Responsable d'Amnesty International Suisse, Manon Schick est en contact régulier avec des dissidents politiques sur des dossiers épineux. Pour les besoins de l'enquête de Mise au Point, elle a accepté de subir une tentative de piratage à une condition: disposer d'un nouvel appareil pour garantir que toutes les personnes en contact avec ce numéro soient au courant de l'expérience.
Le piratage, lui, a été confié à Luca Malette, un spécialiste en cybersécurité établi à Berlin. Ses principales recherches portent sur le SS7, ou système de signalisation numéro 7, qui connecte tous les opérateurs de télécommunication ensemble. A partir de ce système, un pirate peut accéder à n'importe quel réseau mobile de la planète s'il est mal sécurisé.
Pour tenter de mettre sous surveillance le nouveau portable de Manon Schick, le spécialiste ne disposait que d'un numéro de l'opérateur Salt.
Conversations, SMS et géolocalisation
Une semaine plus tard, Luca Malette livre un bilan de son expérience de piratage. En plus de toutes les conversations orales, il a pu dévier des SMS et suivre à la trace le téléphone de Manon Schick.
"L'opérateur Salt n'a pas mis en place de système de protection. Il est possible de suivre un téléphone et d'intercepter des appels. C'est la situation typique d'un opérateur qui n'a pas encore vu le problème", explique l'expert.
Contacté, l'opérateur reconnaît des problèmes. "Salt planifie désormais la mise à jour de ses différents instruments de sécurité. Celle-ci doit intervenir au cours des prochains mois et combler certaines lacunes pour lesquelles notre dispositif actuel ne proposerait pas de solution complète", indique son porte-parole par courriel.
Aucun opérateur épargné
Durant la semaine de test, des téléphones de Swisscom et de Sunrise ont aussi été piratés. Avec des réseaux mieux protégés, il serait nécessaire d'utiliser des outils supplémentaires pour obtenir des résultats aussi inquiétants qu'avec Salt.
Reste que n'importe quel citoyen suisse est susceptible d'être lui aussi piraté. Les SMS envoyés par une banque avec des codes confidentiels ou les discussions d'affaires avant la signature d'un contrat, toutes les conversations sont vulnérables.
>> Plus de développements dans le sujet de Mise au Point ci-dessus
François Ruchti