Un chercheur spécialisé dans la sécurité pour appareils mobiles vient de mettre en évidence une importante faille de sécurité qui ne touche pas un système d’exploitation ou un logiciel, mais bel et bien les cartes SIM ! La fameuse petite puce insérée dans les appareils mobiles aurait une faille au niveau du chiffrement de certaines cartes SIM, qui mettrait des millions de mobiles, tablettes, smartphones sans défense face à une attaque de pirates !
Une faille de sécurité touche 750 millions de cartes SIM
Le chiffre peut paraitre énorme, mais 750 millions de cartes SIM pourraient être victimes de cette faille de sécurité majeure. En clair, le chercheur Karsten Nohl, fondateur de la société allemande Security Research Labs a mis en évidence, qu’une porte dérobée pouvait permettre à des hackers de prendre le contrôle d’un téléphone, via le système de chiffrement de la carte SIM.
Karsten Nohl est parvenu à montrer qu’il était capable d’envoyer un faux message d’opérateur à la carte SIM, en lui imposant une réponse automatique. Les cartes SIM bénéficiant d’un cryptage DES, renvoyaient la réponse automatique, permettant d’obtenir la clé de sécurité 56-bit. Une fois cela effectué, le chercheur pouvait se servir de ces informations pour injecter un virus sur la carte SIM, à partir d’un banal SMS !
Autant dire, que cette technique pourrait intéresser de nombreux hackers pour prendre le contrôle des smartphones par exemple. Le chercheur a démontré que de cette façon, il avait un contrôle absolu sur l’appareil ciblé et même d’effectuer des paiements via son opérateur, le tout en à peine 2 minutes sur un simple PC de salon… de quoi être plutôt inquiet !
Une faille de sécurité ouvrant de nouvelles possibilités aux pirates
Le chercheur en sécurité Karsten Nohl va montrer sa prouesse au prochain rendez-vous Black Hat dans quelques jours, mais au vue de l’ampleur des cartes SIM concernées par cette faille, il a transmis ses recherches au GSM Association pour qu’elles puissent être prises en compte par les fabricants. Sur 1000 cartes SIM étudiées, de différents modèles, de différents pays et de différents systèmes de cryptage, l’étude révèle que 25% sont victimes de la faille. Ce qui représente près de 750 millions de cartes sur les 3 milliards mises en service dans le monde.
Les opérateurs devront s’atteler à rapidement corriger la vulnérabilité, mais beaucoup d’opérateurs utilisent désormais des cartes SIM avec un système de triple chiffrement DES, ou mieux, de plus en plus le chiffrement AES (Advanced Encryption Standard) qui s’est substitué au DES.
