|
|
Vie privée - Technologie - Bluetooth - Appareils sans fil - Chiffres et tendances
télécommunication sans fil
sûreté de l'Etat
protection de la vie privée
espionnage
| 27/10/2021 | Envoi question (Fin du délai de réponse: 25/11/2021) |
| 21/12/2021 | Réponse |
Aussi posée à : question écrite 7-1398
Il ressort d'une étude norvégienne (https://www.hegnes.tech/2021/09/01/location tracking of wifi access point and bluetooth devices/) que les accessoires sans fil sont moins sûrs qu'on ne le pense. Ces accessoires sont notamment des appareils séparés que l'on peut connecter à des smartphones ou des montres connectées. Il s'agit entre autres d'oreillettes sans fil, de casques sans fil, d'enceintes ou d'autres objets semblables qui ont généralement besoin d'une connexion Bluetooth pour se relier aux appareils. Et c'est précisément à ce niveau que de nombreux appareils présentent une faille de sécurité.
L'étude montre que l'on peut suivre les utilisateurs de ces appareils quasiment en continu. Lors d'une expérience menée à Oslo, le chercheur a pu identifier et tracer, en l'espace de 24 heures, 9 149 appareils dotés d'un émetteur Bluetooth. Pas moins de 129 casques sans fil ont même pu être tracés sur une période plus longue que 24 heures (https://nrkbeta.no/2021/09/02/someone could be tracking you through your headphones/).
Si certains appareils numériques peuvent être tracés en continu, c'est parce qu'ils ne modifient pas ou ne peuvent pas modifier leur adresse MAC régulièrement. C'est cette adresse qui rend chaque appareil Bluetooth unique et qui est utilisée pour faire communiquer de tels appareils entre eux.
Le problème de sécurité est encore plus aigu lorsqu'il s'agit de personnes en situation de vulnérabilité (journalistes, informateurs, lanceurs d'alerte, etc.). Il ne suffit pas de changer de numéro de téléphone pour être en sécurité.
En revanche, la plupart des smartphones renouvellent leur adresse MAC régulièrement. Ce changement a fait suite aux révélations d'Edward Snowden. Celui-ci a révélé que la NSA cartographiait les déplacements d'individus en traçant les adresses MAC de leurs smartphones. C'est pourquoi de nombreux smartphones modernes créent une nouvelle adresse MAC à intervalles réguliers afin de garantir la vie privée.
Seuls quelques fabricants d'accessoires sans fil prévoient de telles mesures pour leurs produits. Elles sont pourtant indispensables car en leur absence, le risque pour la sécurité demeure élevé: quelques recherches suffisent pour relier rapidement les appareils à des personnes.
Par ailleurs, il est possible d'acheter en ligne des modules Bluetooth capables d'intercepter les flux de données des appareils Bluetooth.
On accuse souvent les smartphones de mettre en péril notre vie privée mais leurs accessoires sont au moins aussi dangereux.
En ce qui concerne le caractère transversal de la question: les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des quatre prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2016-2019 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une compétence régionale transversale, les Régions intervenant surtout dans le volet préventif.
Je souhaiterais donc poser au ministre les questions suivantes.
1) Dans quelle mesure nos services ont-ils connaissance des problèmes de sécurité liés aux accessoires sans fil? La Sûreté de l'État, le SGRS et la police ont-ils déjà reçu des directives à ce sujet?
2) Dans quelle mesure croyez-vous que certains abusent du Bluetooth pour écouter ou tracer d'autres utilisateurs?
3) Existe-t-il déjà en Belgique des cas connus d'espionnage ou d'abus commis grâce à de tels accessoires? Dans l'affirmative, quel est le nombre de cas connus et en quelles années ont-ils été observés? De quels appareils spécifiques s'agissait-il (marque, type, etc.)? Des tendances se dégagent-elles à ce propos? Dans quels domaines? Où le problème se situait-il? Comment a-t-on pu le résoudre?
4) Le Bluetooth présente-t-il, selon vous, des risques spécifiques?
5) Comment les autorités peuvent-elles réduire ce risque? Comment informer au mieux les utilisateurs à ce sujet? Que peut-on faire personnellement pour réduire ce risque le plus possible?
6) Lorsqu'elles réalisent des mesures, les autorités se basent-elles sur d'autres paramètres que les appels téléphoniques et l'utilisation de smartphones, comme l'utilisation du Bluetooth? S'intéressent-elles aussi à d'autres appareils électroniques (casques sans fil, etc.)?
7) Une réglementation de ces appareils est-elle en préparation? Dans l'affirmative, quelle en est la teneur? Dans la négative, pour quelle raison?
8) Les services de sécurité compétents ont-ils déjà élaboré une contre-stratégie face à ces dangers?
1) Nos services de renseignement savent que les utilisateurs de technologies sans fil (Bluetooth, WiFi, etc.) laissent des traces électromagnétiques. Les traces électromagnétiques créent des vecteurs qui, du moins en théorie, peuvent rendre possibles des activités non désirées comme le traçage. On ne peut toutefois perdre de vue que cette visibilité électromagnétique est inhérente à la technologie. Deux appareils qui tentent d’établir une communication sans fil doivent se trouver et cela nécessite un certain degré d’identification.
Il importe de noter que lorsque l’auteur des articles cités par Monsieur Ongena parle «d’interception» du trafic de données Bluetooth, cela ne signifie pas qu’il a pu voir le contenu de ce trafic de données bluetooth. Il n’a donc pas pu écouter les utilisateurs ou lire ce qui était communiqué. Il a toutefois pu accéder aux données d’identification (des appareils, et non des utilisateurs) nécessaires pour établir la communication.
2) La technologie Bluetooth a naturellement intégré des techniques de sécurisation comme le consentement pour l’appairage, le chiffrement de bout en bout et les sauts de fréquence. Mais l’utilisation irréfléchie de cette technologie peut bel et bien occasionner des problèmes de sécurité. Le risque sur lequel les articles cités attirent l’attention, à savoir l’adresse MAC statique qui est propre à l’appareil et permet le traçage à travers le temps (comme le décrit l’auteur des articles), tend toutefois à disparaître. Les nouveaux appareils et accessoires disposant de la fonctionnalité Bluetooth ont la possibilité de modifier leur adresse MAC, ce qui rend leur traçage beaucoup plus difficile. Par le passé, des accessoires Bluetooth avec des adresses MAC statiques ont encore été vendus afin de garantir la compatibilité avec la norme «Bluetooth classic», désormais obsolète. Les appareils qui suivent cette norme ne sont pas en mesure de maintenir la connexion lorsque l’adresse MAC change et il est donc nécessaire de procéder chaque fois à un nouvel «appairage».
La technique d’interception décrite permet d’intercepter et de sauvegarder des données d’identification d’appareils et d’accessoires fonctionnant avec la technologie Bluetooth, mais l’établissement du lien entre ces données et l’identité des utilisateurs est beaucoup moins évident (sauf si l’utilisateur intègre son propre nom dans le nom public de l’appareil).
Un autre inconvénient lorsque l’on veut tracer Bluetooth est la courte portée. La portée des accessoires est la plupart du temps limitée à quelques mètres. Certains autres appareils, comme les laptops, ont des émetteurs plus puissants et donc une portée un peu plus longue. La portée relativement courte rend difficile le traçage continu des accessoires Bluetooth. Il est nécessaire pour cela de rester à proximité. Dans les articles cités, l’auteur voyait réapparaître un certain nombre d’adresses MAC à différents moments dans ses données. Il a considéré cela comme une possibilité de traçage. Mais s’il veut tracer une adresse MAC spécifique et que cette adresse n’apparaît plus dans ses données après le deuxième passage (wardriving ou recherche de réseau sans fil), où chercher alors?
En résumé: l’utilisation de technologies de communication sans fil laisse des traces dans le spectre électromagnétique qui peuvent éventuellement être exploitées pour le traçage ou l’espionnage. Étant donné la sécurisation intégrée, la courte portée et les mesures d’atténuation possibles (voir question 5), l’exploitation du trafic de données Bluetooth, en tant que méthode isolée, ne suffit probablement pas pour parvenir à un traçage ou un espionnage ciblé et constant. Elle peut toutefois jouer un rôle en tant qu’élément d’une action d’espionnage plus ample utilisant plusieurs méthodes qui s’appuient mutuellement.
3) Les enquêtes menées par la Sûreté de l’État (VSSE) n’ont encore révélé aucun cas d’espionnage au moyen d’accessoires Bluetooth insoupçonnés.
4) Votre question n’est pas tout à fait claire. Si par risques spécifiques vous entendez qu’ils sont propres à Bluetooth et à Bluetooth uniquement, la VSSE n’a pas connaissance de risques spécifiques liés à Bluetooth. La VSSE conseille de faire preuve de la même prudence que lors de l’utilisation d’autres technologies de communication sans fil.
5) Il existe plusieurs stratégies possibles pour limiter le risque que des appareils et accessoires Bluetooth soient utilisés comme vecteurs de traçage et d’espionnage. J’en cite quelques-unes ci-dessous. Toutefois, chacun décide pour soi-même jusqu’où il veut aller, en tenant compte du risque qu’il court et des conséquences éventuelles:
– les accessoires Bluetooth sont souvent utilisés dans un but de confort de l’utilisateur ou esthétique (casque sans fil, souris et clavier sans fil, etc.). On peut choisir d’utiliser ces accessoires sans fil uniquement lorsque c’est vraiment nécessaire. De cette manière, il y a peu ou pas de trafic de données Bluetooth susceptible d’être intercepté;
– pour les appareils tels que les smartphones et les laptops, Bluetooth (ou le WIFI ou tout autre trafic de données sans fil) peut être désactivé lorsqu’il n’est pas nécessaire. Le traçage Bluetooth est alors impossible à ces moments-là. L’objectif n’est pas de bannir Bluetooth, mais de l’utiliser de manière réfléchie. Il en existe assurément de bonnes applications comme l’application Coronalert;
– il est préférable de supprimer les applications non nécessaires des smartphones et ordinateurs. Même lorsque Bluetooth est désactivé, l’appareil reçoit encore passivement du trafic Bluetooth. Des applications peuvent utiliser ce trafic de données, notamment à des fins de localisation;
– les appareils doivent être configurés de manière à ne pas être «détectables» par Bluetooth. D’autres appareils et accessoires ne peuvent alors pas voir votre appareil. N’activez le mode «détectable» que lorsque vous souhaitez «appairer» votre appareil à un autre appareil ou accessoire (puis désactivez-le à nouveau). Si possible, évitez de le faire dans un espace public où de nombreux autres appareils équipés de Bluetooth sont probablement présents (par exemple, si vous achetez un nouveau casque sans fil, il est préférable de ne pas appairer votre smartphone dans le magasin ou dans une rue commerçante très fréquentée, mais plutôt chez vous);
– lorsque la communication avec un appareil ou accessoire donné n’est plus nécessaire, il convient de désactiver l’appairage, par exemple, lorsque vous rapportez un véhicule de location avec lequel vous avez établi une connexion Bluetooth pour pouvoir téléphoner en mains libres en conduisant;
– comme pour tout le matériel ICT, il est très important d’installer au plus vite les patchs de sécurité et d’effectuer les mises à jour. Il est irresponsable de négliger des vulnérabilités connues;
– par prudence, il est également conseillé de ne partager aucune information sensible par connexion Bluetooth;
– enfin, il convient d’être prudent avec les connexions Bluetooth (appairage) que vous autorisez, surtout lorsque vous ne pouvez identifier l’appareil ou l’accessoire ou que vous ne pouvez pas faire confiance à son utilisateur.
6) La Sûreté de l’État ne réalise pas de mesures du trafic téléphonique, Bluetooth ou WIFI.
7) Cette question relève de la compétence de mon collègue, le secrétaire d’État à la Digitalisation. Je vous invite dès lors à lui adresser ce point de la question.
8) La Sûreté de l’État traite cette problématique dans le cadre plus large de l’espionnage (technique), dans le cadre duquel des puissances étrangères peuvent mettre en œuvre un éventail de moyens (techniques) pour accéder à des informations non publiques comme les données de localisation. Étant donné qu’il est particulièrement difficile de détecter ces activités en raison de leur caractère secret, l’accent est mis sur la sensibilisation. La VSSE aborde cette problématique depuis quelques années déjà dans le cadre de ses briefings sur le «contre-espionnage».
Il a été mentionné dans le plan stratégique 2021-2024 que notre service entend s’investir davantage dans la création d’une culture de la sécurité dans notre pays. Pour ce faire, elle redoublera d’efforts dans ses campagnes de sensibilisation pour informer les dirigeants et la société au sujet de la menace d’espionnage sous toutes ses formes, en ce compris les risques liés à l’utilisation de certaines technologies.