines” collected by Solutionary, Inc. the security service organization responsible for
publication of this report.
Financial and retail organizations are most likely to be the targets of malware, comprising approximately
80% of attempts to infect. What is of relevance to consumers is that these attempts often masquerade as
credible email, with the view to getting the user to open an attachment or go to an infected URL.
The source of malware activity in Canada is only at 8%, compared to 30% in the United States and 31%
in China. Despite the precipitous drop from the two leaders to Canada’s 8%, there is another such drop
between Canada and the next country being Germany, at 4%.
Antivirus software detects less than half, 46%, of malware tested through this organization. They
conclude that “antivirus solutions alone are insufficient.”144
Emerging Cyber Threat Report 2013
In November 2012, the Georgia Tech Information Security Center, along with the Georgia Tack
Research Inst. presented their Emerging Cyber Threat Report 2013 at their annual Georgia Tech Cyber
Security Summit. They have, for several years, track emerging and leading cyber threats. Mobile device
cyber threats have been prominent in the last few years in these reports, and this year’s findings relating
to mobile devices and security include:
• Apple’s iOS and Google's android platforms are more or less “equally safe in reality”. They clearly
qualify that “equally safe” does not necessarily mean secure.
• Wireless carriers and platform developers/manufacturers are creating vulnerabilities in their mobile
devices as they continue with their practices in frequent patching.
• Mobile wallets have yet to reach the tipping point, and will encounter slow adoption and
teleconferencing their security increases appropriately.
• The well-managed app stores particularly of Google’s Android Play, and Apple’s iOS App Store,
have made it more difficult to exploit a vast number of mobile devices. Furthermore, mobile devices
that have been compromised, particularly in the US, have not been broadly monetized by those
compromising the devices.
143
Madden, Mary, Amanda Lenhart, Maeve Duggan, Sandra Cortesi, and Urs Gasser. Teens and Technology 2013. Pew Research Center,
The Berkman Center for Internet & Society at Harvard University, March 13, 2013. Print.
144
2013 Global Threat Intelligence Report. Solutionary, Inc., 2013. Print.
“… The exponential growth of malicious Android apps is not translate to increased risks for most
users.” “… Researchers have found that only a very small number of devices – about 0.002% – are
showing signs of infection in the United States.”
• Despite these somewhat less than severe warnings of risk, Georgia Tech does indicate that the vast
number of devices out there provide an opportunity that “attackers cannot afford to ignore”.
• The usability vs. security trade-off is posing some risks for those who browse on their mobile
devices. “… Mobile users are three times more likely to visit a phishing site than desktop browser
users.”
• And while many users continue to ignore using a password or pass code to protect their device, they
are compensating somewhat by their wariness of “putting their financial information, even if it’s
replaceable credit card account data, in a single place on their mobile device.”
They appear to laud Apple’s “more prudent approach” in the provision of the Passbook feature in iOS
that allows a user to collect important documents (E. G., Loyalty cards, movie tickets), but purposefully
excluded automated payments and credit card.145
•
Global Risks 2012, World Economic Forum
Released in 2012, the Insight Report: Global Risks 2012, from the Risk Response Network of the World
Economic Forum, outlines global risks affecting the global economy. Their findings noted below
relevant to this report are particularly notable this year, because of the first-time inclusion of cyber
threats as one of the top five most likely global economic risks.
In what they cite as “The Dark Side of Connectivity”, they find that we have reached hyper connectivity.
“… Daily life is more vulnerable to cyber threats and digital disruptions.” They cite in particular, the
world’s 5 billion mobile phones and their connection with the Internet and “cloud-based applications”.
They find that there is a misalignment in the managing of this global challenge, particularly in respect to
incentives. “Online security is now considered a public good….” They believe that there is an urgent
need for private sector engagement in reducing these vulnerabilities and indicate the need for a “healthy
digital space… To ensure stability in the world economy and balance of power.”
In terms of likelihood of occurrence as significant global risks, cyber attacks is ranked number four, this
being the category’s first time/appearance in the top five.146
Enterprise Readiness of Consumer Mobile Platforms, Trend Micro, 2012
Trend Micro produced an independent study evaluating for mobile platforms: Apple iOS, Google
Android, Windows Phone, and the BlackBerry OS. While this was aimed at organizational IT
management, it provides relevant insight for mobile device users and implications of risks of their
devices. Their findings included:
• “… Today’s mobile platforms widely differ in terms of security and manageability capabilities.”
• In what may be surprising to many consumers, “modern mobile platforms provide substantially
better security than traditional desktop operating systems when it comes to built in security
mechanisms, authentication and data protection;.”
• Regarding the BlackBerry OS, it is the most mature of the mobile operating platforms, scoring high
across all factors of their evaluation framework.
145
Emerging Cyber Threats Report 2013 - Georgia Institute of Technology. Web.
<http://www.nymity.com/Free_Privacy_Resources/Previews/ReferencePreview.aspx?guid=d29c7f80-0ec0-4a1a-97ac-33ee748c73bc>.
146
Global Risks 2012. World Economic Forum. Print.
72#
•
Regarding Apple’s iOS, they note it has become more enterprise friendly, which will cause it to
enter into more business organizations, exposing more consumers to cyber threats through
organizations. They indicate that Google’s Android operating system, despite having seen some
recent “important security additions”, remains the lowest of the four operating systems regarding
security. They note that the Android system is “widely exposed to malware and data loss.”147
McAfee 2013 Threats Report
The McAfee 2013 Threats Report follows their annual and quarterly threats reports. Increasingly, their
comments and focus is been on mobile devices. Below are excerpted findings of emerging cyber threats
on mobile devices:
• The creation of malware that protects itself by preventing service and security updates to mobile
devices. IN situations like this, users will believe they have updated their devices, but haven’t.
• The creation and sale of malware that causes a user’s mobile device to purchase apps from the app
store without the user’s knowledge. The apps purchased would be those developed by the malware
authors.
• With the belief that NFC will finally take off shortly, they expect an increase in worms that will
allow thieves to “bump and run” another phone and steal from the owners digital wallet.
• In 2012 the provision of malware kits (often called ransomware kits) for mobile, previously the
domain of the PC world. The effect has yet to hit the mobile device user, but the kits are being made
available.
• The introduction of increased phishing lures and pill advertising delivered by SMS.148
Better Implementation of Controls for Mobile Devices Should be Encouraged
In September 2012, the United States Government Accountability Office presented a report to
Congressional Committees on information security, recommending that “Better Implementation of
Controls for Mobile Devices Should Be Encouraged”.
Their findings were significant, and a summary of them follows. As well, their recommendations were
few but wide sweeping.
The security of mobile devices is increasingly being threatened. Not just the devices, but also the
information they store. Both the volume of attacks, and the nature of attacks has increased.
These attacks are enabled and facilitated by weaknesses in the operating systems, and in the way that
consumers protect their devices, or don’t protect them.
They lay the blame at the feet of both the platform providers and consumers. Consumers don’t often
enough enable passwords, and platform providers don’t often enough update/patch their systems.
Despite efforts by business and federal agencies to promote secure technologies through developing and
promulgating standards, and setting up public-private partnerships, the resulting safeguards “have not
been consistently implemented.”
Their recommendations flow directly from their two key findings, and are:
• That the Federal Communications Commission “encourage the private sector to implement a broad,
industry-defined baseline of mobile security safeguards.”
147
148
Tiralv Dirro, Paula Greve, Prashant Gupta, Xiao Chen, Haifei Li, William McEwan, Francois Paget, Craig Schmugar, Jimmy Shah,
Ryan Sherstobitoff, Dan Sommer, Bing Sun, Peter Szor, and Adam Wosotowsky. 2013 Threats Predictions. McAfee, Inc., 2012. Print.
That the Department of Homeland Security and the National Inst. of Standards and Technology
“take steps to better measure progress in raising national cyber security awareness.”
Notably, those cited as involved in carrying out these recommendations, were generally in concurrence
with the recommendations of the GAO.149
•
The Symantec Smartphone Honey Stick Project
In late 2011, Symantec arranged to “lose” 50 smartphones (with no password protection) in five North
American cities: New York City, Washington DC, Los Angeles, the San Francisco Bay Area and
Ottawa. The smartphones specifically were rigged to track motion and access. The researchers were
looking to determine:
• The likelihood of a finder attempting to access data on the smartphone
• The likelihood of a finder attempting to access corporate applications and data
• The likelihood of a finder attempting to access personal applications and data
• The likelihood of attempted access to particular types of apps
• The amount of time before a lost smartphone is moved or accessed
• The likelihood of a finder attempting to return a device to its owner
Their key findings included:
• 89% were accessed for personal related apps and information.
• Private pictures, social networking, web mail, and passwords (in a “Saved passwords” file) were
accessed in more than 50% of the cases.
• Only 50% of those finding smartphones contacted the owner and provided contact information to
return the phone.
Implications: It is not just stolen smartphones whose information may be breached. A lost, and “found”
smartphone will, in the majority of cases, expose the personal information of the owner, if no password
is present. A password can go a long way to reduce exposure of personal information.150
149
INFORMATION SECURITY Better Implementation of Controls for Mobile Devices Should Be Encouraged. United States
Government Accountability Office, September, 2012. Print.
150
74#
Appendix#II#Z#Public#Interest#Network#Questionnaire#
PIN participants form a national network of thoughtful, knowledgeable Canadian consumers.
The Council consults the PIN online about important public and consumer policy issues being
considered by government, corporations and consumer organizations. The Consumers Council of
Canada owns and operates the PIN.
PIN is a group of informed consumers and people involved in their communities. They have volunteered
to join the network and respond to surveys regarding consumer issues. Potential members complete a
short questionnaire to provide basic demographic information.
PIN participants are:
• Educated and informed consumers at the community level;
• Aware of consumer and public policy issues;
• Or have been involved and influential in their communities of interest;
• Or have expressed opinions and taken a stand on issues.
PIN participants agree to be consulted online about important public and consumer policy issues being
considered by government, corporations and consumer organizations.
The Council tries to balance the PIN but does not seek to build a statistically representative sample of
Canadians. PIN participants may be more educated with higher incomes than the general Canadian
population. As active, aware, critical and informed consumers, PIN participants can offer insights into
issues and future trends emerging among Canadian consumers.
We asked participants of the six questions regarding awareness and usage.
RELUCTANCE#TO#MITIGATE#LOSS#AND#EXPOSURE#RISK#
Question: Most consumers believe security and privacy of their information is
important to them. The majority of consumers protect their desktop and laptop
computers in many ways, including with passwords, anti-virus software, firewalls,
etc. However, they take much less care in protecting information on their
Smartphones. Almost half do not use passwords, most do not use anti-virus
software, and virtually none take active efforts against targeted cyber threats. Why
do you think this is?
OpenZEnded#Response#Excerpts”#
We forget that our phones are now very powerful sources of our personal information
Lack of education by service providers - - - or "consumer organizations”!! Haven't heard enough
horror stories.
Likely because one believes it will never happen to them. With the number of phones out there,
why might one person be targeted on THEIR phone? We have a firewall and protection on our
home computers as well, but I don't know that many people understand the risk they are taking by
using their phone in a Wi-Fi hot spot for example.
Perhaps there is an expectation of more immediacy when using your phone--you don't want to
have to enter a password every time you want to use it.
The biggest cause however is that the critical mass of bad experiences from friends and family
haven’t hit them yet So they aren’t as concerned.
Laziness and being too trustful – the complacent Canadian consumer?
I think it is because we are so accustomed to being safe on our landlines, we simply do not believe
the smart phones are so dangerous.
The presumption that there personal information in there phone is protected and secure. Lack an
understanding of the potential risk.
Smartphones on the other hand are a recent phenomenon, and none of the smartphone producing
companies widely advocate the need of anti-virus.
Putting in a password every time you need to read a message or send one is frustrating and takes
too much time.
They do not understand the machines they are using and how they work, and therefore the threats
to which they are exposed.
Intoxication with ways of use of the devices + psychology of friendliness of the device in own
homes or on own person + lack of awareness of the risks
They don't think of their phones as hackable.
Because they have not been properly informed of the risk so they continue to think that a
smartphone is a phone when in fact it is a computer
CONCERN#RE#LOSS/THEFT#OF#DEVICE#VS.#INTRUSIVE#THREATS#
Question: Through our focus groups we found that consumers are more
concerned about lost, stolen, and damaged smartphones than they are about more
specific, and potentially more harmful, cyber attacks such as malware, hacking or
stalking. Why do you think this is?
OpenZEnded#Response#
Never seem to hear of problems. Need to be better educated.
Smartphones are still considered “phones” and not computer devices.
Malware or other items don't result in the direct loss of a physical good – so it is harder to keep
people concerned about it. I would argue that the loss of a device is always worse than malware,
hacking or stalking. The loss of the device could mean complete penetration by someone with
malicious intent.
Misplaced trust in not being a victim of such attacks or a false sense of security with their service
provider to prevent cyber threats.
Because we have so much information stored on our smartphones, theft, loss or damage is
apparent. My son recently lost his phone for an hour and almost had hysterics when he realized
how much danger he had placed himself in. Practically his whole life was tied up in that one toy.
Lesson learned.
Lack an understanding of the potential risk.
76#
When your phone is lost physically, you also lose the obvious monetary worth of your phone.
When your phone is damaged physically, the same principal applies. If your phone is under cyber
attack on the other hand, most smartphones could be wiped and ‘factory reset’ in under 15
minutes.
You don’t hear of smartphones being hacked or stalked very much and they are expensive to
replace.
A phone is a tangible that costs money to replace and the chances of losing it are higher than
getting hacked (normally.)
They haven’t suffered from malware, hacking or stalking. Yet.
Because cyber attacks, etc. Haven’t happened on a large scale to phones the way theft and
damage have.
They haven’t been properly informed about the latter
Again they see the phone as an extension of the old Bell landline – and as such safe.
A stolen/lost smartphone is an immediate problem. People still do not view their smartphones as
computers. They still view them as “just” a mobile phone.
The reality is that people are just too busy in their day-to-day lives and are surrounded by
constant fear-mongering around complex issues from healthcare to IT. Most people just shut their
eyes and keep focused on one or two things to survive. The time and hard costs of technological
fixes for these problems – are also a barrier given the ginormous costs of data/use.
A#SPECIFIC#ROLE#FOR#WIRELESS#CARRIERS#
Question: In our recent focus groups, the majority of participants suggested that
their wireless service provider (typically Rogers, Bell or Telus) were the
organization that they would most likely turn to for support and advice regarding
protection of their phone, particularly if this was provided at the time of purchase
as set up for them. What would you recommend that these organizations do to
expand upon that trust relationship for the benefit and protection of the
consumer?
OpenZEnded#Responses#
Competitively, neither of the service providers would want to proactively admit and publicize that
they have problems within their systems. It maybe has to be set up so they will provide suggestions
and facilities/services in their packaged offerings in order to match the competition. The public
has to willingly spend time and likely money on something they don't feel they need today.
Not find a way to charge their customers for this “service” but rather to do so as the custodians of
the networks.
First, explain the objectives and limitations. Second, do not charge excessive amounts. Third,
demonstrate benefits. Trust is there by default and I am not sure they have earned it.
They have the worst reputations for customer service. That is where they start. They need to hire
more, knowledgeable, helpful staff to assist with these major concerns.
There needs to be a government enforced database for loss and stolen devices that the cell
companies are beholden to keep updated and to reference before hooking up any new device.
Increase consumer awareness of the options available to prevent cyber threats by providing
information, directing to non-partisan organizations which will provide information or support
and generally increasing customer service to include additional support or information that does
not involve a sales pitch.
Provide the necessary protection needed to mitigate such risk and set up information awareness.
They should provide existing free resources that already exist in the market for protection of
phones, instead of only attempting to sell protection services created by themselves. Effective free
sources of protection are available from the device original manufactures for example, or as
freeware products from other organizations. This is of course a business decision for the
providers.
Send out messages to the phones – ads or tweets or whatever talking up the potential problems
and solutions. Send messages with monthly billing – electronic or paper.
Educate them about potential problems and provide free, easy protection
Talk to the customer/consumer in a way in which they can understand the situation. This
information is very difficult to comprehend and very technical for the general consumer.
Set up software at time of purchase
Offer antiviral, malware and spyware protection free as part of their service
Educational campaigns
Advertise and tell stories of actual hacking and virus cases – then use these to sell the idea of
installed protection.
A single toll-free number that any cell phone user could call to report a stolen/lost cell. Immediate
cancellation by the provider of service to the cell phone, and a database of stolen smartphone
information that would prevent a stolen/lost smartphone from being reactivated, and would notify
police that someone with a stolen/lost smartphone was trying to reactivate the device.
My account is with Telus and when my iPhone was set up they walked me through all the security
procedures etc. POS is likely the most effective.
THE#REGULATORS#ROLE#
Question: How can regulators assist consumers in protecting them from the cyber
threats other than lost, stolen or damaged smartphones?
Make it mandatory for the necessary functions to be included in all plans they offer.
Come up with better methods of catching perpetrators and ensure that they are brought to justice.
Ensuring regulatory protection and mechanisms for enforcement keep pace with technological
change.
Increasing awareness of steps that consumers can take in protecting themselves, what can be done
if you are a victim of cyber attacks, and decreasing ways in which those that commit cyber crimes
78#
will be caught and punished. Unfortunately, cyberspace is currently the wild west of the modern
world. Increased regulation and globally consistent enforcement would enable regulators to have
the capacity to not only monitor but also enforce compliance.
Regulators should provide access to the resources I mentioned above, and also advocate a
simplified ‘smart and secure lifestyle’ for smartphone users that is easy to understand and follow.
Consumer education and assistance with appropriate software
Update privacy legislation to address these issues
Mandate the installation of specified protective software complete with automatic updating.
Public education with demonstrated role plays and sites set up to demonstrate scam risks
Insist that wireless service providers provide this protection free of charge as part of what we
overpay them for.
Make it mandatory that service providers (Bell, Telus, Rogers, SaskTel, etc.) Must have clear and
specific information prominently displayed on the threats
Start advertising the threat potential
Demand providers educate, inform, and persuade consumers to protect their data. This must be on
going. Providers might band together to form a group focused on this issue.
ROLE#OF#CONSUMER#GROUPS#
Question: How can consumer groups assist consumers in protecting them from
cyber threats other than lost, stolen or damaged smartphones?
Publicize the existence and frequency of such threats and show how the public can be safer.
Ensure appropriate software comes with a phone and that the consumer knows how to use it and
update it. Don’t expect consumers to find their own safeguards. Most people don't know which are
best and whether they even have enough on their phones to ward off attacks.
Be more assertive in promoting awareness
Provide appropriate information.
Target the people who are at risk and continue sending then alerts. Forewarned is forearmed.
Be more proactive and use social media more intensively to spread news.
Monitoring the regulators and insisting on accountability
Consumer groups can help in increasing awareness of steps to protection and can allow push for
effective legislation.
Discuss online threats of malware/viruses/hacks, etc., and to pay attention to online privacy in
terms of providing information to companies.
Work with service providers and lobby for promotion of education of the users around the issues.
Communicate issues – educate
Education campaigns. People don’t know enough about their phones (especially Apple users.)
Provide information on sources they are visiting – Facebook, twitter, other websites
Recommend and provide links to suitable protective software, preferably free
Links to public education plus new legislation to ensure consumer protection plus severe penalties
Awareness campaigns
Band together and make deputations to CRTC, senate and government committees addressing
these issues. Get MPs onside
Press legislators and regulators for change and enforcement. Inform consumers in an on-going
campaign of the threat and possible solutions (on-going).
THE#CONSUMERS#ROLE#AND#RESPONSIBILITIES#
Question: What can consumers do to protect themselves from the more common
risks of loss, theft and damage?
“Think of their phone as their wallet, as it probably contains as much personal information and
monetary values as one.”
I think all phones should be serialized and records kept. The hardware needs to somehow be
locked to anyone but the owner – if not password protected, perhaps retina recognition or
fingerprint in the future???
Keep their phones in their possession at all times.
Insist on simple corporate disabling of devices upon reporting of loss, theft etc.
Use of common sense measures to protect their devices from theft, loss or damage such as locking
the device in a secure place when not in use, being aware of the surroundings that may cause theft
or damage (subway, crowded areas, leaving it out in the open and unattended.) The same type of
measures that one takes with their wallet.
Common sense, be aware of their surroundings. Treat the phone as a valuable commodity. Treat it
with respect.
Know what is on your phone and what to do if an event happens where their phone has been
stolen etc.
Focus: be alert to your surroundings, keep PDAs out of sight in public places
Lock the phone. Keep it in your pocket. Activate tracking capabilities (i.e. iPhone’s “Find my
iPhone”). Get informed about why and how to protect content.
Well, if my advice worked, my 30-year-old son would not lose, have stolen or damage his I-phone
phone every 6 months.
Use “Find my iPhone” or equivalent. You can locate your device on GPS as soon as it is turned
on. Use security features/locks available on phones. Re damage – at least they should have their
information backed up somewhere safe. Re theft – insurance helps but does not deal with the
hassle of having a smartphone stolen.
80#
Appendix#III#–#Key#Informant#Guidelines#Excerpts#
Emerging#Cyber#Threats#on#Mobile#Devices#
INTRODUCTORY#QUESTIONS#
How do you define mobile devices?
• For the purposes of our project, we define . . .
• We exclude laptop and tablet computers
How would you define a cyber threat?
• Explain that for the purposes of this research project we are considering mobile cyber threats to be
inoperative or damaged units, lost or stolen units, close proximity hacking, long distance
hacking/malware insertion, and stalking.
Ask interviewee to outline their role in the mobile device marketplace as defined here, expanding on
comments made in the initial part of the interview.
RISKS#OF#MOBILE#DEVICES#
What do you consider to be the primary areas of cyber threat risks to consumers of using mobile
devices?
What are possible areas of use that might create the greatest risk? Examples might be:
• Telecommunications (i.e. telephone, e-mail, texting)
• Social networking (i.e. Facebook, Twitter)
• Retail Purchases
• Banking Transactions
• Maintaining critical personal information, such as passwords, health issues?
Are there classes of consumers that may be more or less at risk when using mobile devices? Consider
demographics such as:
• Age – ranging from child to senior
• Geographic location
• Health condition or handicap
• Married or single
• Employment status
CONSUMER#KNOWLEDGE#
In your opinion is the consumer informed enough when making a decision as to what they should use
their mobile devices for? If not, in what specific areas are they inadequately informed?
In your opinion are consumers initially aware of the risks that they face through their use of mobile
devices? If not, how are they made aware of this?
In your opinion are consumers initially aware of steps that can be taken to minimize the risk of a cyber
threat occurring? If not, how do they become aware of this?
What steps do you think can be taken to better familiarize consumers concerning the risks and mitigating
activities?
PRODUCT#DIFFERENCES#
The three main mobile devices in use in Canada today use the Android, Apple IOS or Blackberry
operating system. Do you have any thoughts as to which type of device offers the best protection against
cyber threats?
What other options, if any, would you recommend that consumers consider when faced with the
decision of whether to purchase any of the devices that use one of the three operating environments?
What do you believe are the primary risk factors a consumer should consider when deciding to purchase
one type of mobile device over another?
What three factors do you believe consumers most consider in purchasing a mobile device? Is risk a
primary factor?
CYBER#THREATS#TO#THE#CONSUMER#
From our recent focus groups we found that:
• Over 50% of the group had lost a smartphone, or had it stolen
• About 40% of the users interviewed had not implemented basic protections such as passwords, and
another 20% only implemented passwords and other controls after their device was lost or stolen.
• Less than 20% of the people interviewed were aware of cyber threats beyond the loss, theft or
destruction of their mobile devices.
When there are known options available to mitigate risk, what do you believe are the reasons why
consumers don’t make use of these?
• Consider prompting with the following, but only if nothing forthcoming from the interviewee:
• Don’t consider the risk significant
• It is too much bother to implement passwords and other controls
• “It couldn’t happen to me”
• Reduced convenience
• Not enough time to sit down to figure out controls
INSIGHTS#ON#WHAT#THOSE#INVOLVED#CAN#DO#
What should the government do, if anything, in the way of legislation or regulation regarding mobile
devices and cyber threats?
What, if anything, should telecommunications companies, manufacturers or developers do to enable
better security? E.g. when they sell them the phone.
What role, if any should consumer organizations play to help consumers make informed decisions in this
area?
What one piece of advice would you give to consumers?
WHAT#DO#THE#EXPERTS#DO?#
What type of smartphone/operating system do you use personally, and why did you pick that phone?
• e.g. was it up to you, or a phone promoted by your company?
Did you consider security when you picked it and were the relevant factors?
What steps have you personally taken to mitigate those risks?
82#
FINAL#QUESTIONS#
What advice would you give to users of mobile devices with respect to cyber threats?
Where sensitive information is concerned, what additional advice would you have for consumers who
use their mobile devices for the storage of this information or to perform sensitive transactions?
KEY#INFORMANTS#
Name
Organization
Position
Mark Donadio
KPMG LLP (U.S)
Director of Information Security
Martin Hillger
Independent IT Security Consultant
Ryan Garvey
US State Department
Information Security Analyst
Don Sheehy
Deloitte Canada
Associate Partner
Paul Spacey
KPMG LLP (UK)
Director, Telecoms and IT Risk
Justin Morehouse
Guidepost Security
Co-Founder and Principal
Willi Kraml
KPMG International
Chief Information Security Officer
Martin Hillger
James Howard
Independent IT Security Consultant
KPMG LLP (US)
Chief Privacy Officer
Appendix#IV#–#Focus#Groups#
Focus#Groups#Discussion#Guide#–#September#2012#
(Modified)#
Consumer#Impact#of#Emerging#Cyber#Threats#on#Mobile#Devices#(Environics#Research)##
Toronto (Two sessions, 14 participants)
Montreal (Two sessions, 14 participants)
Introduction to Procedures
Welcome to the group. We want to hear your opinions. Not what you think other people think – but
what you think!
Feel free to agree or disagree. You don’t have to direct all your comments to me; you can exchange
ideas and arguments with each other too.
You are being taped and observed to help me write my report. I may take some notes during the group to
remind myself of things also. None of your comments will be attributed to you personally.
Let’s go around the table so we can get to know one another. Please start off by telling us what kind of
work you do if you work outside the home. Since we will be talking about mobile devices, primarily
smartphones, can you also each tell us which type of smartphone you own and what kind of things you
like to use your smartphone for? (e.g. phoning, games, email, browsing, applications etc…)
Smartphone Risks and Risk Mitigation
As you may know from some of the questions we asked you when we recruited you to this Focus Group,
we are going to be talking about smartphone information and security risks. We are doing this research
for a consumers’ rights organization – not for any private company trying to sell anything so we want
you to speak from the perspective of being a consumer.
We will begin with this five-minute questionnaire to get a better idea of your experience and views on
how you protect your smartphone and its data.
HAND#OUT#THE#1st#QUESTIONNAIRE#
Let’s review what you answered for some of these questions.
When you each bought your devices was its security capability a factor in your decision? If yes, how so?
How many of you protect your smartphone with a password?
If you lost your smartphone, what would be your biggest concerns? What did most of you put down as
your biggest concerns and why?
PROBE:##
Cost of replacing my phone,
Effort to restore my data and applications,
Loss of data for which I have no way to restore, recover or replace,
Embarrassment of having my personal information exposed,
Possible misuse of my financial and personal information by others
What information that is kept on your smartphone that would most concern you if you lost it?
84#
POSSIBLE#PROBES:##
Your e-mails, photos/movies, contacts, calendar, personal files, IMs/SMSs, financial info, applications with links
to your info?
Smartphone Security Risks – Awareness/Understanding
Walk through five different types of risks associated with smartphones.
The 5 risk categories are:
• Damaged or failed smartphone
• Lost or stolen smartphone
• Close proximity hacking
• Remote hacks and malware insertion
• Cyber tracking, mischief and stalking
We are interested in exploring your awareness of each of these risks, your understanding of these risks
and any direct experiences you may have had with these risks
Damaged#or#failed#smartphone##
Description: The smartphone just doesn’t work
Example: Possibly an inoperable screen, keyboard unresponsive, dropped and damaged smartphone,
software problem, or one of the most common – it falls in the toilet
• Are you surprised that this is a risk to you?
• If this happened, how would it affect you?
• Have any of you had such an experience? If so, what?
Lost#or#stolen#smartphone#
Description: Your Smartphone has been “misplaced”: lost or stolen.
Example: There are so many ways this can happen – too many to list them and typically does not
need explanation
Close#proximity#hacking#
Description: Using Bluetooth, or a Wi-Fi connection, a person within range gains access, and
possibly control of your device – enabling them to copy information or modify contents
Example: You’re in Starbucks using your phone to text or access the Internet. The person next to
you accesses your data through your Bluetooth connection you use to play music to your Bluetooth
headphones.
Remote#hacks#and#malware#insertion#
Description: A person or group develop an intrusive, potentially damaging, program or code that is
disguised in such a way that you, through action or inaction on your part, inadvertently download it
to your smartphone
Example: Angry Birds in Space – a fake program installed on some Android phones – that gave
control of the phone to a foreign hacker
Cyber#tracking,#mischief#and#stalking#
Description: Someone gains access to your Smartphone, modifies it or adds software, then uses it to
track, provoke or stalk you.
Example: A friend or spouse who has physical access to your Smartphone installs software to
permit them to track your location. In one case one teenager accessed a friend’s smartphone and
switched his mother’s and girlfriend’s phone numbers used mostly for texting. You can guess the
result.
Ranking Smartphone Risks
Now please take the next 5 minutes to look at this handout and rank the five risks that we just discussed.
We would like you to rank each of those risks in order from one to five, with one being those that are of
most concern to you and five being those that are of least concern.
HAND#OUT#THE#2ND#RANKING#QUESTIONNAIRE#
Which of the 5 risk categories did you each feel was your biggest concern?
• Damaged or failed smartphone
• Lost or stolen smartphone
• Close proximity hacking
• Remote hacks and malware insertion
• Cyber tracking, mischief and stalking
Smartphone Risks – Final Questions
Now that you have had a chance to comment on a broad range of risks associated with using a
smartphone, and think about their relevance to you, we have some closing questions we would like to
discuss with you. In general, what do you think are the two most important steps that an individual can,
should, and would take to protect themselves against the risks of cyber threats on their smartphones?
Research has shown that people believe security and privacy of their information is important to them.
We also know that people protect their computers in many ways, including with passwords, antivirus
software, firewalls etc. However, research has shown that they don’t take as much care in protecting
information on their smart phones. Why do you think this is?
How has your awareness, and your understanding, changed in a meaningful way over the course of this
session and what, if anything, will it cause you to do in the next week to protect your smartphone and its
contents?
In addition, what information on your smart phone are you now concerned about that you previously
were not?
What can the smartphone manufacturers and application developers do to make it easier for you to
protect information on your smart phone?
86#
Focus Group Participant Questions – Part One
Your Name (Initials Only) _________
1) Which type of smartphone do you use? Circle One
•
•
•
•
•
Android
iPhone
Blackberry
Windows Mobile
Other _____________________________________
2) Besides making telephone calls, what do you mostly use your smart phone for?
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
_____________________________________________________________________
3) Have you ever lost a mobile device?
Yes ______
No ______
4) Have you ever had a mobile device stolen?
Yes ______
No ______
5) When you bought your device, was its security capability a factor in your decision? If yes, what
specifically?
No, security was not a factor ______
Yes, security was a factor ______ Specify in what way________________________
6) Do you protect your smartphone with a password?
Yes ______
No ______
7) If you lost your smartphone, what would concern you? Rank the following based on degree of
concern, from highest (1) to lowest (5):
_______ The cost of replacing my phone
_______ The effort to restore my data and applications
_______ The loss of data for which I have no way to restore, recover or replace
_______ The embarrassment of having my personal information exposed
_______ The possible misuse of my financial and personal information by others
8) What information is kept on your smartphone that would most concern you if you lost it? Rank in
order from highest (1) to lowest (9) of concern:
_______ Email
_______ Personal photos or movies
_______ Contacts
_______ Calendar
_______ Personal files
_______ Instant messages
_______ Financial information
_______ Applications that contain your personal information or permit access to it
Focus Group Participant Questions – Part Two
Your Name (Initials Only) _________
Of the risks we discussed this evening, please rank based on degree of concern, from highest (1) to
lowest (5):
_______
_______
_______
_______
_______
Damaged or failed smartphone
Lost or stolen smartphone
Close proximity hacking
Remote hacks and malware insertion
Cyber tracking and stalking

Les appareils mobiles face aux cybermenaces

Transcription

Documents pareils

IB French 3 to IB French 4 summer study

Your Questions… The Principal`s Answers

Télécharger les paroles. song lyrics.

speach - Djamano

l`infocourtier

Chapitre 1 elementaire corrige

Métro pour l`Ecosse Rouge Module 6 vocabulary

TRANSPORT SCOLAIRE/SCHOOL TRANSPORTATION ÉCOLE

5-HTP Plus Formula - Douglas Laboratories

Liste de chansons Momentum Répertoire jazz et lounge

Le marché de la cyber-assurance