Une faille de sécurité a été découverte sur des cartes SIM. Elle pourrait concerner 25% d’entre elles. Des puces anciennes sont concernées, dont le chiffrement a été remplacé depuis 2008. Le chercheur qui a trouvé cette faille est Karsten Nohl, fondateur du Security Research Labs à Berlin. Il a découvert qu’il était possible d’envoyer un faux message d’opérateur à un terminal et de lui imposer une réponse automatique générant une clé de sécurité. Une fois cette clé en main, le hacker peut envoyer un virus à la carte SIM qui une fois infectée est sous le contrôle malveillant du pirate, qui n’a plus qu’à intercepter des messages, prendre le contrôle intégral du mobile ou effectuer des paiements. Les cartes SIM étudiées utiliseraient un protocole de chiffrement Data Encryption Standard (DES).

Nos puces actuelles sont sans danger

Cette faille a été signalée aux fabricants de cartes SIM et aux opérateurs concernés. Le chercheur Allemand présentera le 31 juillet prochain à la conférence Black Hat de Las Vegas les résultats d’une étude portant sur la sécurité des cartes SIM. Cette faille ne concerne pas les puces AES actuelles qui sont inviolables.

5 Commentaires

  1. « inviolables » en dernier mot. super… et alors qu’on vient de parler d’un système qu’on disait inviolable il y a encore seulement quelques années, et qui comme toujours s’avère finalement faillible.

  2. « inviolables » en dernier mot. super… et alors qu’on vient de parler d’un système qu’on disait inviolable il y a encore seulement quelques années, et qui comme toujours s’avère finalement faillible.

  3. Inviolable, c’est s’avancer beaucoup, mais aucune attaque pratique n’est connue contre AES, et le gouvernement US le préconise pour protéger ses propres secrets. Ça m’étonnerait que ce soit là le maillon faible d’un protocole de chiffrement ou d’authentification quel qu’il soit, il y a tellement d’autres détails qui peuvent foirer…

    En revanche, que des fabricants de puces continuent à utiliser encore DES quinze ans après qu’il a été cassé, ça me laisse rêveur. Même si dans le cas particulier évoqué ici, il faut d’autres failles en plus (un mauvais isolement du moteur Java, notamment) pour réaliser l’exploit. En pratique, ça m’étonnerait qu’on voie beaucoup de dégâts, mais c’est quand même très embarrassant pour quelques fournisseurs.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here