Plus tôt cette semaine, Karsten Nohl, chercheur en sécurité à Laboratoires SR, a révélé sa découverte d'une faille massive dans le cryptage des cartes SIM qui pourrait rendre vulnérables aux attaques jusqu'à 750 millions des 7 milliards d'appareils équipés d'une carte SIM dans le monde. Il ne s’agit pas seulement de simples manigances de piratage: si la carte SIM de votre téléphone est compromise, c’est l’équivalent d’un vol d’identité sur un téléphone. Un intrus peut faire beaucoup de dégâts.
Une carte SIM – ou module d'identité d'abonné – indique à votre opérateur de téléphonie mobile qui vous êtes et qu'il peut vous faire confiance. Les pirates qui exploitent votre carte SIM pourraient accéder à votre compte d'opérateur sans fil, à certains SMS et contacts, ainsi qu'à vos informations d'identification réseau. En utilisant ces informations, ils pourraient modifier votre compte opérateur, rediriger vos appels téléphoniques, cloner votre numéro de téléphone sur un autre téléphone, voler vos informations de paiement. (y compris certaines applications de paiement NFC), modifiez votre messagerie vocale, envoyez des SMS comme vous le souhaitez et obtenez votre position exacte en envoyant une requête ping à votre opérateur, entre autres. La liste des actes ignobles possibles avec l’accès à la carte SIM est longue, et pénétrer dans votre téléphone est presque aussi simple que d’envoyer un message texte.
Vidéos recommandées
Les utilisateurs d'AT&T, Sprint, T-Mobile et Verizon sont en sécurité
Heureusement, vous n'aurez peut-être pas à vous inquiéter. Malgré les nombreux rapports vagues et effrayants circule, si vous habitez aux États-Unis, votre carte SIM (cette petite carte qui se trouve généralement sous la batterie de votre téléphone) ne risque probablement pas d’être piratée.
Les représentants des quatre principaux opérateurs de téléphonie mobile aux États-Unis – AT&T, Sprint, T-Mobile et Verizon – ont confirmé auprès de Digital Trends qu'ils n'utilisaient pas l'ancien DES 56 bits (Norme de cryptage des données) Cartes SIM vulnérables à l’exploit de Nohl. Cette norme vieillissante de 1977 est encore utilisée dans certaines régions du monde et est beaucoup moins sûre que les normes plus récentes de 1998 comme l'AES (Standard d'encryptage avancé) et Triple DES. Cela signifie que la grande majorité des abonnés aux États-Unis sont en sécurité. La plupart des petits opérateurs comme Virgin, Boost, Ting et d'autres s'appuient sur les réseaux des principaux opérateurs, ce qui les met également à l'abri de cet exploit.
Si vous possédez un téléphone qui a presque sept ans, achetez-en un nouveau. Sinon, vous êtes en sécurité.
Sprint et Verizon, qui n'utilisaient pas du tout de cartes SIM avant de commencer à déployer des réseaux 4G LTE haut débit, nous ont déclaré que « 100 % » de leurs cartes SIM utilisaient des normes de cryptage plus récentes et plus sûres.
"Les cartes SIM Verizon ne sont pas vulnérables à cette attaque potentielle en raison de la manière dont elles sont conçues et fabriquées", a déclaré un représentant de Verizon. "Nous prenons très au sérieux la confidentialité et la sécurité de nos clients et continuerons à travailler avec nos fournisseurs de cartes SIM, des groupes industriels et d'autres pour prévenir et contrecarrer tout problème de sécurité."
AT&T et T-Mobile ont utilisé la norme vulnérable DES dans le passé, mais utilisent Triple DES depuis de nombreuses années. Les représentants d’AT&T ont déclaré qu’ils n’avaient pas utilisé la norme piratable depuis « près d’une décennie ». T-Mobile n'a pas utilisé cela pendant « au moins sept ans ». Si vous possédez un téléphone qui a presque sept ans, achetez-en un nouveau. un. Sinon, vous êtes en sécurité. Les représentants de T-Mobile nous ont également confirmé que les abonnés Metro PCS sont également en sécurité.
Une autre raison de ne pas s'inquiéter
Mais que devez-vous faire si vous n’utilisez pas l’un des grands transporteurs américains ou un petit fournisseur qui utilise un de leurs réseaux? Faut-il s'inquiéter? Nohl dit que tout le monde devrait rester calme.
"Pour le moment, il n'y a aucune raison de s'inquiéter, car les criminels mettront probablement des mois à réappliquer les résultats de la recherche", a déclaré Nohl à Digital Trends. "Si, au moment où ils le font, les réseaux n'ont pas mis en place de défenses réseau ou mis à niveau leurs cartes SIM à distance, il est peut-être temps de demander une nouvelle carte SIM." Il ajoute, "Les abus sont probablement encore dans des mois", et SR Labs a partagé ses résultats "il y a plusieurs mois et a toujours eu un dialogue très constructif avec les transporteurs". depuis."
L’équipe de Nohl a passé trois ans à tester plus de 1 000 cartes SIM pour découvrir le bug. Nohl va parler plus en détail sur la vulnérabilité lors de la conférence sur la sécurité BlackHat le 1er août 2013.
Que faire si vous êtes toujours inquiet
Si vous ne vivez pas aux États-Unis ou ne connaissez pas le statut de votre opérateur, le mieux est d'appeler votre opérateur de téléphonie mobile et de lui demander.
"Demander plus d'informations au fournisseur de services est actuellement la meilleure option", a déclaré Roel Schouwenberg, chercheur principal en sécurité chez Kaspersky Lab. "J'espère qu'ils agiront rapidement et fourniront prochainement plus d'informations sur leurs sites Web."
"Cette nouvelle devrait servir de signal d'alarme à tous les fournisseurs de services qui utilisent encore une technologie obsolète." ajoute Schouwenberg, « tout en soulignant l'importance de promouvoir de nouveaux développements en matière de sécurité lorsque possible."
Schouwenberg souligne qu'il n'existe pas de solution miracle à cet exploit de carte SIM si vous l'avez. Les téléphones affectés par la vulnérabilité de la carte SIM (comme les anciens téléphones à clapet) n'ont accès à aucune forme de logiciel de sécurité qui pourrait aider à prévenir les attaques. Mais si vous êtes aux États-Unis, vous êtes probablement en sécurité. Si ce n’est pas le cas, vous disposez de quelques mois pour passer à un opérateur plus récent.
Mis à jour le 25/07/2013 par Jeffrey Van Camp : Nous pouvons confirmer que Metro PCS utilise également Triple DES, de sorte que les utilisateurs de ce service, qui appartient désormais à T-Mobile, sont à l'abri de cette vulnérabilité.
Article initialement publié le 24/07/2013.
Recommandations des rédacteurs
- La fonctionnalité la plus ennuyeuse de l’iPhone 14 pourrait être pire sur l’iPhone 15
- L'iPhone 14 a-t-il une carte SIM?
