D’aucuns pensaient naïvement que leurs échanges sur WhatsApp et Signal étaient bien protégés grâce au chiffrement de bout en bout. Une nouvelle menace vient ébranler cette conviction. Des pirates informatiques ont mis au point une méthode originale pour lire les messages sans avoir à casser les codes de sécurité de ces applications…
Plutôt que de s’attaquer directement aux messages chiffrés, ces logiciels malveillants s’en prennent à l’affichage de l’écran. Une fois votre appareil compromis, ils capturent le texte au moment où vous le lisez, déjouant ainsi les systèmes de sécurité, selon cet article, notamment cité par Forbes.
Une faille gênante
Cette technique exploite souvent différents services d’accessibilité du système d’exploitation, conçus à l’origine pour aider les personnes handicapées. Le logiciel espion enregistre ce qui passe sur la dalle du smartphone, des messages confidentiels aux identifiants bancaires, contournant ainsi les différents systèmes de sécurité.
L’agence américaine de cybersécurité a récemment tiré la sonnette d’alarme en soulignant que ces attaques semblent surtout viser des célébrités ou des politiciens. Cette méthode prouve encore une fois qu’aucune application ne peut résister si l’appareil lui-même est infecté par un cheval de Troie, comme Sturnus, par exemple.
Restons prudents!
Face à cette menace, la mise à jour de son système d’exploitation reste une précaution nécessaire. On ne le dira jamais assez, mais il est fondamental de n’installer que des programmes provenant des boutiques officielles. Il peut aussi être utile de lire attentivement les permissions accordées aux applications.
En guise de conclusion, je constate encore une fois que la sécurité est une chimère dans le monde numérique. Seconde après seconde, nous devons rester sur nos gardes. Et aujourd’hui, avec l’intelligence artificielle, qui permet de générer des contenus plus vrais que nature, les choses se corsent encore!
Bonne chance!
Xavier Studer
En savoir plus sur Le blog high-tech & telecom de Xavier Studer
Subscribe to get the latest posts sent to your email.
Je trouve que le titre est quelque peu racoleur, car ce n’est pas le chiffrement lui-même qui a été contourné, cassé, simplement les notifications qui peuvent être détournées par des logiciels malveillants, comme vous l’expliquez ensuite dans l’article. La situation n’est pas propre à ces messageries d’ailleurs.
L’UE veut imposer un règlement pour contrôler tous ses utilisateurs sur le messagerie. Il s’agit du projet Child Sexual Abuse Regulation, CSAR, que les opposants appellent ChatControl.
Actuellement, la police peut déjà avoir accès au message sur les messageries. Mais, il faut que le pouvoir judiciaire (un procureur par exemple) donne son accord. Dans le projet européen. ce sera automatique et l’UE surveillera tout le monde. On part du principe que tout le monde est suspect, ce qui met nos démocraties et nos libertés en danger.
Bien sûr, ce projet suscite heureusement bcp d’oppositions. Des Etats de l’UE sont opposés. Il existe une des mouvements d’opposition chez les citoyens et dans les milieux économique. Même les milieux scientifiques sont opposés à ce texte, car il le juge inefficace et des dérives sont possibles.
Des entreprises comme Proton ou Threema menacent, à juste titre selon moi, de quitter le marché européen si une telle loi passe.
https://www.rts.ch/info/monde/2025/article/chat-control-l-ue-va-t-elle-vraiment-scanner-nos-messages-prives-29016042.html
Le projet de loi de l’UE fait penser à cette faille de sécurité.
Les conseils de sécurité de Xavier sont très bons. J’ajouterais qu’il faut éviter de télécharger n’importe quoi sur les stores. Certains jeux ou applis (comme celles pour envoyer des cartes de vœux) sont parfois remplies de logiciels indésirables. Au mieux, vous aurez de la pub. Au pire, selon les permissions, elles peuvent accéder à vos contacts, photos, fichiers, caméra ou micro.
.
Dès que vous donnez une permission, l’appli peut l’utiliser. Les grandes plateformes (Facebook, Proton, etc.) ne vont pas faire d’actions illégales, mais une appli douteuse, oui. Téléchargez donc uniquement des applis de sources sûres : médias connus, grandes entreprises tech, assurances, banques… Pour la sécurité, utilisez de préférence les applis déjà installées sur votre smartphone.
.
Concernant les logiciels espions : ils ne peuvent fonctionner que si l’utilisateur donne des permissions spéciales (comme l’accès « root »). Par défaut, des applis comme Twint ou PostFinance bloquent les captures d’écran. Une appli malveillante ne peut donc pas lire vos données bancaires sans permissions avancées. De plus, ces applis malveillantes ne sont pas dans le Play Store : il faut activer manuellement l’installation depuis des sources inconnues.
.
Pour les opérations bancaires, utilisez toujours les applis officielles de votre banque. Ne donnez jamais de permissions pour installer des applis venant de sources inconnues. Évitez aussi les téléchargements douteux sur les stores. Avec ces trois règles, vous évitez 99,9 % des risques.
.
Attention aussi aux QR codes. Sur les factures, scannez-les uniquement avec votre appli bancaire. N’utilisez pas d’appli QR code tierce ou l’appareil photo. Même chose pour les QR codes Twint : scannez-les seulement avec Twint. Si le QR code est frauduleux, les applis officielles vous protègent.
La sécurité globale du parc de téléphones Android est désastreuse… Le système Android typique, c’est le Windows XP des années 2010…
En ce saint Black Friday, je pense à tous ces téléphones vendus qui sont déjà des passoires, et le seront encore plus demain.
Combien des téléphones actuellement en utilisation pourront-ils recevoir une potentielle mise à jour contre ce genre de menace ?
À Ludo : J’ajouterais que dans certains cas, c’est même mieux de changer de banque ! Postfinance conseille d’abaisser la sécurité globale d’un Pixel tournant sur GrapheneOS afin de pouvoir utiliser leur truc !
en fiat, la sécurité informatique est bien possible, mais elle requiert une bonne instruction ad hoc… exprimé autrement: elle n’est pas une science infuse (désolé…).
*****
ne pas oublier un principe: plus l’écran utilisé est petit, moins vous avez d’informations affichées simultanément à l’image et plus les chances de se faire avoir sont grandes… ceci d’autant plus que la principale « méthode d’interaction » est l’écran lui-même sur les Natel intelligents.
*****
passer par la fenêtre alors que la porte est blindée?
rien de bien nouveau dans le monde des êtres humains.
Cette faille ne concerne pas iOS