Sortez couvert, jetez votre smartphone

Tout le monde se doute bien que nos smartphones peuvent être vulnérables aux cyberattaques, mais pas à quel point. Les vecteurs d’attaques sont nombreux, à la fois sur le terminal, son système d’exploitation, ses applications et fonctionnalités, mais aussi les réseaux mobiles. L’ANSSI dresse un panorama de la menace.

L’ANSSI commence par dresser un rapide portrait, rappelant que depuis trois ans elle doit intervenir de plus en plus souvent sur des téléphones compromis à des fins d’espionnage : « des attaquants s’appuient sur les réseaux mobiles, le Wi-Fi, le Bluetooth ou encore le NFC, qui présentent de nombreuses faiblesses, afin d’intercepter les informations échangées, voire d’en altérer les données pour déployer des logiciels espions. Il arrive aussi que des vulnérabilités jour-zéro soient présentes dans le système d’exploitation et que les applications soient utilisées pour infecter les téléphones sans aucune interaction des utilisateurs ».

L’Agence précise que les attaques sont toujours plus sophistiquées, furtives et arrivent à rester invisibles des solutions de détection, compliquant les investigations. Depuis 2024, la France et d’autres pays (dont les États-Unis, mais pas la Chine) sont engagés dans le Processus de Pall Mall pour « lutter contre la prolifération et l’usage irresponsable des capacités d’intrusion cyber disponibles sur le marché ». Un code de bonnes pratiques a été mis en ligne (pdf, 12 pages)… pas sûr que cette initiative réunisse l’ensemble des pays et qu’elle arrive donc à son but.

Face aux risques cyber, tout le monde est concerné

Il y a une dizaine de jours, Amazon a changé le nom de son projet Kuiper en Leo, en référence à l’orbite basse sur laquelle évoluent ses satellites (« low earth orbit » en anglais). Cet été, l’Arcep donnait le feu vert à Amazon pour déployer son service d’accès à Internet par satellite en France.

• Internet par satellite : l’Arcep donne enfin le feu vert à Amazon Kuiper

Des concurrents de Kuiper n’étaient pas spécialement ravis de cette décision. Ce n’étaient pas les seuls. Le syndicat CFE-CGC d’Orange avait déposé un recours gracieux auprès de l’Arcep, qui est visiblement resté lettre morte. Elle passe la seconde avec le Conseil d’État :

« En l’absence de réponse, suite à son recours gracieux, le syndicat CFE-CGC Télécoms, représentant les personnels du secteur des télécommunications, a décidé de déposer un recours en annulation devant le Conseil d’État, à l’encontre de la décision de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) ayant attribué des fréquences à Amazon Kuiper ».

Le syndicat sonne la charge contre l’Arcep, accusée de pas avoir « pris la mesure de la menace que représentent Amazon Kuiper sur l’équilibre du marché français des télécoms et qu’elle a ignoré les impacts en termes de souveraineté et d’emploi qu’aurait cette autorisation si elle était confirmée ». « Ne rien demander aux acteurs américains et laisser peser sur les opérateurs français taxes et obligations nous semble en effet irresponsable », affirment en chœur les président et vice-président du syndicat.

La CFE-CGC regrette au passage que l’Arcep n’ait pas encore formulé de « doctrine claire sur la souveraineté des communications satellitaires ni sur l’intégration de ces technologies dans la continuité du réseau national ». En Europe nous avons aussi des constellations avec IRIS² et OneWeb.

• Constellations de satellites : « il n’y a que six places » dans la course mondiale

Le syndicat affirme que les constellations « bénéficient d’un avantage fondamental » car elles ne sont notamment pas soumises « aux mêmes couts d’achats des licences ou des fréquences, aux mêmes autres obligations fiscales (non-soumission à l’IFER, à l’IS ou à la TVA) et réglementaires du fait de leur implantation géographique tout ou partie hors du territoire national ».

Au Conseil d’État, la CFE-CGC en rajoute une couche sur la question « ignorée » de l’impact environnemental, ainsi que celle de la concurrence et de la régulation. Elle demande une nouvelle consultation publique et la saisine de l’Autorité de la concurrence.

Toujours aussi agréables les gammes Qualcomm…

Encore un nouveau SoC pour smartphone chez Qualcomm : le Snapdragon 8 Gen 5. C’est une version moins véloce du Snapdragon 8 Elite Gen 5 avec une fréquence des cœurs CPU et une quantité de mémoire revues à la baisse, mais aussi d’autres petits changements.

Qualcomm enchaine les annonces de puces pour les smartphones et les ordinateurs portables, sans vraiment arriver à proposer une gamme claire, simple à comprendre. Pour preuve, en septembre, avant l’annonce du Snapdragon 8 Elite Gen 5, le fabricant avait publié un billet de blog expliquant le choix du nom.

La puce est arrivé une dizaine de jours plus tard, en même temps que le Snapdragon X2 Elite. Les deux gammes font appel à des cœurs CPU maison Oryon de 3ᵉ génération. La série Snapdragon 8 (ou n’importe quel autre numéro) est pour smartphone, le Snapdragon X et X2 (suivant les générations) pour les ordinateurs. Ajoutez à cela des déclinaisons Elite, Extreme et vous avez un petit aperçu des gammes Qualcomm.

• Jeux, performances, IA : Qualcomm montre ses muscles sur ordinateurs et smartphones

Snapdragon 8 Gen 5 : des cœurs Oryon… Gen 3 ?

Voici donc une nouvelle référence pour smartphone : le Snapdragon 8 Gen 5. La différence avec le précédent SoC ? Il n’est pas « Elite ». À l’intérieur, huit cœurs « Oryon » pour la partie CPU, sans précision sur la génération. Il devrait s’agir de la Gen 3 comme sur le Snapdragon 8 Elite Gen 5.

Voici la composition des cœurs :

• 2x Prime jusqu’à 3,8 GHz (4 Mo cache L2)
• 6x Performance jusqu’à 3,32 GHz (12 Mo cache L2)

GPU « Adreno » et NPU castré

Sur la partie GPU Qualcomm est toujours aussi prolixe : « Adreno GPU ». Pour les détails on repassera… La société ne fait pas mention de mémoire High Performance Memory (HPM) pour son Adreno, alors que c’était le cas pour le Snapdragon 8 Elite Gen 5.

Même chose sur le NPU avec « Hexagon ». C’est par contre une version plus limitée que celle de la version Elite puisque la configuration du Snapdragon 8 Gen 5 comprend 6x scalaires et 8x vecteurs, contre 12x scalaires et 8x vecteurs pour son grand frère. La nouvelle puce prend en charge les précisions INT2 et FP8 comme le Snapdragon 8 Elite Gen 5.

Le modem redescend d’un cran avec un Qualcomm X80 5G à 10 Gb/s au lieu d’un X85 à 12,5 Gb/s, mais cela ne devrait pas changer grand-chose dans la pratique. Aucun changement sur le Wi-Fi 7 et le Bluetooth 6.0 avec le FastConnect 7900. La mémoire peut atteindre 24 Go en LP-DDR5x jusqu’à 4 800 MHz, contre 5 300 MHz pour la version Elite. Tous les détails techniques se trouvent par ici.

Qualcomm ne compare les performances du nouveau venu qu’à celles du Snapdragon 8 Gen 3, un processeur avec deux générations de moins. Le fabricant n’a pas lancé de Snapdragon 8 Gen 4, mais un Snapdragon 8 Elite à la place, avant de revenir à la Gen 5. Pas de comparaison directe donc entre les deux Snapdragon 8 Gen 5.

La puce est fabriquée à partir du procédé 3 nm de TSCM. Le fabricant annonce que des partenaires comme iQOO, Honor, Meizu, Motorola, OnePlus et vivo sont déjà en piste pour proposer des smartphones avec cette puce.

Après Colis Privé en fin de semaine dernière, une nouvelle « information importante concernant la sécurité de vos données » vient d’être envoyée par Axa. L’assureur contacte des clients pour les informer qu’Itelis, « réseau de soins partenaire d’optique, a récemment été victime d’une cyberattaque ».

La conséquence : « certaines de vos données personnelles utilisées pour une prise en charge optique entre 2020 et le premier trimestre 2022 ont pu être exposées ». Cela concerne « vos nom et prénom, date de naissance, numéro de sécurité sociale, numéro de dossier, remboursement de santé optique, données de correction visuelle, et potentiellement numéro de téléphone ».

Itelis précise que « vos données bancaires, coordonnées postales, adresses e-mails, identifiant et mot de passe ne sont pas concernés ». L’entreprise ajoute que la CNIL a été notifiée comme l’y oblige la loi et qu’une plainte a été déposée auprès du Procureur de la République.

Le risque est toujours le même pour les clients : du phishing afin de récupérer davantage de données personnelles et/ou des données bancaires. Avec votre numéro de téléphone, votre nom et votre correction optique, une personne malintentionnée pourrait tenter de se faire passer pour un agent Axa. Prudence donc.

La société rappelle de rester « attentifs aux messages (e-mails, SMS, WhatsApp…) et aux appels téléphoniques qui ne proviennent pas de vos interlocuteurs habituels, en particulier si l’on vous demande d’effectuer une transaction sur vos contrats ».

• Du phishing ciblé directement dans votre boite aux lettres physique, le cas Ledger