750 millions de cartes SIM vulnérables au piratage

750 millions de cartes SIM vulnérables au piratage

Un chercheur spécialisé dans la sécurité des téléphones mobiles vient de mettre en évidence une faille qui concernerait 750 millions de cartes SIM à travers le monde soit 25% des cartes existantes.

Publié le 22 juillet 2013 - 15:18 par La rédaction

Une faille de sécurité a été découverte sur des cartes SIM. Elle pourrait concerner 25% d’entre elles. Des puces anciennes sont concernées, dont le chiffrement a été remplacé depuis 2008. Le chercheur qui a trouvé cette faille est Karsten Nohl, fondateur du Security Research Labs à Berlin. Il a découvert qu’il était possible d’envoyer un faux message d’opérateur à un terminal et de lui imposer une réponse automatique générant une clé de sécurité. Une fois cette clé en main, le hacker peut envoyer un virus à la carte SIM qui une fois infectée est sous le contrôle malveillant du pirate, qui n’a plus qu’à intercepter des messages, prendre le contrôle intégral du mobile ou effectuer des paiements. Les cartes SIM étudiées utiliseraient un protocole de chiffrement Data Encryption Standard (DES).

Nos puces actuelles sont sans danger

Cette faille a été signalée aux fabricants de cartes SIM et aux opérateurs concernés. Le chercheur Allemand présentera le 31 juillet prochain à la conférence Black Hat de Las Vegas les résultats d’une étude portant sur la sécurité des cartes SIM. Cette faille ne concerne pas les puces AES actuelles qui sont inviolables.

Advertisements

Ailleurs sur le web





  • getchoo

    « inviolables » en dernier mot. super… et alors qu’on vient de parler d’un système qu’on disait inviolable il y a encore seulement quelques années, et qui comme toujours s’avère finalement faillible.

  • getchoo

    « inviolables » en dernier mot. super… et alors qu’on vient de parler d’un système qu’on disait inviolable il y a encore seulement quelques années, et qui comme toujours s’avère finalement faillible.

  • Toapo

    Aucun système informatique/électronique n’est inviolable, ou il l’est à un instant T.

  • crakotte

    Tout ce qui ai fait par l’homme peu se défaire par l’homme

  • Johannes Baagoe

    Inviolable, c’est s’avancer beaucoup, mais aucune attaque pratique n’est connue contre AES, et le gouvernement US le préconise pour protéger ses propres secrets. Ça m’étonnerait que ce soit là le maillon faible d’un protocole de chiffrement ou d’authentification quel qu’il soit, il y a tellement d’autres détails qui peuvent foirer…

    En revanche, que des fabricants de puces continuent à utiliser encore DES quinze ans après qu’il a été cassé, ça me laisse rêveur. Même si dans le cas particulier évoqué ici, il faut d’autres failles en plus (un mauvais isolement du moteur Java, notamment) pour réaliser l’exploit. En pratique, ça m’étonnerait qu’on voie beaucoup de dégâts, mais c’est quand même très embarrassant pour quelques fournisseurs.