18 KiB
title, icon, description, cover
| title | icon | description | cover |
|---|---|---|---|
| Intégrité de l'appareil | material/security | Ces outils peuvent être utilisés pour vérifier que vos appareils ne sont pas compromis. | device-integrity.webp |
Ces outils peuvent être utilisés pour valider l'intégrité de vos appareils mobiles et vérifier s'ils présentent des indicateurs de compromission par des logiciels espions et malveillants tels que Pegasus, Predator ou KingsPawn. Cette page se concentre sur la sécurité mobile, car les appareils mobiles ont généralement des systèmes en lecture seule avec des configurations bien connues, de sorte que la détection de modifications malveillantes est plus facile que sur les systèmes de bureau traditionnels. Nous pourrions élargir la portée de cette page dans le futur.
This is an advanced topic
Ces outils peuvent être utiles à certaines personnes. They provide functionality which most people do not need to worry about, and often require more in-depth technical knowledge to use effectively.
It is critical to understand that scanning your device for public indicators of compromise is not sufficient to determine that a device is "clean", and not targeted with a particular spyware tool. Reliance on these publicly-available scanning tools can miss recent security developments and give you a false sense of security.
General Advice
The majority of system-level exploits on modern mobile devices—especially zero-click compromises—are non-persistent, meaning they will not remain or run automatically after a reboot. For this reason, we highly recommend rebooting your device regularly. We recommend everybody reboot their devices once a week at minimum, but if non-persistent malware is of particular concern for you, we and many security experts recommend a daily reboot schedule.
This means an attacker would have to regularly re-infect your device to retain access, although we'll note this is not impossible. Rebooting your device also will not protect you against persistent malware, but this is less common on mobile devices due to modern security features like secure/verified boot.
Post-Compromise Information & Disclaimer
If any of the following tools indicate a potential compromise by spyware such as Pegasus, Predator, or KingsPawn, we advise that you contact:
- If you are a human rights defender, journalist, or from a civil society organization: Amnesty International's Security Lab
- If a business or government device is compromised: Contact the appropriate security liason at your enterprise, department, or agency
- Local law enforcement
We are unable to help you directly beyond this. We are happy to discuss your specific situation or circumstances and review your results in our community spaces, but it is unlikely we can assist you beyond what is written on this page.
The tools on this page are only capable of detecting indicators of compromise, not removing them. If you are concerned about having been compromised, we advise that you:
- Consider replacing the device completely
- Consider changing your SIM/eSIM number
- Not restore from a backup, because that backup may be compromised
These tools provide analysis based on the information they have the ability to access from your device, and publicly-accessible indicators of compromise. It is important to keep in mind two things:
- Indicators of compromise are just that: indicators. They are not a definitive finding, and may occasionally be false positives. If an indicator of compromise is detected, it means you should do additional research into the potential threat.
- The indicators of compromise these tools look for are published by threat research organizations, but not all indicators are made available to the public! This means that these tools can present a false negative, if your device is infected with spyware which is not detected by any of the public indicators. Reliable and comprehensive digital forensic support and triage requires access to non-public indicators, research and threat intelligence.
External Verification Tools
External verification tools run on your computer and scan your mobile device for forensic traces which are helpful to identify potential compromise.
Danger
Public indicators of compromise are insufficient to determine that a device is "clean", and not targeted with a particular spyware tool. Reliance on public indicators alone can miss recent forensic traces and give a false sense of security.
Reliable and comprehensive digital forensic support and triage requires access to non-public indicators, research and threat intelligence.
Such support is available to civil society through Amnesty International's Security Lab or Access Now’s Digital Security Helpline.
Ces outils peuvent déclencher des faux positifs. Si l'un de ces outils détecte des indicateurs de compromission, vous devez approfondir la question pour déterminer le risque réel. Certains rapports peuvent être des faux positifs basés sur des sites web que vous avez visités dans le passé, et les résultats qui datent de plusieurs années sont probablement soit des faux positifs, soit le signe d'une compromission antérieure (qui n'est plus active).
Mobile Verification Toolkit
{ align=right }
Mobile Verification Toolkit (MVT) is a collection of utilities which simplifies and automates the process of scanning mobile devices for potential traces of targeting or infection by known spyware campaigns. MVT was developed by Amnesty International and released in 2021 in the context of the Pegasus Project.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-code-16:{ .card-link title="Source Code" }
Téléchargements
Avertissement
L'utilisation de MVT ne suffit pas à déterminer qu'un appareil est "propre" et qu'il n'est pas la cible d'un logiciel espion particulier.
MVT est plus utile pour scanner les appareils iOS. Android stocke très peu d'informations de diagnostic utiles pour trier les compromissions potentielles, et pour cette raison, les capacités de mvt-android sont également limitées. Par contre, les sauvegardes iTunes iOS chiffrées fournissent un sous-ensemble suffisamment important de fichiers stockés sur l'appareil pour détecter les artefacts suspects dans de nombreux cas. Ceci étant dit, MVT fournit tout de même des outils assez utiles pour l'analyse des systèmes iOS et Android.
Si vous utilisez iOS et que vous présentez un risque élevé, nous avons trois suggestions supplémentaires à vous faire :
-
Créez et conservez des sauvegardes iTunes régulières (mensuelles). Cela vous permet de trouver et de diagnostiquer les infections passées plus tard avec MVT, si de nouvelles menaces sont découvertes dans le futur.
-
Déclenchez souvent des journaux sysdiagnose et sauvegardez-les en externe. Ces journaux peuvent fournir des données inestimables aux futurs enquêteurs criminalistiques si nécessaire.
La procédure à suivre varie selon le modèle, mais vous pouvez la déclencher sur les téléphones récents en maintenant enfoncées les touches Alimentation + Volume haut + Volume bas jusqu'à ce que vous sentiez une brève vibration. Après quelques minutes, le journal sysdiagnose horodaté apparaîtra dans Paramètres > Confidentialité et sécurité > Analytiques et améliorations > Données analytiques.
-
Activer le mode Isolement.
MVT vous permet d'effectuer des analyses plus approfondies si votre appareil est jailbreaké. À moins que vous ne sachiez ce que vous faites, ne jailbreakez pas et ne rootez pas votre appareil. Le jailbreaking de votre appareil l'expose à des risques de sécurité considérables.
iMazing (iOS)
{ align=right }
iMazing provides a free spyware analyzer tool for iOS devices which acts as a GUI-wrapper for MVT. This can be much easier to run compared to MVT itself, which is a command-line tool designed for technologists and forensic investigators.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation}
Téléchargements
iMazing automatise et vous guide de manière interactive tout au long du processus d'utilisation de MVT pour analyser votre appareil à la recherche d'indicateurs de compromission accessibles au public et publiés par divers chercheurs en menaces. Toutes les informations et tous les avertissements qui s'appliquent à MVT s'appliquent également à cet outil. Nous vous conseillons donc de vous familiariser également avec les notes sur MVT dans les sections ci-dessus.
Vérification sur l'appareil
Il s'agit d'applications que vous pouvez installer et qui vérifient que votre appareil et votre système d'exploitation ne présentent pas de signes d'altération et qui valident l'identité de votre appareil.
Avertissement
L'utilisation de ces applications ne suffit pas à déterminer qu'un appareil est "propre" et qu'il n'est pas la cible d'un logiciel espion particulier.
Auditor (Android)
{ align=right }
{ align=right }
Auditor is an app which leverages hardware security features to provide device integrity monitoring by actively validating the identity of a device and the integrity of its operating system. Currently, it only works with GrapheneOS or the stock operating system for supported devices.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation} :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title=Contribute }
Auditor n'est pas un outil de scan/analyse comme d'autres outils sur cette page, mais il utilise le magasin de clés s'appuyant sur le materiel de votre appareil pour vous permettre de vérifier l'identité de votre appareil et de vous assurer que le système d'exploitation lui-même n'a pas été altéré ou dégradé par le biais d'un démarrage vérifié. Cela fournit un contrôle d'intégrité très solide de l'appareil lui-même, mais qui ne permet pas nécessairement de vérifier si les applications utilisateur exécutées sur l'appareil sont malveillantes.
Auditor effectue l'attestation et la détection d'intrusion avec deux appareils, un audité (l'appareil vérifié) et un auditeur (l'appareil effectuant la vérification). L'auditeur peut être n'importe quel appareil Android 10+ (ou un service web distant géré par GrapheneOS), tandis que l'audité doit être un appareil pris en charge spécifique. Auditor fonctionne comme tel :
- En utilisant un modèle de confiance à la première utilisation (TOFU) entre un auditeur et un audité, la paire établit une clé privée dans le magasin de clés s'appuyant sur le matériel de l'auditeur.
- L'auditeur peut être une autre instance de l'application Auditor ou le service d'attestation à distance.
- L'auditeur enregistre l'état et la configuration actuels de l'audité.
- Si le système d'exploitation de l'audité est altéré après l'appairage, l'auditeur sera informé de la modification de l'état et de la configuration de l'appareil.
- Vous serez alerté de ce changement.
Il est important de noter que l'auditeur ne peut détecter efficacement les changements qu'après l'appairage initial, et pas nécessairement pendant ou avant, en raison de son modèle TOFU. Pour vous assurer que votre matériel et votre système d'exploitation sont authentiques, effectuez une attestation locale immédiatement après l'installation de l'appareil et avant toute connexion à l'internet.
Aucune donnée à charactère personnel n'est soumise au service d'attestation. Nous vous recommandons de vous inscrire avec un compte anonyme et d'activer l'attestation à distance pour un contrôle continu.
Si votre modèle de menace nécessite une certaine confidentialité, vous pouvez envisager d'utiliser Orbot ou un VPN pour cacher votre adresse IP au service d'attestation.
Scanners embarqués
Il s'agit d'applications que vous pouvez installer sur votre appareil et qui l'analysent pour détecter des signes de compromission.
Avertissement
L'utilisation de ces applications ne suffit pas à déterminer qu'un appareil est "propre" et qu'il n'est pas la cible d'un logiciel espion particulier.
Hypatia (Android)
{ align=right }
{ align=right }
Hypatia is an open source real-time malware scanner for Android, from the developer of DivestOS. It accesses the internet to download signature database updates, but does not upload your files or any metadata to the cloud (scans are performed entirely locally).
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-code-16:{ .card-link title="Source Code" } :octicons-heart-16:{ .card-link title=Contribute }
Téléchargements
Hypatia est particulièrement efficace pour détecter les logiciels de harcèlement : si vous pensez être victime d'un logiciel de harcèlement, vous devriez visiter cette page pour obtenir des conseils.
iVerify (iOS)
{ align=right }
iVerify is an iOS app which automatically scans your device to check configuration settings, patch level, and other areas of security. It also checks your device for indicators of compromise by jailbreak tools or spyware such as Pegasus.
:octicons-home-16: Homepage{ .md-button .md-button--primary } :octicons-eye-16:{ .card-link title="Privacy Policy" } :octicons-info-16:{ .card-link title=Documentation}
Téléchargements
Comme toutes les applications iOS, iVerify est limité à ce qu'il peut observer sur votre appareil depuis l'iOS App Sandbox. Elle ne fournira pas une analyse aussi solide qu'un outil d'analyse de système complet tel que MVT. Sa fonction première est de détecter si votre appareil est jailbreaké, ce qu'elle fait efficacement, mais une menace hypothétique conçue spécifiquement pour contourner les contrôles d'iVerify y parviendrait probablement.
iVerify n'est pas un outil "antivirus" et ne détectera pas les logiciels malveillants non liés au système, tels que les claviers personnalisés malveillants ou les synchronisations de configurations Wi-Fi malveillantes, par exemple.
Outre l'analyse de l'appareil, iVerify comprend également un certain nombre d'utilitaires de sécurité supplémentaires qui peuvent s'avérer utiles, notamment des rappels de redémarrage de l'appareil, des notifications de mise à jour iOS (qui sont souvent plus rapides que les notifications de mise à jour échelonnées d'Apple), des guides de base sur la confidentialité et la sécurité, et un outil DNS over HTTPS qui peut connecter les requêtes DNS de votre appareil de manière sécurisée à Quad9, Cloudflare, ou Google.