Comment réduire les risques liés au suivi de la localisation ?
La NSA répond en partageant quelques conseils
Il n'y a pas moyen d'éliminer totalement le risque qu'un appareil mobile expose les données de localisation à quelqu'un qui essaie de le tracer, mais il y a des moyens de limiter les fuites et leurs causes. C'est le thème principal des directives publiées mardi dernier par l'Agence de sécurité nationale américaine (NSA), qui a adressé ses conseils au personnel du ministère de la Défense et à d'autres programmes de sécurité nationale, mais a publié le document publiquement.
Le guide explique les différents types d'informations de localisation qui peuvent être utilisés pour localiser les appareils mobiles et leurs utilisateurs. Il fournit également une analyse des idées fausses sur les données de localisation et recommande des moyens pour aider les utilisateurs à se protéger. La NSA avertit, par exemple, qu'en plus des appareils mobiles qui stockent des données de localisation dans leurs propres journaux de bord, les réseaux cellulaires reçoivent les coordonnées en temps réel des téléphones portables chaque fois qu'ils se connectent au réseau. Cette communication avec le réseau peut également rendre les informations de localisation vulnérables.
« Cela signifie qu'un fournisseur peut suivre les utilisateurs sur une vaste zone. Dans certains scénarios, comme les appels au 911, cette capacité permet de sauver des vies, alors que pour le personnel ayant des sensibilités de localisation, elle peut entraîner des risques. Si un adversaire peut influencer ou contrôler le fournisseur d'une manière ou d'une autre, ces données de localisation peuvent être compromises », note la NSA dans le guide publié. Les mauvais acteurs utilisant des dispositifs qui imitent les tours cellulaires légitimes pourraient également obtenir des informations de localisation sensibles même sans la coopération des fournisseurs, avertit la NSA.
Cette directive intervient après des mois de protestations continues aux États-Unis contre la brutalité policière et l'injustice raciale. Et bien que les conseils soient destinés aux utilisateurs du gouvernement fédéral américain, ils pourraient avoir un grand intérêt, car les forces de l'ordre sont intéressées par le suivi des foules pendant les manifestations.
Le public est bien évidemment concerné
La mission principale de la NSA est le renseignement sur les transmissions pour l'armée américaine et la communauté du renseignement. Elle est donc intimement familière avec la manière de tracer les emplacements des téléphones portables dans le monde, comme l'a révélé en 2013 l'ancien contractant de la NSA, Edward Snowden. Mais les directives publiées mardi proviennent d'une nouvelle direction que la NSA a créée en 2019 pour se concentrer sur la cybersécurité. L'un de ses objectifs est de publier davantage d'orientations et de conseils en matière de cybersécurité, reconnaissant ainsi qu'elle peut faire davantage pour sensibiliser le public aux questions de cybersécurité.
« Les données de localisation peuvent être extrêmement précieuses et doivent être protégées. Elles peuvent révéler des détails sur le nombre d'utilisateurs dans un lieu, les mouvements des utilisateurs et de l'approvisionnement, les routines quotidiennes (utilisateur et organisation), et peuvent révéler des associations autrement inconnues entre les utilisateurs et les lieux. Les mesures d'atténuation réduisent, mais n'éliminent pas les risques de localisation dans les appareils mobiles. Les utilisateurs doivent être conscients de ces risques et prendre des mesures en fonction de leur situation spécifique et de leur tolérance au risque », avertit la NSA.
Même si les utilisateurs désactivent le service cellulaire sur un appareil mobile, la NSA met en garde, le Wi-Fi et le Bluetooth peuvent toujours être utilisés pour identifier la localisation d'un utilisateur. La désactivation des services de localisation d'un téléphone, les données de géolocalisation que les appareils fournissent aux applications, a également un effet limité.
« La chose la plus importante à retenir est peut-être que la désactivation des services de localisation sur un appareil mobile n'éteint pas le GPS et ne réduit pas de manière significative le risque d'exposition à la localisation. Il est également important de se rappeler que le GPS n'est pas la même chose que les services de localisation. Même si le GPS et les données cellulaires ne sont pas disponibles, un appareil mobile calcule la localisation en utilisant le Wi-Fi et/ou Bluetooth », indique le guide.
Pour réduire le risque d'exposition aux données de localisation, la NSA recommande aux utilisateurs de désactiver les services de localisation, les autorisations publicitaires, le Bluetooth et le Wi-Fi lorsqu'ils ne sont pas utilisés, et aussi les paramètres de la fonction "Find My Device" qui permettent de suivre les appareils perdus ou volés. L'agence de renseignement sur les signaux du ministère de la Défense recommande également de donner aux applications le moins d'autorisations possible, de minimiser la quantité de données contenant des informations de localisation qui sont stockées dans le cloud, de définir les paramètres de confidentialité du navigateur pour bloquer l'utilisation des données de localisation et d'utiliser un réseau privé virtuel (VPN).
Appareils intelligents et médias sociaux
La NSA avertit également que les risques d'être suivi grâce aux informations de localisation ne sont pas exclusifs aux téléphones portables. Les utilisateurs doivent prendre en compte les risques liés à l'utilisation de montres intelligentes, de systèmes de suivi de la condition physique et d'autres dispositifs d'Internet des objets (IoT), même les gadgets, tels que les thermostats intelligents, qui ne quittent pas la maison. Ces conseils sont donnés environ une semaine après que la société Garmin, spécialisée dans les montres intelligentes et les articles vestimentaires, a confirmé avoir été victime d'une attaque par demande de rançon.
« Tout ce qui envoie et reçoit des signaux sans fil présente des risques de localisation similaires à ceux des appareils mobiles. Cela inclut, sans s'y limiter, les appareils de suivi de la condition physique, les montres intelligentes, les dispositifs médicaux intelligents, les dispositifs d'Internet des objets et les communications intégrées aux véhicules. Ces problèmes de sécurité et de respect de la vie privée pourraient amener ces appareils à collecter et à exposer des informations de localisation sensibles sur tous les appareils qui sont entrés dans la gamme des dispositifs IoT. Les informations de géolocalisation contenues dans les données automatiquement synchronisées avec les comptes dans le nuage pourraient également présenter un risque d'exposition des données de localisation », déclare la NSA.
Les utilisateurs doivent également être prudents avec ce qu'ils partagent sur les médias sociaux, car de nombreuses applications peuvent collecter et partager des informations qui révèlent la localisation d'un utilisateur, a averti la NSA, notant que le partage de photos en ligne peut exposer des données de localisation sensibles stockées dans des métadonnées. « De nombreuses applications demandent une autorisation pour la localisation et d'autres ressources qui ne sont pas nécessaires pour le fonctionnement de l'application. Les utilisateurs ayant des préoccupations en matière de localisation doivent être extrêmement prudents lorsqu'ils partagent des informations sur les médias sociaux. Si des erreurs se produisent dans les paramètres de confidentialité sur les sites de médias sociaux, les informations peuvent être exposées à un public plus large que prévu », indique le manuel.
Source : Guide de la NSA
Et vous ?
Que pensez-vous de ces conseils prodigués par la NSA ?
Voir aussi :
La NSA a publié un support de cours sur Python qu'elle utilise pour former ses ingénieurs,après avoir reçu une demande d'un ingénieur logiciel conformément à loi Freedom of Information Act de 1966
Edward Snowden travaille sur un boitier anti-NSA pour iPhone qui avertit l'utilisateur en cas de transmission de données par le smartphone à son insu
La NSA rend disponibles via Open Source Software certains des outils qu'elle a développés en interne, dans le cadre de son programme TTP
Partager