Le nouveau Blackberry DTEK60 - Une épée de sécurité à double tranchant
26/10/2016
Traduction: traduction automatique
Blackberry s'est réinventé. Le DTEK60 est censé être le smartphone le plus sûr au monde tout en offrant le confort des distributions Android normales. Un essai le montre : Le téléphone n'est pas fait pour les puristes de la sécurité, mais c'est un signe fort pour la sécurité.
Cela fait maintenant 51 minutes que je fixe l'écran du Blackberry DTEK60. Je ne peux pas travailler avec, car l'appareil est en train d'optimiser la cinquième des six applications après la deuxième mise à jour du système d'exploitation. Toute cette mise à jour a consommé 30% de ma batterie, la première recommandation est donc de la recharger avant même de faire des réglages : Recharger complètement la batterie. Car à la fin de toutes les mises à jour, installations et réglages, il reste encore 39% de batterie.
La promesse : sécurité et confort
Un jour, un préjugé s'est installé dans l'esprit des gens, selon lequel la sécurité est toujours inconfortable, pénible et compliquée. C'est à moitié compréhensible si les mots de passe doivent désormais comporter au moins huit caractères, un chiffre et un caractère spécial, et être modifiés à chaque fois que la pleine lune tombe un mercredi où un clown tousse 15 fois. Sur les appareils mobiles, il y a ensuite les codes PIN et le déverrouillage par pattern, qui ne doivent si possible pas être 2-5-8-0 ou un S. Bref, si vous prenez la sécurité au sérieux, vous réfléchissez beaucoup et vous vous retrouvez avec un appareil mobile bien plus pénible à utiliser que le dernier Galaxy ou iPhone.
Blackberry veut maintenant changer cela. La stratégie consistant à se lancer dans la voie du Secure Phone n'est pas fortuite, car l'entreprise est connue pour être en difficulté depuis la chute de popularité provoquée par le lancement de l'iPhone en 2007 et le licenciement massif de 2000 employés en 2011. Mais cela ne veut pas dire que BlackberryLimited s'efforce en vain. Car les appareils mobiles sécurisés sont nécessaires.
Le DTEK60 promet beaucoup de sécurité:
- Gestionnaire de mots de passe intégré
- Meilleure gestion de l'octroi des autorisations
- Disque dur crypté
- Surveillance des apps sur l'appareil et avertissement si elles font quelque chose d'inhabituel, comme prendre des photos ou des vidéos sans y être invitées.
- Promesse de réagir rapidement aux failles de sécurité et de déployer rapidement des correctifs
En outre, BlackBerry promet également que la sécurité est simple.
Premières inquiétudes lors de la configuration Basic
Le BlackBerry DTEK60 fonctionne sous Android. Les développeurs de BlackBerry n'ont que peu modifié le système Android standard publié par Google. Cela peut être dû à des raisons autres qu'esthétiques. Quelques modifications du stock Android peuvent réduire considérablement le temps de réaction lorsqu'une mise à jour doit être poussée. Cela peut être le cas lorsqu'il y a une faille de sécurité comme Stagefright, qui n'a pas encore été corrigée sur de nombreux appareils Android.
Mais les fans de la vie privée, souvent opposés au big data, risquent de s'offusquer rien que des premières étapes. Avant même que l'environnement de sécurité du BlackBerry ne se lance, Android demande s'il peut avoir accès à la localisation et envoyer des données de diagnostic à Google. Oui, chers développeurs, publicitaires et décideurs, cela fait aussi partie de la vie privée. Ce n'est pas parce que Google est The Devil You Know, c'est-à-dire le mal connu, que l'on peut lui faire confiance sans condition dans le contexte de la sécurité et de la vie privée.
Il est certes possible d'empêcher l'intégration avec Google par défaut dans les distributions Android, mais cela se ferait alors probablement au détriment du temps de réaction lors des mises à jour. Heureusement, Google essaie d'offrir une solution aux personnes soucieuses de leur vie privée et il est donc possible de cocher et de décocher des cases. Cela permet d'intercepter certaines choses. Mais si vous vous contentez de cliquer sur "Oui", "Suivant" et "Accepté" lors de l'installation de base, sans lire ce que l'appareil demande, vous risquez de violer vos propres normes.
La note de sécurité est excellente ? Nous pouvons y remédier
L'appareil dispose d'une application appelée DTEK. Elle mesure le niveau de sécurité de la configuration actuelle. Le mien m'indique "Fair" pendant le tour de l'application. Mon DTEK60 est donc "moyennement sûr, à peu près". Peu après, c'est-à-dire après la tournée, l'application jette un deuxième coup d'œil à mon système et me dit que la sécurité est excellente.
Challenge accepté. Voyons comment je peux manipuler cette notation. Je ne sais pas encore comment faire exactement. Car même si l'application DTEK documente proprement les facteurs qu'elle surveille et mesure, elle ne me dit évidemment pas comment les influencer. Je vais donc simplement installer toutes les applications que j'ai sur mon ancien Samsung Galaxy S5. Cette notation peut certainement m'entraîner dans des cauchemars pour la vie privée comme Facebook ou Google+.
Lors du processus d'installation de l'application, je remarque que je n'ai pas besoin de saisir mon code PIN lorsque l'écran s'éteint. Si je suis un sceptique déclaré des applications, l'installation de mes 91 applications prend environ 15 minutes. Pendant ce temps, je ne fixerais pas obligatoirement mon appareil mobile à l'heure actuelle si je ne devais pas le tester sous toutes les coutures. Cela laisse suffisamment de temps à un attaquant pour s'attaquer au DTEK60. Cela doit être fait séparément dans les paramètres du téléphone, car le système ne se verrouille que si l'utilisateur le demande explicitement. Par défaut, la minuterie de verrouillage est réglée sur "Jamais". La sécurité out-of-the-box est différente.
Avec les lanceurs de données installés, je vérifie à nouveau DTEK, l'application. La note est toujours "Excellent". C'est étrange. Un second coup d'œil révèle ce que l'application DTEK surveille :
Le principe des plus petites autorisations possibles en pratique
Les fonctionnalités de sécurité de la version Android de BlackBerry deviennent intéressantes et surtout évidentes à l'usage. En principe, le logiciel bloque tous les accès de tout à tout. L'application Mail ne peut pas accéder par défaut à la galerie d'images, ni aux contacts. Ces autorisations doivent être accordées manuellement et peuvent être retirées à l'application à tout moment, quel que soit le sens que cela a dans le contexte du fonctionnement de l'appareil.
C'est là que la sécurité et la commodité se rencontrent durement. Bien sûr, je veux que WhatsApp puisse accéder à mes contacts, car la dernière fois que j'ai mémorisé un numéro de téléphone, c'était il y a environ dix ans. Je me souviens encore du numéro aujourd'hui, mais je ne sais pas vraiment pourquoi je devrais envoyer un message WhatsApp au type de l'époque.
Cependant, ce réglage, le retrait par défaut de toutes les autorisations, est une étape importante sur la voie de la sécurité, car l'effet principal n'est pas que les utilisateurs sont ainsi plus en sécurité, mais qu'ils sont obligés de faire face aux tentacules de la fronde des données sur leur téléphone. Ils voient de leurs propres yeux quelles données Faceboook, WhatsApp et autres veulent consulter et utiliser. Les utilisateurs sont délibérément placés dans la position où ils doivent décider quelle application a le droit de faire quoi et reçoivent ainsi en échange environ trois secondes de travail et quelques réflexions sur la sécurité Awareness.
La communication unifiée sécurisée, un argument de vente discutable
L'environnement Android DTEK se vante également de permettre les communications unifiées. Le BlackBerry Hub - appelé simplement Hub dans le système - rassemble toutes les lignes de communication entrantes et sortantes du téléphone et les unifie sur un seul écran.
Facebook Messenger, Hangouts et autres ne sont pas affichés dans le Hub, ce qui rend l'application en quelque sorte inutile. D'autant plus que les produits de Google - Inbox by Gmail et Gmail - ainsi que Microsoft Outlook offrent à première vue des applications plus claires. C'est pourquoi le BlackBerry Hub aura du mal à s'imposer comme une solution à la confusion des applications. Et soyons honnêtes, un appareil mobile est suffisant en termes de communications unifiées. Nous n'avons pas besoin d'applications qui agrègent des applications.
Définitivement un téléphone Android
Sous le capot, le DTEK60 n'offre rien de second ordre ni de spectaculaire. C'est un appareil mobile solide qui se situe dans la moyenne. Il n'a pas l'air de vouloir devenir le tueur de l'iPhone. Et il ne joue pas non plus dans la troisième division des téléphones Android.
L'utilisation est simple, à l'exception des autorisations qui doivent être accordées séparément pour chaque application. Android, tout simplement. Haussement d'épaules.
L'appareil photo laisse un peu à désirer. Avec le stagiaire de la rédaction comme modèle photo involontaire, il s'avère que l'appareil photo ne supporte pas du tout le contre-jour. L'appareil photo de 21 mégapixels réagit rapidement, prend des clichés comme Lucky Luke tire de la hanche. Si vous aimez le brouillard pseudo-mélancolique involontairement comique sous une lumière manifestement artificielle, le DTEK60 est fait pour vous. Mais en plein jour, l'appareil photo fonctionne comme le reste du téléphone : de manière fiable, rapide et propre.
Le temps de réponse de l'appareil est solide. Je n'ai jamais eu à attendre quoi que ce soit et si le design de l'appareil est discret, son utilisation l'est tout autant. Je n'ai été ni étonné ni en colère. Le DTEK60 fonctionne simplement et fait bien son travail. C'est tout ce que j'attends d'un smartphone.
Conclusion et réponses aux questions du début
Le DTEK60 est-il le smartphone le plus sûr de tous les temps ? Non, définitivement pas. J'ose même dire qu'à l'exception de l'application DTEK, la distro Android du DTEK est identique à celle du stock Android. Le discours sur le "smartphone le plus sûr de tous les temps" n'est probablement que du blabla marketing. Certes, la désormais célèbre faille Stagefright a été corrigée, comme le montre un petit essai, mais pour le reste, le DTEK60 semble aussi sûr que n'importe quel autre smartphone. Cela me choque particulièrement, car la sécurité est vraiment quelque chose qui devrait être pris plus au sérieux par les utilisateurs de smartphones. Le DTEK60 aurait pu être l'occasion idéale, mais il n'en profite pas, à une exception notable près.
En attendant, les applications du Play Store offrent un meilleur cryptage - ou du moins un cryptage explicitement mentionné - que toutes les applications que j'ai trouvées sur le DTEK60 :
- SMS : Signal
- Téléphonie : aussi Signal
- Chat : WhatsApp est End-to-End encrypted depuis avril 2016, même si Signal a aussi toutes les fonctionnalités de WhatsApp
Les fonctionnalités de sécurité sont purement cosmétiques, à l'exception de la mise en œuvre du principe du moindre privilège - c'est-à-dire que toutes les autorisations doivent être accordées manuellement. Même le nombre absurdement élevé de pièges à données et de cauchemars de confidentialité installés à des fins de test n'a pas empêché l'application DTEK d'affirmer avec autosatisfaction que le niveau de sécurité est "Excellent".
On cherche en vain de nouvelles possibilités de verrouillage. Code PIN, empreinte digitale ou motif. C'est tout. Ce n'est pas très confortable, la gestion des privilèges de l'application non plus, car toutes les informations manquent et j'ai passé environ trois minutes à essayer d'afficher dans WhatsApp les noms des personnes impliquées dans le groupe de discussion.
Dans l'ensemble, le DTEK60 peut être décrit comme suit : "Mol mol, is es Smartphone. On peut le faire comme ça."
Photo d’en-tête : Le Blackberry DTEK60 se vante certainement, mais n'est évidemment pas beaucoup plus sûr que les autres téléphones Android
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
21 commentaires
later