L'éditeur de sécurité tient à rassurer.
En début de semaine, Karsten Nohl, fondateur de la société allemande Security Research Labs, annonçait avoir trouvé une faille dans la technologie de chiffrement utilisée par certaines des cartes SIM, ce qui les rendrait vulnérables aux attaques des hackers.
Cette faille, qui toucherait 750 millions de cartes SIM dans le monde, permettrait à une personne malintentionnée d'écouter nos appels, envoyer des messages, faire des achats via mobile et de voler toutes nos données personnelles.
D'après Marc Rogers, responsable de recherche chez Lookout, il existe deux failles dans la technologie Data Encryption Standard (DES) :
La première se situe au niveau du système qui permet à un attaquant d’installer, sans autorisation et à distance, des applications sur une carte SIM.
La seconde se trouve sur la machine virtuelle Java (JVM) embarquée sur la puce de la carte.Elle donne accès aux zones protégées de la mémoire et octroie des privilèges supérieurs aux applications fraîchement installées sur la carte (…) Les cartes SIM qui sont vulnérables renferment une faille fonctionnelle générant l’envoi de réponses signées à des messages, même si ces derniers sont corrompus.
Elles utilisent d’autre part un protocole de chiffrement vieillissant (DES). L’attaquant pourra tirer parti de la seconde vulnérabilité – la faille de la JVM embarquée sur la puce – uniquement après avoir installé des applications sur la carte SIM en profitant de la première brèche.
Toujours d'après Marc Rogers :
Le risque est élevé : une personne malintentionnée pourrait installer un programme malveillant écrit en Java sur les cartes SIM, ou bien encore cloner des cartes SIM. Un subterfuge très sophistiqué qui, heureusement, ne semble pas pour l’instant avoir été utilisé. Néanmoins, ne nous affolons pas.
Dans son communiqué de presse, Lookout temporise toutefois les retombées de ces deux failles. L'éditeur affirme que le risque est certes élevé, mais que toutes les cartes SIM ne sont pas concernées. D'après les estimations, entre 10 et 20 % des cartes en circulation actuellement sont exposées.
Cela représente un nombre conséquent vu la masse de cartes SIM dans la nature, mais c'est finalement assez faible en termes de pourcentage.
Toujours d'après Lookout, cet épisode montre clairement qu’aborder la sécurité comme un problème matériel n’est pas la meilleure solution.
En effet, d'après l'éditeur, c’est en améliorant la gestion des logiciels à bord des cartes SIM que ceux-ci pourront être facilement mis à jour à distance par le biais de correctifs ou de nouvelles versions. Une solution qui évitera de rappeler des tonnes de cartes SIM et présentera l’avantage de résoudre les problèmes nettement plus rapidement, tout en rendant les utilisateurs moins vulnérables.
En ce qui concerne la France, l'opérateur mobile Free a indiqué que ses abonnés n'étaient pas concernés pour cette faille. Quant aux trois autres opérateurs historiques, nous les avons contactés et attendons une réponse de leur part.
