Faille de sécurité : 750 millions de cartes SIM sont vulnérables

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Faille de sécurité : 750 millions de cartes SIM sont vulnérables

Publié le 22 juillet 2013 à 12:23 par Mathieu M.

Lire sur mobile

Un chercheurs en sécurité vient d’annoncer avoir trouvé une vulnérabilité majeure au niveau du système de chiffrement de certaines cartes SIM. Des millions d’appareils sont potentiellement sans défense.

Le New York Times vient de rapporter qu’un chercheur spécialisé dans la sécurité mobile aurait découvert une faille touchant près de 750 millions de téléphones dont le système de chiffrement de la carte SIM offre une porte d’entrée aux hackers.

Karsten Nohl, fondateur de la société allemande Security Research Labs a ainsi découvert qu’il était possible d’envoyer un faux message d’opérateur à un téléphone tout en lui imposant une réponse automatique dans 25% des cartes SIM utilisant le chiffrement DES ( Data Encryption Standard). Un message dont la réponse automatique permet de récupérer la clef de sécurité 56-bit de la SIM.

Une fois cette clef en main, Karsten Nohl a été capable d’envoyer un virus à la carte SIM depuis un simple SMS. Le virus lui a permis de prendre le contrôle total du téléphone ciblé, d’intercepter les messages entrants et sortants ainsi que de réaliser des paiements auprès de l’opérateur. Une opération qui n’aurait pas pris plus de 2 minutes en tout et pour tout depuis un simple PC.

Ces deux dernières années, le chercheur a testé cette méthode sur plus de 1000 cartes SIM utilisées en Amérique du Nord et en Europe. Le DES est utilisé dans plus de 3 milliards de cartes SIM à travers le monde, parmi lesquels Karsten Nohl estime à 750 millions le nombre de cartes souffrant de la faille citée.

Beaucoup d’opérateurs utilisent des cartes SIM avec un système de triple chiffrement DES, une méthode qui ne propose pas la faille découverte. Depuis quelques années, le DES a été remplacé par le chiffrement AES ( Advanced Encryption Standard).

La faille a été partagée avec la GSM Association qui a averti les fabricants de cartes SIM et les opérateurs de la situation. Une étude est en cours afin de proposer une solution adaptée au problème.

Karsten Nohl devrait de son côté présenter sa manipulation en détail lors de la conférence Black Hat le 1er août prochain. Une liste comparative des différentes cartes SIM et de leur protocole de sécurité en fonction des opérateurs devrait également être publiée au mois de décembre. D’ici là, les opérateurs devraient avoir réussi à combler la faille.

Source : The Verge