Un spécialiste de la sécurité sur mobile a déclaré avoir découvert une faille touchant plus de 700 millions de cartes SIM à travers le monde… Des puces anciennes dont le chiffrement a été remplacé depuis 2008 !
Après la faille qui concernait potentiellement 99 % des smartphones sous Android, et celle qui aurait permis à Facebook de collecter les numéros de téléphones de ses utilisateurs via la simple installation de l’application, voici un problème d’un tout nouveau genre qui viendrait directement de la carte SIM. En effet, Karsten Nohl, fondateur du Security Research Labs à Berlin, a dévoilé l’existence d’une faille qui permettrait à des personnes malveillantes de prendre le contrôle d’un smartphone via la carte SIM installée sur celui-ci. Le hack utiliserait le chiffrement DES (Data Encryption Standard), dont la réponse automatique ouvre la puce à modification. Le spécialiste a déclaré au New York Times, qu’il avait réussi à envoyer un virus sur la puce via un simple SMS. Ce message texte aurait intégré le système du smartphone donnant au hacker la possibilité d’espionner les faits et gestes de son propriétaire. Par cela, il entend qu’il est possible d’intercepter les moyens de paiement mobile utilisés sur le smartphone ainsi que l’usurpation de l’identité du mobinaute. Le hack lui aurait pris uniquement deux minutes avec l’aide d’un simple ordinateur portable.
Cette faille pourrait ainsi toucher près de 750 millions de cartes SIM sur les trois milliards en circulation dans le monde. Le spécialiste a en revanche précisé que l’ensemble des cartes touchées étaient en fait d’anciennes cartes. La nouvelle génération de puces SIM utilise désormais le chiffrement AES (Advanced Encryption Standard) et non plus le DES. Ce nouveau standard octroie en effet une sécurité renforcée à la puce.
Les nouvelles SIM épargnées
De quoi nous rassurer puisqu’il est improbable de voir des anciennes SIM installées sur des smartphones pouvant se connecter à Internet. Ceci pour la simple raison que ces anciennes puces n’ont pas la capacité de se connecter à Internet et n’ont donc aucune raison de faire l’objet d’une fuite de data quelconque. Les nouvelles puces, qui nous permettent d’aller sur le web en haut débit sont elles, bien plus sécurisées. Les opérateurs ont d’ailleurs déjà commencé depuis 2008 à livrer des puces AES, rendant impossible toute infiltration.
Quoi qu’il en soit, Karsten Nohl devrait présenter plus largement cette faille lors de la conférence Black Hat, qui se déroulera à Las Vegas, le 1er août prochain. Un effet d’annonce pour attirer les feux des projecteurs sur son entreprise ?
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
Mon papy/mamy ne savent pas utiliser internet et c'est même Satan pour eux ._.
Pas lié à cet article en particulier, mais les résumés de Frandroid (que l'on apercoit dans Google news par exemple) remontent la bio de l'auteur, au lieu du début de l'article :(
"des puces AES, rendant impossible toute infiltration.", probablement il a été dit la même chose à propos des SIM DES il y a quelques années. En sécurité informatique, RIEN n'est sécurisé à 100%, rien n'est impossible à cracker. C'est juste plus ou moins difficile. Soit il y a une faille, soit la puissance de calcul grandissante chaque année finit par rendre vulnérable les anciens systèmes.
je suis passé chez orange vers 2006 avec a l'époque un sony ericsson w800i. j'arrivais deja à me connecter en 2g j'avais d'ailleur pris l'option wap... j'ai gardé la même sim pendant 5 ans... j'avais alors un xperia arc qui lui se connectait en 3g... et n'oubliez pas qu'une sim ça se decoupe si il faut l'adapter en micro sim donc a mon avis il y en a encore un peu circulation<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>
En quoi une vieille carte SIM empeche de se connecter au NET?? Il me semble que la vieille SIM de plus de 10 ans que j'ai se connecte au 4G sans plus...au fait c'est le Samsung S4 qui le fait. (J'ai fait decouper la SIM)
Un quart des cartes SIM en circulation utilisent toujours DES ;-) Il s'agit surtout de faire pression sur les opérateurs pour qu'il les remplacent.
Surtout (bis) quand le titre de l'article fait lui même dans un beau racollage bien baveux : " UNE FAILLE DÉCOUVERTE SUR LES CARTES SIM" Il eut été plus mesuré de dire "sur les cartes SIM ancienne génération".
Surtout quand on sait que c'est le gars qui a cassé A5/1, la fonction de chiffrement GSM (2G), celle des puces RFID Mifare classic,découvert des failles dans les implémentations GPRS, le chiffrement des téléphones sans fils d'intérieur DECT, etc ... C'est pas comme-ci il avait besoin de se faire connaître.
C'est les préjugés mais c'est ce que je vois majoritairement :) Et bien que mon commentaire était carricaturé (je pensais que c'était visible mais apparemment non), mes grands parents ont eu besoin d'un bon petit temps d'adaptation pour savoir se servir de l'informatique
j'allais sur internet avec ma vielle carte sim aussi..tous comme mon père qui a 73 ans avais la même carte sim orange depuis une quinzaine d'année (avant que je le fasse passer au forfait 2€ chez free) et il s'ait tres bien utilisé internet...c'est surtout les préjuger sur les papy/mamy qu'i faut arrêter.....
Pas ceux qui ont la même carte sim depuis 10 ans en général :)
Non moi je parlais bien des gens qui ont un vieux téléphone et une vieille carte sim :) Moi aussi je compte garder mon numéro le plus longtemps possible, t'inquietes pas.
j'avais mon forfait BT pendant 10 ans,(avant de changer pour free) avec la même carte sim et je ne suis pas un "papy/mamy qui ne sait pas ce qu'est internet" il faut arrêter ces préjuger sur les papy/mamy, c’était peut vrai qu'il ne connaissait pas internet il y as 15 ans ou ne s'en servait pas, mais ont est en 2013 est beaucoup de papy/mamy utilise internet que ce soit sur portable ou sur pc....
Oui sur des puces de génération passé , donc une étude qui ne sert a rien juste a prouver qu'avec des moyens modernes on peut hacker une "ancienne" technologie quoi ... Aller je retourne Hacker mon 3310 :-)
pardon ;) je m'excuse
Les téléphones peuvent se connecter depuis, au bas mot 10 ans. Sans doute plus d'ailleurs, mais sort un bloc monochrome,tu verras qu'il y a une icône internet. Seulement en GPRS, mais ça existe, et fonctionne, donc la sim aussi. La sim ne fait que "t'authentifier", c'est ton téléphone qui définit si tu peux te connecter ou non
j'ai le même numéro depuis plus de 10 ans et sa ne m'empêche pas de changer de carte sim à chaque fois que je change de téléphone
Le meme rapport qu'avec une carte sim sui te connecte à un reseau téléphonique... faut revoir la base de la technique
De toute façon je pense pas que les gens qui ont le même forfait depuis dix ans ont quelque chose a craindre , puisque ce sont en majorité des papys-mamies qui savent peut être a peine ce qu'est Internet, et encore moins comment s'y connecter avec leur téléphone :p
" Ceci pour la simple raison que ces anciennes puces n’ont pas la capacité de se connecter à Internet " Quel rapport avec la possibilité de se connecter à internet et la carte sim ??
"Un effet d’annonce pour attirer les feux des projecteurs sur son entreprise ?" C'est quoi cette conclusion à con ? -___-
"De quoi nous rassurer puisqu’il improbable de voir des anciennes SIM installées sur des smartphones pouvant se connecter à Internet. Ceci pour la simple raison que ces anciennes puces n’ont pas la capacité de se connecter à Internet et n’ont donc aucune raison de faire l’objet d’une fuite de data quelconque." Je me connectais à internet avec ma carte sim de 2000 sur mon blackberry (sans option), alors bon ...
je l'ai lu sur un autre site tout à l'heure, mais c'était pas aussi complet (surtout la fin de l'article). Merci au moins en France on est rassuré, sauf les irréductibles gaulois qui ont encore un 3310 avec le même numéro depuis Mathusalem...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix