Sécurité

Cette grave vulnérabilité pourrait être présente dans quelque 750 millions de téléphones portables

L’expert en sécurité Karsten Nohl, fondateur des laboratoires allemands de recherche sur la sécurité, a fait une révélation troublante à la presse le week-end dernier : quelque 750 millions de cartes SIM dans le monde pourraient présenter une faille de sécurité qui permettrait de voler des données sur les téléphones portables et de suivre les appels, par exemple.

Les cartes SIM sont, en règle générale, compatibles avec une méthode de communication appelée OTA (Over the Air). Grâce à ce système, l’opérateur peut effectuer des vérifications et des modifications à distance sur le téléphone portable de l’utilisateur, par exemple en autorisant l’utilisation de sa ligne dans un autre pays (roaming).

Ces commandes atteignent l’appareil de l’utilisateur à partir d’un type de SMS binaire (jamais visible pour l’utilisateur) qui transite évidemment par le réseau GSM de l’opérateur. Il appartient ensuite à une machine virtuelle Java spécifique (Java Card) de lire et d’exécuter les instructions du message.

  Cisco : les URL courts sont un gros problème

Le problème commence à prendre forme ici. Dans ses tests, Nohl prétend avoir émis des commandes OTA qui ont été refusées parce que leurs clés cryptographiques ne correspondaient pas à la carte SIM. Tout se passe comme prévu, si ce n’est que des commandes malveillantes ont été mal acceptées par d’autres cartes.

Selon Nohl, les instructions qui n’auraient pas dû passer ont été exécutées grâce à une vulnérabilité dans DES (Data Encryption Standard), une solution de cryptage créée par IBM dans les années 1970 et qui, bien qu’assez ancienne, est encore largement utilisée dans les cartes SIM.

Lors des tests, l’expert a remarqué que certaines cartes refusaient les instructions, mais renvoyaient un message d’erreur en insérant une signature cryptographique. Sur la base de ces informations, Nohl a utilisé une méthode connue sous le nom de “tables arc-en-ciel” pour essayer de briser la protection cryptographique, ce qui a permis d’obtenir un résultat en une minute environ.

  IOS 6 est intégré à Facebook et aux cartes en 3D

Dès lors, il devient possible de contrôler à distance le téléphone portable concerné. Les risques sont les plus divers : vous pouvez accéder aux SMS que l’appareil a reçus, modifier les données de la carte et même, en théorie, rediriger les appels, ce qui fait que l’utilisateur est facturé pour les appels qu’il n’a pas passés.

Comme si cela ne suffisait pas, Nohl a signalé une autre faille. L’expert a déclaré que, grâce à une mise en œuvre incorrecte de DES en combinaison avec sa clé faible, il était également possible de casser la “sandbox” de Java Card (en bref, un mécanisme qui protège les applications les unes des autres). Cet échec est assez inquiétant car il permet d’accéder, par exemple, à des services de paiement mobile.

L’expert estime qu’environ 750 millions de cartes SIM pourraient être vulnérables aujourd’hui, comme indiqué au début du texte. Heureusement, la plupart des cartes SIM – les plus récentes en particulier – utilisent une méthode de mise en œuvre du triple DES (Triple DES) qui s’est révélée efficace contre le problème.

  Quelle est la différence entre un antivirus gratuit et un antivirus payant ?

Aucun cas d’invasion impliquant ces vulnérabilités n’est connu, mais maintenant que le problème est connu, ce n’est qu’une question de temps avant que quelqu’un ne tente de l’exploiter. Les opérateurs et les fabricants de cartes SIM devront donc réagir. Et vite !

Pour contribuer à cette mission (et, bien sûr, en tirer tous les bénéfices possibles), Karsten Nohl donnera plus de détails sur le sujet lors de la conférence Black Hat 2013 sur la sécurité à Las Vegas, aux États-Unis, qui débutera le 31 juillet.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire