À la suite de la compromission généralisée des réseaux des géants américains des télécommunications par des pirates informatiques chinois et du FBI conseillant aux Américains d’utiliser des communications cryptées de bout en bout, la CISA conseille aux « individus hautement ciblés » – hauts fonctionnaires et hommes politiques – de se verrouiller et de se protéger. protéger leurs smartphones autant que possible et utiliser « Signal ou une application similaire » pour des communications sécurisées.
Conseils de sécurité pour les utilisateurs d’iPhone et d’Android
« Les individus hautement ciblés doivent supposer que toutes les communications entre les appareils mobiles, y compris les appareils gouvernementaux et personnels, et les services Internet risquent d’être interceptées ou manipulées », déclare l’agence américaine de cybersécurité et de sécurité des infrastructures.
En plus de passer à une application de messagerie cryptée e2e (de préférence compatible avec les systèmes d’exploitation iPhone et Android), le guide leur conseille de :
- Améliorez leur jeu d’authentification multifacteur (MFA) en arrêtant d’utiliser l’option basée sur SMS et en commençant à utiliser des clés de sécurité matérielles, des mots de passe ou des codes d’authentification résistants au phishing pour les comptes de moindre valeur.
- Commencez à utiliser un gestionnaire de mots de passe et des mots de passe forts
- Configurez un code PIN d’opérateur de télécommunications pour prévenir les attaques par échange de carte SIM
- Mettez régulièrement à jour le logiciel et choisissez des modèles de smartphones plus récents (avec de meilleures fonctionnalités de sécurité)
- Arrêtez d’utiliser les VPN personnels (mais continuez à utiliser le VPN d’entreprise).
Le guide répertorie également les recommandations spécifiques à l’iPhone et à Android, telles que la restriction des autorisations des applications, l’utilisation de services DNS cryptés, l’utilisation des protections de sécurité fournies par Apple et Google telles que le mode de verrouillage, Apple iCloud Private Relay et Google Play Protect.
“Bien qu’aucune solution unique n’élimine tous les risques, la mise en œuvre de ces meilleures pratiques améliore considérablement la protection des communications sensibles contre les cyberacteurs affiliés au gouvernement et autres cyberacteurs malveillants”, a noté l’agence.
Plus tôt ce mois-ci, la CISA et les agences de cybersécurité d’Australie, du Canada et de Nouvelle-Zélande ont publié un guide conseillant aux fournisseurs de télécommunications comment renforcer leur infrastructure de communication et renforcer leur capacité à identifier les menaces, les comportements anormaux et les vulnérabilités.
