Des essais menés dans le Nevada laissent penser que Google évolue vers le LTE sur son projet Loon qui recourt à des ballons de haute altitude.

L'Image du jour

Des essais menés dans le Nevada laissent penser que Google évolue vers le LTE sur son projet Loon qui recourt à des ballons de haute altitude.

Big data : zoom sur les usages et les applications

Dernier Dossier

Big data : zoom sur les usages et les applications

2014 devrait être une année de transition pour le big data en France. En effet, les projets se multiplient et commencent timidement à se professionnal...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

PARTNER ZONE
Nous vous proposons des espaces d'information et de services dédiés à des acteurs du marché IT. Vous y trouverez de nombreux livres blancs, vidéos, articles...

Partner Desk

Nous vous proposons, dans ces espaces, les dernières nouveautés d'une marque IT.

Webcast

FERMER

OFFRE D'EMPLOI

Découvrez chaque jour des offres d'emploi 100% IT et profitez de toute la puissance de LMI pour promouvoir votre carrière.

Accéder au site 

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 
FERMER
0
Réagissez Imprimer Envoyer

Vulnérabilités des cartes SIM, faciles à corriger selon un chercheur

Les opérateurs de téléphonie et les fournisseurs de cartes SIM ont évité de s'accuser mutuellement et cherchent des solutions.

Selon le chercheur allemand en sécurité à l'origine de la découverte de la faille, les opérateurs pourraient facilement corriger les graves problèmes de sécurité auxquelles sont exposées des millions de cartes SIM. Plus tôt cette semaine, Karsten Nohl, un chercheur du Security Research Labs basé à Berlin, a fait savoir que des millions de cartes SIM utilisent probablement un système de chiffrement datant des années 70. Or, ce mode de cryptage, aujourd'hui totalement dépassé, sert à authentifier les mises à jour logicielles over-the-air (OTA). Selon le chercheur, il est possible de tromper certains types de cartes SIM pour récupérer une clé chiffrée de 56-bit au standard DES (Data Encryption Standard), que l'on peut décrypter avec un ordinateur ordinaire. En envoyant une fausse mise à jour par OTA à un téléphone, Karsten Nohl a découvert que certaines cartes SIM retournaient un code d'erreur contenant cette clef mal protégée. Avec cette clef, il serait possible d'envoyer un spyware au téléphone, lequel pourrait accéder à des données critiques en passant par la machine virtuelle Java de la carte, un framework présent sur quasiment toutes les cartes SIM vendues dans le monde.

Dans une interview, le chercheur a déclaré mardi que, en extrapolant ses tests menés sur un échantillon de 1000 cartes SIM provenant de divers opérateurs, 500 millions de téléphones, peu importe leur marque, pourraient être exposés à cette vulnérabilité, principalement en Europe. Mais selon lui, ce problème de cryptage insuffisant et le message d'erreur contenant la clef peuvent être corrigés en utilisant la même technique que celle qui servirait à exploiter la faille, autrement dit, en passant par une mise à jour OTA. Il existe un grand nombre de cartes SIM, mais tout opérateur peut transmettre aux fabricants les spécifications Gemalto des cartes utilisées sur son réseau. « De nombreuses cartes SIM intègrent les anciennes configurations et leur technologie, comme le DES, remonte à plus d'une décennie », explique le chercheur. « Pour certaines cartes SIM vulnérables, il peut être possible de désactiver le cryptage DES et d'activer le cryptage Triple DES actuellement utilisé, et plus fiable », a ajouté Karsten Nohl.

Une mise à jour presque invisible pour les usagers

« Les utilisateurs ne sauront même pas que leurs téléphones ont été mis à jour. Les opérateurs font fréquemment des mises à jour invisibles en envoyant des codes SMS spéciaux pour changer les paramètres d'itinérance, par exemple », a-t-il déclaré. Une mise à jour OTA pourrait également empêcher les mobiles de retourner le message d'erreur avec la fameuse clef. Les opérateurs peuvent également modifier leurs centrales SMS, qui traitent tous les messages SMS. Parce que les codes SMS transportant les mises à jour logicielles sont très spécifiques, les opérateurs peuvent configurer leurs pare-feu pour filtrer les codes et n'autoriser que ceux émis par leurs serveurs », a encore expliqué le chercheur du Security Research Labs. Un grand nombre d'opérateurs étant concernés par le problème, le laboratoire berlinois a contacté la GSM Association pour lui communiquer les détails de sa découverte afin que celle-ci relaye l'information auprès de tous les opérateurs.

Il y avait matière à ce que les opérateurs et les fournisseurs de cartes SIM s'accusent mutuellement, mais « chacun a préféré adopter une attitude très constructive et chercher des solutions ». « Du coup, aucun coupable n'a été montré du doigt », s'est félicité Karsten Nohl  qui a prévu de présenter en détail sa recherche et donner plus d'éléments sur les vulnérabilités des cartes SIM et d'autres failles lors de la conférence Black Hat sur la sécurité le 31 juillet prochain.

Article de

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité