Un spécialiste de la sécurité sur mobile a déclaré avoir découvert une faille touchant plus de 700 millions de cartes SIM à travers le monde… Des puces anciennes dont le chiffrement a été remplacé depuis 2008 !

SIMs

Après la faille qui concernait potentiellement 99 % des smartphones sous Android, et celle qui aurait permis à Facebook de collecter les numéros de téléphones de ses utilisateurs via la simple installation de l’application, voici un problème d’un tout nouveau genre qui viendrait directement de la carte SIM. En effet, Karsten Nohl, fondateur du Security Research Labs à Berlin, a dévoilé l’existence d’une faille qui permettrait à des personnes malveillantes de prendre le contrôle d’un smartphone via la carte SIM installée sur celui-ci. Le hack utiliserait le chiffrement DES (Data Encryption Standard), dont la réponse automatique ouvre la puce à modification. Le spécialiste a déclaré au New York Times, qu’il avait réussi à envoyer un virus sur la puce via un simple SMS. Ce message texte aurait intégré le système du smartphone donnant au hacker la possibilité d’espionner les faits et gestes de son propriétaire. Par cela, il entend qu’il est possible d’intercepter les moyens de paiement mobile utilisés sur le smartphone ainsi que l’usurpation de l’identité du mobinaute. Le hack lui aurait pris uniquement deux minutes avec l’aide d’un simple ordinateur portable.

Cette faille pourrait ainsi toucher près de 750 millions de cartes SIM sur les trois milliards en circulation dans le monde. Le spécialiste a en revanche précisé que l’ensemble des cartes touchées étaient en fait d’anciennes cartes. La nouvelle génération de puces SIM utilise désormais le chiffrement AES (Advanced Encryption Standard) et non plus le DES. Ce nouveau standard octroie en effet une sécurité renforcée à la puce.

Les nouvelles SIM épargnées

De quoi nous rassurer puisqu’il est improbable de voir des anciennes SIM installées sur des smartphones pouvant se connecter à Internet. Ceci pour la simple raison que ces anciennes puces n’ont pas la capacité de se connecter à Internet et n’ont donc aucune raison de faire l’objet d’une fuite de data quelconque. Les nouvelles puces, qui nous permettent d’aller sur le web en haut débit sont elles, bien plus sécurisées. Les opérateurs ont d’ailleurs déjà commencé depuis 2008 à livrer des puces AES, rendant impossible toute infiltration.

Quoi qu’il en soit, Karsten Nohl devrait présenter plus largement cette faille lors de la conférence Black Hat, qui se déroulera à Las Vegas, le 1er août prochain. Un effet d’annonce pour attirer les feux des projecteurs sur son entreprise ?

Comments

comments

Vous aimerez aussi :

  1. La faille découverte par BlueBox a désormais un patch
  2. 99 % des appareils Android touchés par une “grosse faille”
  3. Samsung confirme la faille et prépare un correctif
  4. une grosse faille de sécurité…
  5. Utilisez jusqu’à cinq cartes SIM en même temps grâce à la PowerBlue Box