Tout savoir sur : Faille de sécurité des cartes SIM : plus de peur que de mal d'après Lookout
Si vous avez suivi l'actualité de la téléphonie mobile ces derniers jours, vous savez sans doute déjà que le laboratoire Security Research a annoncé avoir trouvé une faille dans la sécurité des cartes SIM, permettant de les pirater. Toutefois, Marc Rogers, Responsable de recherches chez l’éditeur de solutions de sécurité mobiles Lookout, affirme qu'il existerait une seconde faille. Son avis sur la question est un peu technique, mais il vaut le coup d'oeil :
« la première se situe au niveau du système qui permet à un attaquant d’installer, sans autorisation et à distance, des applications sur une carte SIM. La seconde faille se trouve sur la machine virtuelle Java (JVM) embarquée sur la puce de la carte – elle donne accès aux zones protégées de la mémoire et octroie des privilèges supérieurs aux applications fraîchement installées sur la carte. (…) Les cartes SIM qui sont vulnérables, renferment une faille fonctionnelle générant l’envoi de réponses signées à des messages, même si ces derniers sont corrompus ; elles utilisent d’autre part un protocole de chiffrement vieillissant (DES). L’attaquant pourra tirer parti de la seconde vulnérabilité – la faille de la JVM embarquée sur la puce – uniquement après avoir installé des applications sur la carte SIM en profitant de la première brèche ».
Dans son communiqué de presse, Lookout temporise toutefois les retombées de ces deux failles. L'éditeur affirme que le risques est certes élevé, mais que toutes les cartes SIM ne sont pas concernés. Entre 10 et 20 % des cartes en circulation actuellement sont exposées. Cela représente un nombre conséquent vu la masse de cartes SIM dans la nature. Mais c'est finalement assez faible en termes de pourcentage. Toujours d'après Lookout, cet épisode montre clairement qu’aborder la sécurité comme un problème matériel n’est pas la meilleure solution. Et il est difficile de ne pas être d'accord avec lui dans la mesure où en améliorant la gestion des logiciels à bord des cartes SIM, ceux-ci pourront être facilement mis à jour à distance par le biais de correctifs ou de nouvelles versions. Une solution qui évitera de rappeler des tonnes de cartes SIM et présentera l’avantage de résoudre les problèmes nettement plus rapidement tout en rendant les utilisateurs moins vulnérables.