Google vérifie les extensions du Web Store de Chrome. Malgré cela, certaines sont utilisées pour la fraude en affiliation et le vol de données.

L'Image du jour

Google vérifie les extensions du Web Store de Chrome. Malgré cela, certaines sont utilisées pour la fraude en affiliation et le vol de données.

Start-up 2014, les nouveaux maîtres de la Silicon Valley

Dernier Dossier

Start-up 2014, les nouveaux maîtres de la Silicon Valley

En juin dernier, nous étions de retour à San Francisco et dans la Silicon Valley avec une dizaine de journalistes européens pour la quinzième édition ...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

ESPACE PARTENAIRE

Webcast

FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Vulnérabilités des cartes SIM, faciles à corriger selon un chercheur

Les opérateurs de téléphonie et les fournisseurs de cartes SIM ont évité de s'accuser mutuellement et cherchent des solutions.

Selon le chercheur allemand en sécurité à l'origine de la découverte de la faille, les opérateurs pourraient facilement corriger les graves problèmes de sécurité auxquelles sont exposées des millions de cartes SIM. Plus tôt cette semaine, Karsten Nohl, un chercheur du Security Research Labs basé à Berlin, a fait savoir que des millions de cartes SIM utilisent probablement un système de chiffrement datant des années 70. Or, ce mode de cryptage, aujourd'hui totalement dépassé, sert à authentifier les mises à jour logicielles over-the-air (OTA). Selon le chercheur, il est possible de tromper certains types de cartes SIM pour récupérer une clé chiffrée de 56-bit au standard DES (Data Encryption Standard), que l'on peut décrypter avec un ordinateur ordinaire. En envoyant une fausse mise à jour par OTA à un téléphone, Karsten Nohl a découvert que certaines cartes SIM retournaient un code d'erreur contenant cette clef mal protégée. Avec cette clef, il serait possible d'envoyer un spyware au téléphone, lequel pourrait accéder à des données critiques en passant par la machine virtuelle Java de la carte, un framework présent sur quasiment toutes les cartes SIM vendues dans le monde.

Dans une interview, le chercheur a déclaré mardi que, en extrapolant ses tests menés sur un échantillon de 1000 cartes SIM provenant de divers opérateurs, 500 millions de téléphones, peu importe leur marque, pourraient être exposés à cette vulnérabilité, principalement en Europe. Mais selon lui, ce problème de cryptage insuffisant et le message d'erreur contenant la clef peuvent être corrigés en utilisant la même technique que celle qui servirait à exploiter la faille, autrement dit, en passant par une mise à jour OTA. Il existe un grand nombre de cartes SIM, mais tout opérateur peut transmettre aux fabricants les spécifications Gemalto des cartes utilisées sur son réseau. « De nombreuses cartes SIM intègrent les anciennes configurations et leur technologie, comme le DES, remonte à plus d'une décennie », explique le chercheur. « Pour certaines cartes SIM vulnérables, il peut être possible de désactiver le cryptage DES et d'activer le cryptage Triple DES actuellement utilisé, et plus fiable », a ajouté Karsten Nohl.

Une mise à jour presque invisible pour les usagers

« Les utilisateurs ne sauront même pas que leurs téléphones ont été mis à jour. Les opérateurs font fréquemment des mises à jour invisibles en envoyant des codes SMS spéciaux pour changer les paramètres d'itinérance, par exemple », a-t-il déclaré. Une mise à jour OTA pourrait également empêcher les mobiles de retourner le message d'erreur avec la fameuse clef. Les opérateurs peuvent également modifier leurs centrales SMS, qui traitent tous les messages SMS. Parce que les codes SMS transportant les mises à jour logicielles sont très spécifiques, les opérateurs peuvent configurer leurs pare-feu pour filtrer les codes et n'autoriser que ceux émis par leurs serveurs », a encore expliqué le chercheur du Security Research Labs. Un grand nombre d'opérateurs étant concernés par le problème, le laboratoire berlinois a contacté la GSM Association pour lui communiquer les détails de sa découverte afin que celle-ci relaye l'information auprès de tous les opérateurs.

Il y avait matière à ce que les opérateurs et les fournisseurs de cartes SIM s'accusent mutuellement, mais « chacun a préféré adopter une attitude très constructive et chercher des solutions ». « Du coup, aucun coupable n'a été montré du doigt », s'est félicité Karsten Nohl  qui a prévu de présenter en détail sa recherche et donner plus d'éléments sur les vulnérabilités des cartes SIM et d'autres failles lors de la conférence Black Hat sur la sécurité le 31 juillet prochain.

Article de

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité