Les smartphones sont constamment menacés par des intrusions non désirées, qui peuvent permettre d’accéder aux informations stockées sur l’appareil ou d’y installer un logiciel malveillant. La complexité et la sophistication des smartphones les rendent à la fois vulnérables aux attaques et difficiles à sécuriser de manière absolue.
L’année 2021 a vu l’éclatement du scandale Pegasus, qui a mis en lumière la possibilité d’attaques à distance sur les smartphones. Ces attaques ont été utilisées pour cibler des journalistes, parmi d’autres, pour le compte de gouvernements étrangers. Même Jeff Bezos, le PDG d’Amazon, aurait été la cible d’une attaque à distance sur son smartphone via une simple vidéo envoyée via WhatsApp.
Paradoxalement, l’exploitation de failles de sécurité dans les smartphones destinés aux criminels a aidé les forces de l’ordre à démanteler d’importants réseaux criminels, comme dans le cas de l’affaire EncroChat. Ces exemples mettent en évidence le dilemme entre le besoin d’accéder aux données protégées pour protéger les citoyens, et le besoin de protéger les citoyens contre les abus de cet accès. Faut-il donc augmenter la sécurité des smartphones ou installer des « portes dérobées » pour les forces de l’ordre ?
En France, le code de procédure pénale et le code de la sécurité intérieure autorisent les services de police judiciaire et les services de renseignement à capter les données informatiques sur les smartphones, sans que l’utilisateur en soit informé.
Depuis la loi du 23 mars 2019, il est même possible d’utiliser des moyens de l’État pour enregistrer, conserver ou transmettre les données stockées sur le smartphone de quelqu’un. L’État peut également faire appel à des experts pour pénétrer dans ces systèmes.
En 2023, le gouvernement a essayé d’augmenter les pouvoirs de la police en insérant dans le projet de loi une disposition permettant d’activer à distance les appareils électroniques, comme les smartphones, sans le consentement de leur propriétaire, pour les localiser en temps réel, activer le micro ou la caméra et récupérer les enregistrements.
Cette disposition a été en partie censurée par le Conseil constitutionnel, qui a jugé que l’activation à distance du micro ou de la caméra d’un smartphone porte une atteinte disproportionnée au droit au respect de la vie privée. Seule la possibilité de géolocaliser en temps réel une personne grâce à l’activation à distance de son smartphone a été jugée conforme à la Constitution.
Techniquement, on peut pénétrer dans un smartphone en exploitant ses « vulnérabilités », c’est-à-dire en utilisant les failles existantes au niveau matériel ou logiciel. L’exploitation de ces vulnérabilités est devenue de plus en plus complexe, avec des attaques pouvant être effectuées à distance, via le réseau, ou directement sur le smartphone si celui-ci est physiquement accessible.
La sécurité des smartphones doit-elle être renforcée ou faut-il prévoir des « portes dérobées » ? Au cours des dix dernières années, le niveau de sécurité a considérablement augmenté. Les opérateurs privés ont mis en place de nombreuses mesures techniques pour assurer un niveau de sécurité de plus en plus élevé. Cependant, il est impossible de garantir une sécurité à 100% pour les systèmes complexes, en partie à cause du facteur humain.
