Alors que l'utilisateur lambda s'accomodera sans mal, et méfiance, de son gadget dernier cri, certains se sentent toujours obligés de chercher la petite bête. On connaissait alors les failles de sécurité inhérentes à certains smartphones, comme l'iPhone d'Apple ou le Galaxy Note II de Samsung en ce début d'année, mais en voici une d'une toute autre nature capable de s'attaquer à n'importe quel téléphone portable équipé d'une carte SIM... Autant dire tous !
Cette découverte malheureuse, c'est au cryptographe allemand Karsten Nohl que nous la devons. Après trois ans de recherches, le gaillard semble même plutôt fier d'avoir réussi son pari de contourner le système de sécurité, jusque là pensé incontournable, de l'une des puces les plus répandues au monde. Et évidemment, à crier ce genre de choses sur tous les toits, il y a fort à parier que bien des hackers vont désormais s'atteler à la même tâche. Nohl estime d'ailleurs leur travail d'une durée de six mois avant qu'ils ne parviennent eux aussi à leur but, aidé qui plus est par quelques indications qu'ils vient de révélés. Mais point trop n'en faut, il gardera le reste sous scellé jusqu'au Black Hat, un événement consacré à la sécurité, qui ouvrira ses portes le 31 juillet prochain aux Etats-Unis.
Pour l'heure, nous savons que la faille de sécurité proviendrait du standard d'encodage des données (DES) appliqué aux cartes SIM, ou une partie estimée à un huitièmes des cartes SIM actuellement en circulation. Certains opérateurs, tels que l'américain AT&T, se disent toutefois non concernés grâce à l'utilisation triple de ce même standard (3DES), reposant sur l'application successive du même algorithme de chiffrement chargé d'encoder, et donc de protéger, les données.
La réussite du décodage tiendrait dans l'exploitation du Java Card, un système d'exploitation intégré aux cartes intelligentes et permettant l'éxécution d'applications utilisées par les opérateurs notamment pour certaines opérations. Pour ce faire, il suffit alors d'envoyer des SMS binaires, différent des SMS Texte et invisible par l'utilisateur, afin de commander le programme souhaité. Et c'est justement en "jouant" avec les programmes installés que la clé pourraît être trouvée. Une fois le système de sécurité contourné, le hacker pourrait programmé un virus capable notamment de récolter des données de localisation ou d'émettre des appels ou SMS surtaxés et faire ainsi gonfler la note.
Enfin, une seconde faille de sécurité aurait été repérée, indépendamment de l'encodage des données, et permettrait, elle, d'accéder aux fichiers des applications de paiement installées sur la carte. Une chance qu'une telle découverte ait lieu avant que le paiement par téléphone n'explose réellement, notamment grâce au NFC... Les opérateurs ont rapidement affirmé qu'ils s'emploieraient, tous ensemble, à corriger le problème le plus rapidement possible.