L’expert en sécurité Karsten Nohl, fondateur des laboratoires allemands de recherche sur la sécurité, a fait une révélation troublante à la presse le week-end dernier : quelque 750 millions de cartes SIM dans le monde pourraient présenter une faille de sécurité qui permettrait de voler des données sur les téléphones portables et de suivre les appels, par exemple.
Les cartes SIM sont, en règle générale, compatibles avec une méthode de communication appelée OTA (Over the Air). Grâce à ce système, l’opérateur peut effectuer des vérifications et des modifications à distance sur le téléphone portable de l’utilisateur, par exemple en autorisant l’utilisation de sa ligne dans un autre pays (roaming).
Ces commandes atteignent l’appareil de l’utilisateur à partir d’un type de SMS binaire (jamais visible pour l’utilisateur) qui transite évidemment par le réseau GSM de l’opérateur. Il appartient ensuite à une machine virtuelle Java spécifique (Java Card) de lire et d’exécuter les instructions du message.
Le problème commence à prendre forme ici. Dans ses tests, Nohl prétend avoir émis des commandes OTA qui ont été refusées parce que leurs clés cryptographiques ne correspondaient pas à la carte SIM. Tout se passe comme prévu, si ce n’est que des commandes malveillantes ont été mal acceptées par d’autres cartes.
Selon Nohl, les instructions qui n’auraient pas dû passer ont été exécutées grâce à une vulnérabilité dans DES (Data Encryption Standard), une solution de cryptage créée par IBM dans les années 1970 et qui, bien qu’assez ancienne, est encore largement utilisée dans les cartes SIM.
Lors des tests, l’expert a remarqué que certaines cartes refusaient les instructions, mais renvoyaient un message d’erreur en insérant une signature cryptographique. Sur la base de ces informations, Nohl a utilisé une méthode connue sous le nom de “tables arc-en-ciel” pour essayer de briser la protection cryptographique, ce qui a permis d’obtenir un résultat en une minute environ.
Dès lors, il devient possible de contrôler à distance le téléphone portable concerné. Les risques sont les plus divers : vous pouvez accéder aux SMS que l’appareil a reçus, modifier les données de la carte et même, en théorie, rediriger les appels, ce qui fait que l’utilisateur est facturé pour les appels qu’il n’a pas passés.
Comme si cela ne suffisait pas, Nohl a signalé une autre faille. L’expert a déclaré que, grâce à une mise en œuvre incorrecte de DES en combinaison avec sa clé faible, il était également possible de casser la “sandbox” de Java Card (en bref, un mécanisme qui protège les applications les unes des autres). Cet échec est assez inquiétant car il permet d’accéder, par exemple, à des services de paiement mobile.
L’expert estime qu’environ 750 millions de cartes SIM pourraient être vulnérables aujourd’hui, comme indiqué au début du texte. Heureusement, la plupart des cartes SIM – les plus récentes en particulier – utilisent une méthode de mise en œuvre du triple DES (Triple DES) qui s’est révélée efficace contre le problème.
Aucun cas d’invasion impliquant ces vulnérabilités n’est connu, mais maintenant que le problème est connu, ce n’est qu’une question de temps avant que quelqu’un ne tente de l’exploiter. Les opérateurs et les fabricants de cartes SIM devront donc réagir. Et vite !
Pour contribuer à cette mission (et, bien sûr, en tirer tous les bénéfices possibles), Karsten Nohl donnera plus de détails sur le sujet lors de la conférence Black Hat 2013 sur la sécurité à Las Vegas, aux États-Unis, qui débutera le 31 juillet.
