Vulnérabilité des cartes SIM : plus de peur que de mal
La semaine dernière, le laboratoire Security Research a annoncé avoir trouvé une faille dans une technologie de chiffrement utilisée par des cartes SIM et permettant de les pirater. Selon Marc Rogers, Responsable de recherches chez l'éditeur Lookout, leader de la sécurité pour téléphones mobiles et tablettes, " Il existe deux failles : la première se situe au niveau du système qui permet à un attaquant d'installer, sans autorisation et à distance, des applications sur une carte SIM. La seconde faille se trouve sur la machine virtuelle Java (JVM) embarquée sur la puce de la carte - elle donne accès aux zones protégées de la mémoire et octroie des privilèges supérieurs aux applications fraîchement installées sur la carte ".
" Les cartes SIM qui sont vulnérables, renferment une faille fonctionnelle générant l'envoi de réponses signées à des messages, même si ces derniers sont corrompus ; elles utilisent d'autre part un protocole de chiffrement vieillissant (DES). L'attaquant pourra tirer parti de la seconde vulnérabilité - la faille de la JVM embarquée sur la puce - uniquement après avoir installé des applications sur la carte SIM en profitant de la première brèche", souligne Marc Rogers.
D'après Lookout : " Le risque est élevé : une personne malintentionnée pourrait installer un programme malveillant écrit en Java sur les cartes SIM, ou bien encore cloner des cartes SIM. Un subterfuge très sophistiqué qui, heureusement, ne semble pas pour l'instant avoir été utilisé. Néanmoins, ne nous affolons pas " temporise l'entreprise " Si le nombre de cartes SIM concernées par le problème est impressionnant au demeurant, il représente un faible pourcentage (entre 10 et 20 % selon les estimations actuelles) par rapport au nombre total de cartes en circulation ".
Les opérateurs télécoms concernés ont une solution possible pour traiter la première vulnérabilité : rappeler les cartes SIM incriminées étant donné leur nombre restreint, puis en fournir de nouvelles aux abonnés davantage sécurisées. La correction de la première vulnérabilité sera une étape critique puisqu'elle est la seule méthode d'exploitation connue à ce jour ; le problème au niveau de la JVM nécessitera probablement plus de temps pour être résolu.
Selon Lookout, cet épisode montre clairement qu'aborder la sécurité comme un problème matériel n'est pas la meilleure solution. La carte SIM est un excellent exemple d'objet connecté puisqu'il s'agit d'un petit système informatique autonome qui se connecte de lui-même à des réseaux pour effectuer les tâches qui lui sont dévolues. En améliorant la gestion des logiciels à bord des cartes SIM, ceux-ci pourront être facilement mis à jour à distance par le biais de correctifs ou de nouvelles versions. Une solution qui évitera de rappeler des tonnes de cartes SIM et présentera l'avantage de résoudre les problèmes nettement plus rapidement tout en rendant les utilisateurs moins vulnérables.