Quatre smartphones anti-surveillance au banc d’essai

Dans tout bon film de science-fiction, les humains du futur ont un implant ou un code-barres tatoué sur la nuque, qui permet à un État orwellien de les surveiller. Mais peut-être les scénaristes n’ont-ils pas vu juste. Au lieu d’une dictature à la 1984, notre présent ressemble de plus en plus à celui du Meilleur des mondes. Pas besoin de nous implanter des mouchards, nous faisons nous-mêmes la queue pour en acheter de nouveaux, à chaque fois plus performants, quitte à les payer à crédit.

Le smartphone est aujourd’hui un objet intime. Un véritable ordinateur qui nous accompagne partout et qui aspire toutes nos données personnelles : coordonnées bancaires, relations sociales, position GPS, goûts musicaux, correspondance, données biométriques et médicales… Avec ses six caméras, le Fire Phone d’Amazon scrute votre visage pour produire des images en 3D. Le Samsung Galaxy S6 capte votre rythme cardiaque. Le Google Ara pourra accueillir des capteurs médicaux analysant votre glycémie ou l’oxygénation de votre sang.

À quoi servent ces données ? À nous proposer des services toujours plus efficaces, plus personnalisés. Qui en dispose ? C’est là que les choses s’obscurcissent. Car une fois que ses données sont émises par le smartphone, l’usager n’en a plus le contrôle. Peu de solutions existent pour y remédier. Si l’affaire Snowden a mis en lumière l’espionnage généralisé de la NSA, rares sont les citoyens et les responsables politiques qui se préoccupent de celui qu’opèrent les entreprises du web.
 

C’est sur ces données que Google, Apple, Facebook, Amazon, Microsoft (les GAFAM) ont assis leur toute-puissance. Car dans cette économie de la « pseudo-gratuité », les services de cloud, de messagerie instantanée, les moteurs de recherche, les boîtes e-mail et les applications de cartographie ne nous sont pas fournies gracieusement. Les données que nous leur transmettons valent de l’or : 125 milliards de dollars (116 milliards d’euros) en 2015 selon l’International Data Corporation.

Ce butin est jalousement protégé. Les logiciels des GAFAM étant propriétaires, il est impossible d’en vérifier le fonctionnement en analysant le code source, contrairement aux logiciels open source, qui rendent ce code disponible. C’est d’autant plus inquiétant que ces entreprises, implantées aux États-Unis, sont tenues de fournir vos données au gouvernement américain si ce dernier le désire.

Et avec la multiplication des capteurs embarqués, l’appétit de notre petite machine ne cesse d’augmenter. À la fin de 2014, une étude menée par la CNIL, sur 189 applications fonctionnant sous Android et iOS a révélé la fréquence à laquelle elles communiquent nos données. Une célèbre « application de réseau social » a ainsi transmis 150 000 fois en trois mois la localisation de l’un des chercheurs. Un accès par minute en moyenne ! Un innocent petit jeu y a eu accès 3000 fois sur la même période. Entre 50 % et 60 % des applications ont obtenu le numéro de série du téléphone, ce qui ne devrait pas être le cas.
 

« Quelle importance, puisque je n’ai rien à me reprocher ?  » se diront certains. Mais souhaitent-ils que leur assureur ait accès à leurs données de santé ? Nos informations étant revendues sur des marchés parallèles à l’étranger, il est impossible de savoir qui possède quelle information, ni même si cette information est correcte.

En 2011, le Washington Post a rapporté le cas de Catherine Taylor, une habitante de l’Arkansas à qui l’on avait refusé un crédit, puis un emploi à la Croix-Rouge, après qu’elle avait été listée par erreur comme ex-accro à la méthamphétamine. Il lui a fallu des années de procès et de réclamations pour parvenir à faire « nettoyer » ces informations erronées et retrouver un job.

Autre risque : le vol. En 2014, le « celebrity gate » a éclaté lorsqu’un groupe de hackeurs a dérobé et mis en ligne les photos dénudées de 200 stars américaines. Des images qui avaient été automatiquement stockées sur iCloud. En général, les développeurs d’applis allouent très peu de moyens à la sécurité : seulement 5,5 % de leur budget, selon l’institut Ponemon.

Beaucoup n’y investissent pas un centime. C’est le cas du fabricant de smartphones HTC, sanctionné en 2013 par la Federal Trade Commission (FTC) – l’agence gouvernementale américaine chargée du commerce – pour les nombreuses failles de sécurité de son interface HTC Sense et son absence totale d’équipe chargée de la sécurité.
 

 Alors, comment se protéger ? En délaissant les systèmes propriétaires au profit des systèmes open source, transparents et sécurisés. Plusieurs sont apparus depuis deux ans. D’abord des variantes d’Android expurgées des logiciels propriétaires de Google : PrivatOS, CyanogenMod, Replicant et bientôt le français Uhuru. Mais aussi de nouveaux systèmes indépendants, tels Firefox OS et Ubuntu Touch. Autant d’alternatives que We Demain a testées. Et si vous cherchez des alternatives à Google Maps, Instagram ou Facebook, il existe de nombreuses applications « libres » dans des annuaires tels que Libérez votre Android, Dégooglisons Internet et Prism Break.
 

Ultrasécurisé, ce téléphone est l’œuvre de l’entreprise américaine Silent Circle, connue pour le cryptage infaillible de ses services de communication. À tel point qu’elle a dû déménager en Suisse après l’affaire Snowden. Fonctionnant sous PrivatOS, un système basé sur Android, il intègre une suite logicielle cryptée à la place des « services Google ». Pour se le procurer, il faut débourser 629 dollars (585 euros), sans compter l’abonnement mensuel (une dizaine d’euros) à ses services cryptés – après une première année gratuite. Un « must » pour qui veut téléphoner et naviguer masqué. Ironie de l’histoire, le Pentagone en aurait récemment équipé plusieurs de ses fonctionnaires. Ses détracteurs relèvent qu’il n’est pas 100 % open source, que les données – même cryptées – de ses utilisateurs transitent par les serveurs de l’entreprise ; et qu’il est impossible d’installer des logiciels extérieurs à son magasin d’applications.

AVANTAGES : une solution de sécurité complète, avec une suite de logiciels qui garantissent des communications sécurisées.
INCONVÉNIENTS : son prix, mais aussi son fonctionnement centralisé.
 

Si vous possédez déjà un téléphone sous Android, il est possible d’y installer une variante sécurisée (un fork). La plus célèbre est Cyanogenmod, une version épurée d’Android, sans les « services Google » et utilisant (autant que possible) l’open source. Une version encore plus sécurisée se nomme Replicant : tout y est open source, quitte à se passer de certaines fonctions propriétaires, comme le Wi-Fi. À Google Play se substitue F-Droid, un magasin d’applications certifiées « libres et respectueuses de la vie privée ». Au menu : SMS cryptés, photos garanties « sans métadonnées », voire floutage automatique des visages ! Seule limite : ces deux solutions logicielles restent dépendantes des appareils qui les abritent. En 2014, l’équipe de Replicant a découvert une « porte dérobée », dans le modem de certains téléphones (Galaxy S, S2, S3 et Nexus S), qui rendait possible l’interception des communications et même la modification des fichiers de la carte mémoire.

AVANTAGES : gratuits et personnalisables, ces deux OS compatibles avec de nombreux téléphones améliorent aussi l’autonomie de la batterie.
INCONVÉNIENTS : leur installation requiert une certaine maîtrise technique, que l’on palliera en consultant l’un des nombreux tutoriels en ligne.
 

Connue pour son navigateur web, la Fondation Mozilla s’est lancée dans le monde du téléphone portable avec FirefoxOs. Adapté à des téléphones aux performances modestes, ce système d’exploitation ambitionne d’équiper les 4 milliards d’humains qui n’ont pas accès à Internet. Mais c’est aussi un système bien sécurisé. Son architecture empêche toute fuite entre les données du téléphone et les applications. Ces dernières utilisent le même code open source que celui des pages web (HTML 5) et sont donc lisibles sur les autres systèmes. On regrettera l’absence d’application de cryptage. Mais si vous n’avez pas de compétences particulières en informatique et cherchez un téléphone fiable, c’est le modèle qu’il vous faut.

AVANTAGES : facile d’utilisation et réactif, Firefox OS fonctionne sur des téléphones d’entrée de gamme.
INCONVÉNIENTS : en France, un seul téléphone fonctionne sous cet OS, le ZTE Open C, vendu environ 80 euros. Absence d’outil de cryptage. Peu de personnalisation.
 

Ubuntu, c’est d’abord la version de Linux la plus populaire au monde – elle équipe plus de 25 millions de PC. C’est maintenant un système d’exploitation mobile que l’on peut installer sur son Samsung Galaxy ou son Google Nexus. On le trouve préinstallé sur le BQ Aquaris E4.5, disponible depuis mars (169,90 euros). Si Ubuntu pèche encore par un faible nombre d’applications, il sera bientôt compatible avec le très sécurisé catalogue Linux. Tout comme Firefox OS, il utilise des langages ouverts et empêche les fuites de données. Sauf qu’ici, ce sont les smartphones de milieu de gamme qui sont visés, ce qui assure des photos de qualité et l’accès à la 4G.

AVANTAGES : une interface originale, qui permet de gérer facilement ses flux et comptes de messagerie. Développé par une vaste communauté, ce système d’exploitation est personnalisable.
INCONVÉNIENTS : encore jeune, Ubuntu Touch pèche par ses nombreux bugs et un catalogue encore limité en sécurité.

Jean-Jacques Valette
Journaliste à We Demain
@ValetteJJ