Cette semaine, le laboratoire Security Research a annoncé avoir trouvé une faille dans une technologie de chiffrement utilisée par des cartes SIM et permettant de les pirater.

Selon Marc Rogers, Responsable de recherches chez l’éditeur Lookout, leader de la sécurité pour téléphones mobiles et tablettes, « Il existe deux failles : la première se situe au niveau du système qui permet à un attaquant d’installer, sans autorisation et à distance, des applications sur une carte SIM. La seconde faille se trouve sur la machine virtuelle Java (JVM) embarquée sur la puce de la carte – elle donne accès aux zones protégées de la mémoire et octroie des privilèges supérieurs aux applications fraîchement installées sur la carte ».

« Les cartes SIM qui sont vulnérables, renferment une faille fonctionnelle générant l’envoi de réponses signées à des messages, même si ces derniers sont corrompus ; elles utilisent d’autre part un protocole de chiffrement vieillissant (DES). L’attaquant pourra tirer parti de la seconde vulnérabilité – la faille de la JVM embarquée sur la puce – uniquement après avoir installé des applications sur la carte SIM en profitant de la première brèche» informe Marc Rogers.

D’après Lookout : « Le risque est élevé : une personne malintentionnée pourrait installer un programme malveillant écrit en Java sur les cartes SIM, ou bien encore cloner des cartes SIM. Un subterfuge très sophistiqué qui, heureusement, ne semble pas pour l’instant avoir été utilisé. Néanmoins, ne nous affolons pas » temporise l’entreprise « Si le nombre de cartes SIM concernées par le problème est impressionnant au demeurant, il représente un faible pourcentage (entre 10 et 20 % selon les estimations actuelles) par rapport au nombre total de cartes en circulation »

Les opérateurs télécoms concernés ont une solution possible pour traiter la première vulnérabilité : rappeler les cartes SIM incriminées étant donné leur nombre restreint, puis en fournir de nouvelles aux abonnés davantage sécurisées. La correction de la première vulnérabilité sera une étape critique puisqu’elle est la seule méthode d’exploitation connue à ce jour ; le problème au niveau de la JVM nécessitera probablement plus de temps pour être résolu.

Selon Lookout, cet épisode montre clairement qu’aborder la sécurité comme un problème matériel n’est pas la meilleure solution. La carte SIM est un excellent exemple d’objet connecté puisqu’il s’agit d’un petit système informatique autonome qui se connecte de lui-même à des réseaux pour effectuer les tâches qui lui sont dévolues. En améliorant la gestion des logiciels à bord des cartes SIM, ceux-ci pourront être facilement mis à jour à distance par le biais de correctifs ou de nouvelles versions. Une solution qui évitera de rappeler des tonnes de cartes SIM et présentera l’avantage de résoudre les problèmes nettement plus rapidement tout en rendant les utilisateurs moins vulnérables.

Lookout est une entreprise spécialisée dans la protection des téléphones mobiles et des données, avec pour mission de garantir une expérience utilisateur totalement sécurisée.

La solution Lookout Mobile Security a été distinguée par de nombreux prix, et choisie par Orange pour équiper les Smartphones commercialisés par l’opérateur. Elle prémunit les utilisateurs de téléphones mobiles de tous les types de risques et menaces : logiciels malveillants, hameçonnage (phishing), violation de la vie privée, perte de données et perte du téléphone lui-même.

Fonctionnant sur différentes plates-formes mobiles, et disponible en 11 langues, la solution offre une protection optimale, sans peser toutefois sur les performances ou nuire à l'efficacité des Smartphones. Lookout est leader dans le domaine des solutions de sécurité pour Smartphones, avec à son actif plus de 40 millions d'utilisateurs enregistrés dans 170 pays, abonnés à plus de 400 réseaux mobiles au total.

A la pointe de la technologie et de l’Internet des objets, l’éditeur a également dévoilé récemment une faille de sécurité dans les Google Glass par l’intermédiaire d’un QR Code, un problème corrigé depuis par Google.