Passer du SMS au RCS peut poser des problèmes de sécurité à cause des opérateurs

On aurait préféré dire RAS sur le RCS

 
Des chercheurs spécialisés dans la cybersécurité se sont rendu compte que le passage du SMS au RCS comprenait des failles de sécurité dues à la manière dont les opérateurs intégraient le nouveau protocole.

Le RCS est le remplaçant désigné du SMS. Ce protocole Rich Communication Services a été créé par le consortium GSMA et permet de profiter de plus de fonctionnalités que ce que proposent actuellement les traditionnels SMS.

Avec le RCS, on peut ainsi envoyer des contenus photos et vidéos en haute qualité, savoir si notre interlocuteur a lu notre message, créer des conversations de groupes, faire des appels vidéo, etc. Mais surtout, la force de ce protocole c’est son interopérabilité. À partir du moment où deux applications de messagerie différentes l’adoptent, elles peuvent communiquer entre elles.

Cependant, le RCS semble aussi poser souci au niveau de la sécurité. En effet, comme le relate Vice Motherboard, le spécialise de la sécurité informatique, Security Research Labs (SRLabs) a repéré d’inquiétantes failles dans la manière dont les opérateurs télécoms implémentent ce protocole sur leurs services.

Sécurité compromise

Pour ne pas en dévoiler trop à d’éventuels hackers mal intentionnés, les équipes de SRLabs ne donnent pas les détails exacts de leurs observations. Elles indiquent tout de même que dans certains cas, les messages et appels peuvent être espionnés, les informations de géolocalisation compromises et les numéros de téléphone usurpés.

SRLabs ne révèle pas non plus le nom des opérateurs mis en cause. Rappelons tout de même que le RCS est en train d’être implémenté par au moins 100 opérateurs à travers le monde. En France, cela dit, c’est Google qui a poussé le protocole sur son client de messagerie Google Messages — anciennement Android Messages.

Ces erreurs des années 90

Chez un opérateur, les chercheurs ont découvert qu’il était possible pour une application de télécharger l’identifiant et le mot de passe de l’utilisateur pour accéder à un client de messagerie RCS et consulter tous les messages envoyés et reçus.

Dans un autre cas, le code secret envoyé par l’opérateur à l’utilisateur afin de vérifier son identité pouvait être deviné par un tiers via une attaque par force brute. « Nous trouvons que c’est en fait un pas en arrière pour beaucoup de réseaux », confie l’un des auteurs de l’étude à Motherboard. « Toutes ces erreurs des années 90 sont réinventées, réintroduites », ajoute-t-il.

Présentation face à la GSMA

Les spécialistes de SRLabs vont présenter leurs observations à la GSMA dans quelques jours. « Nous sommes reconnaissants envers les chercheurs d’avoir donné à l’industrie l’occasion d’examiner leurs conclusions. La GSMA accueille favorablement toute recherche qui améliore la sécurité et la confiance des utilisateurs des services mobiles », a déclaré un porte-parole du consortium à Motherboard.

Pour aller plus loin
iMessage à la Google : comprendre le RCS en France en 10 questions


Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).

Les derniers articles