Wikistrike

Wikistrike

Rien ni personne n'est supérieur à la vérité

Des hackers pourraient prendre le contrôle de téléphones portables à cause d'une faille dans le code des cartes SIM

Publié par wikistrike.com sur 22 Juillet 2013, 17:41pm

Catégories : #Science - technologie - web - recherche

Des hackers pourraient prendre le contrôle de téléphones portables à cause d'une faille dans le code des cartes SIM

 

 

 

r-CARTE-SIM-large570.jpgKarsten Nohl repart en croisade. Après avoir découvert en 2009 undéfaut de sécurité dans les appels GSM, l'ingénieur allemand a révélé dimanche 21 juillet au New York Times une nouvelle faille pour le moins inquiétante.

Le fondateur du réputé Security Research Labs affirme en effet avoir découvert une faille de sécurité qui permettrait de décrypter la clé secrète de 750 millions de cartes SIM dans le monde, ce qui pourrait permettre à des hackers de les infiltrer pour en prendre le contrôle.

La norme de chiffrement DES mise en cause

Comme le souligne le site IT Espresso, "il y a quelques conditions au préalable pour l’exploitation de ces vulnérabilités, comme l’usage de la norme de chiffrement Data Encryption Standards (DES), inventée par IBM dans les années 70 et améliorée par la NSA."

Cette méthode de cryptage serait en effet défaillante selon Karsten Nohl, et pourrait permettre à des hackers de prendre le contrôle du téléphone d'autrui. Un bug dans le code Java Card, utilisé pour programmer les cartes SIM et les réactualiser, serait à l'origine de cette faille, offrant aux pirates la possibilité de "casser" la clé de chiffrement d'une carte et d'en prendre le contrôle.

Il serait ensuite possible d'envoyer un virus par SMS qui faciliterait l'espionnage des conversations, des achats frauduleux par paiement mobile mais aussi l'usurpation de l'identité du propriétaire du téléphone. "Avec cette clé, résume le site spécialisé Clubic, on peut modifier la carte SIM, y installer un virus par SMS, puis écouter les appels, intercepter les messages et se faire passer pour l'abonné, indépendamment du téléphone utilisé."

Une opération réussie en seulement 2 minutes

Nohl, qui travaille sur la question depuis deux ans, dit avoir finalement réussi l'opération de déchiffrage en seulement 2 minutes, avec l'aide d'un simple ordinateur. "On peut installer à distance un logiciel sur un appareil qui fonctionne de manière totalement indépendante de votre téléphone", déclare-t-il au New York Times, ajoutant qu'à partir de là, "on peut vous espionner. On connaît vos clés de chiffrement pour les appels. On peut lire vos SMS. Au-delà de l'espionnage, on peut aussi vous voler des données sur votre carte SIM, votre identité mobile et débiter votre compte."

"À la réception d'un SMS maquillé, note Clubic, un quart des mille cartes SIM testées" par l'ingénieur ont révélé une clé de chiffrement, à l'aide d'un simple SMS, un "faux message de service, invisible par l'utilisateur, comme ceux que transmet régulièrement le réseau aux terminaux pour valider leur identité".

La GSM Association minimise

Karsten Nohl explique vouloir mettre en garde les opérateurs de téléphonie mobile, comme il l'avait fait en 2009 avec les fabricants de téléphones, afin de les pousser à moderniser leurs algorithmes de chiffrement et éviter ainsi que des hackers aux intentions malveillantes puissent s'engouffrer dans de telles failles de sécurité.

Comme le rapporte le New York Times, une porte-parole de la GSM Association, une association basée à Londres qui représente l'industrie de la téléphonie mobile, a minimisé dans un communiqué la portée de la découverte de l'ingénieur allemand. Tout en disant avoir pris bonne note des premières conclusions de l'étude de Karsten Nohl, l'association a rappelé que seule une minorité (8%) des téléphones mobiles étaient concernés.

La GSM Association a par ailleurs refusé de commenter la vulnérabilité supposée de ces téléphones aux cyberattaques, bien qu'elle ait transmis l'étude préliminaire de Karsten Nohl aux opérateurs et aux fabricants de cartes SIM fonctionnant selon la norme de chiffrement DES. Elle a enfin remis en cause la méthode utilisée par l'expert. "Faire ce qu'il a fait (casser la clé de chiffrement) tout en prétendant être inquiet pour la confidentialité me dépasse", a déclaré Claire Cranton, porte-parole de l'association, selon des propos retranscrits par Clubic.

 

Selon Forbes, Karsten Nohl devrait présenter ses conclusions finales lors de la conférence de sécurité Black Hat, qui se tiendra à Las Vegas le 31 juillet prochain.

 

Source

Commenter cet article

alcootest 22/07/2013 22:51


"Faire ce qu'il a fait (casser la clé de chiffrement) tout en
prétendant être inquiet pour la confidentialité me dépasse"


En voilà une qui a encore tout compris, elle préfère sûrement
plonger la tête dans le sable et faire l’innocente lorsque la faille sera exploitée à grande échelle... Pff

Archives

Articles récents