750 millions des cartes SIM en circulation dans le monde seraient vulnérable à l'écoute d'appels, à l'interception de SMS et à l'usurpation d'identité, selon les révélations d'un chercheur en sécurité.
Karsten Nohl, fondateur réputé du cabinet de sécurité Security Research Labs, a révélé hier au New York Times les premiers éléments de ses recherches. Après celle des appels GSM en 2009, il a récemment découvert la clé de chiffrement utilisée par certaines cartes SIM, 750 millions selon ses estimations.
Un virus sur la carte SIM, pas sur le téléphone
Après deux ans de recherche, M. Nohl a plus précisément découvert une faille permettant de déterminer la clé principale des cartes SIM reposant sur le chiffrement DES. À la réception d'un SMS maquillé, un quart des mille cartes SIM testées révèle cette clé. Ce SMS est un faux message de service, invisible par l'utilisateur, comme ceux que transmet régulièrement le réseau aux terminaux pour valider leur identité. Seul ceux de l'opérateur devraient obtenir une réponse.
Avec cette clé on peut modifier la carte SIM, y installer un virus par SMS, puis écouter les appels, intercepter les messages et se faire passer pour l'abonné, indépendamment du téléphone utilisé. Effectuée à l'aide d'un ordinateur standard, l'opération prend deux minutes à M. Nohl.
Un algorithme de chiffrement des années 1970
M. Nohl a récemment transmis les résultats de ses recherches à la GSM Association, qui représente les opérateurs de téléphonie mobile du monde entier, pour que ces derniers modernisent leurs algorithmes de chiffrement. Le Data Encryption Standard (DES) date effectivement des années 1970 mais il resterait utilisé par 750 millions des 6 milliards de cartes SIM en circulation.
La porte parole de la GSM Association, Claire Cranton, a comme à son habitude minoré les implications de la faille : seule une minorité des cartes SIM exploitant cet ancien standard « pourrait être » vulnérable, selon elle. L'association a néanmoins transmis les découvertes de M. Nohl aux centaines d'opérateurs et d'acteurs membres. Ils ont jusqu'au 1er août pour réagir, date à laquelle le chercheur publiera sa recherche détaillée dans le cadre de la Black Hat Conference.
Dans tous les cas, les consommateurs dont la carte SIM a quelques années peuvent en réclamer une nouvelle à leur opérateur, c'est sinon gratuit, peu couteux.
Romain Heuillard
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma no...
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma nouvelle passion pour l'informatique.
Depuis je me suis aussi passionné pour l'imagerie en général et pour la photo en particulier, mais je reste fan de sujets aussi obscurs que les procédés de fabrication de composants électroniques ou les microarchitectures de processeurs, que l'infiniment grand et l'infiniment petit.
Je suis enfin foncièrement anti-DRM et pro-standards ouverts.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
