Le smartphone sécurisé Blackphone piraté à l'aide d'un SMS

Le Blackphone, smartphone sécurisé de Silent Circle, vient de connaître une bien gênante situation : il vient d'être piraté par un hacker grâce à un simple SMS. Une faille corrigée dans la foulée.

Le hacker Marc Dowd vient de démontrer que la sécurité du Blackphone peut être mise à mal à distance : à l'aide d'un SMS contenant un code spécifique, il était possible, jusqu'à il y a peu, de prendre le contrôle du terminal, pourtant présenté comme très sécurisé par ses créateurs. L'exécution de code à distance permettait de déchiffrer des messages, accéder au carnet d'adresse, géolocaliser l'appareil... Pour un terminal censé offrir une confidentialité optimale à son utilisateur, c'est un constat problématique.




L'application SilentText, qui permet d'envoyer et de recevoir des SMS chiffrés, était en cause dans cette importante faille de sécurité. Une librairie nommée « libscimp », allouée au protocole de communication de l'app, gérait mal l'allocation de mémoire, ouvrant ainsi la porte à un piratage bien placé.

L'application, qui est proposée par défaut sur le Blackphone mais qui est également disponible sur Android et iOS, a été mise à jour par Silent Circle. Marc Dowd n'a d'ailleurs révélé les détails de l'exploit qu'après la correction de la faille : il avait prévenu, en amont, la société de sa découverte.

Contenu relatif :

• A la découverte du Black Phone avec Rodrigo Silva-Ramos, PDG et co-fondateur de Geeksphone (ci-dessous)