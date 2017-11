« La seule chose qu'on peut faire, c'est de ne pas utiliser les textos ni les appels téléphoniques pour des informations sensibles », constate José Fernandez, professeur agrégé au Département de génie informatique et génie logiciel à Polytechnique Montréal.

Des tests effectués pour le compte de l'émission Enquête ont démontré des brèches majeures dans la sécurité des principaux réseaux de téléphonie mobile au Canada. Les fournisseurs de services téléphoniques utilisent le Système de signalisation numéro 7 (SS7), qui connecte entre eux les réseaux de téléphonie mobile de la planète, y compris ceux des fournisseurs canadiens.

Selon l'enquête de Radio-Canada, un malfaiteur ayant obtenu un accès au SS7 peut détourner des communications et les intercepter. Une fois dans le système, une personne peut accéder à n'importe quel réseau mobile de la planète, s'il est mal sécurisé.

Le système de trafic téléphonique SS7, développé dans les années 1970, est « vulnérable », affirme José Fernandez en entrevue à l'émission Midi Info.

Je ne peux pas entrer [comme utilisateur] dans leur système [des principaux réseaux de téléphonie mobile] pour "patcher" les vulnérabilités. Ça serait illégal. José Fernandez, professeur agrégé à Polytechnique Montréal

Le professeur Fernandez suggère plutôt de passer par des applications mobiles gratuites comme WhatsApp, Signal ou ChatSecure, qui permettent le chiffrement des données, pour protéger le contenu des conversations et des messages textes, c'est-à-dire de les rendre secrets.

« Ceci n'empêche pas cependant que ces compagnies puissent savoir qui vous avez appelé. [...] Les [fournisseurs de services téléphoniques] vont continuer à savoir où est-ce que vous étiez lorsque vous avez fait cette communication », prévient-il.

Pour ce qui est de la géolocalisation des cellulaires, « il n'y a pas grande chose à faire. Ce n'est pas un problème avec nos téléphones, c'est un problème avec les systèmes des compagnies téléphoniques », tranche le professeur Fernandez.

Il ajoute que la sécurité des applications mobiles comme WhatsApp et Signal repose sur la sécurité des plateformes mobiles et des cellulaires eux-mêmes. Elle a donc aussi des limites, selon lui.

Si quelqu'un a pu insérer un logiciel malveillant sur votre téléphone, il n'y a plus rien à faire. José Fernandez, professeur agrégé à Polytechnique Montréal

Le consultant en cybersécurité Steve Waterhouse précise que les appels faits sur des téléphones résidentiels sans fil peuvent aussi être interceptés.

Vers une intervention?

José Fernandez et Steve Waterhouse s'entendent pour dire que le gouvernement et les entreprises doivent agir pour remédier à cette situation.

M. Waterhouse émet cependant un bémol. « Dans le monde technique des télécommunications, ce n'est pas chose facile [d']être capable de rencontrer une sécurité optimum », affirme-t-il. Le consultant en cybersécurité croit toutefois que les compagnies devraient trouver une solution prochainement.

José Fernandez estime qu’il est possible d’apporter des modifications au SS7 pour le rendre plus sûr, mais il reconnaît qu'il n'y a pas de contrainte économique ou politique qui force les compagnies à intervenir. « Il n’y a pas de perte économique relié à ça [sécurité] pour eux en ce moment », conclut-il.

Selon lui, le Canada devrait adopter une loi pour exiger que les fournisseurs sécurisent le contenu des appels et des textos. « Le précédent législatif de forcer les compagnies à faire quelque chose qu'elles ne veulent pas faire est déjà là. Quand c'était l'interception par les corps policiers [avec la loi antiterroriste que veut modifier le gouvernement Trudeau], on est allé de l'avant, mais pourquoi on ne pourrait pas le faire maintenant pour protéger les citoyens d'une interception illégale, même pas par des corps policiers, mais par des criminels avec très peu de moyens? » illustre-t-il.