Face à la montée des cyberattaques, le FBI et la CISA recommandent d’arrêter d’envoyer des SMS entre utilisateurs d'iPhone et d'Android. Un conseil qui ne vise pas seulement les Américains mais tous les...
Apple, ZTE, Motorola, Samsung, Google, Huawei… Aucun constructeur ni appareil contenant une carte Sim (objet connecté) n’est épargné. Une faille redoutable, exploitée activement par des pirates informatiques, touche les cartes SIM. Baptisée SIMJacker, elle permet, via l’envoi d’un SMS invisible, d’espionner l’ensemble de vos faits et gestes, rapporte le site spécialisé américain The Hacker News.
Le procédé est très simple. Pour le comprendre, il faut en premier lieu revenir sur le mode de compatibilité des cartes SIM. Le standard utilisé entre les nouveaux et les anciens appareils n’a pas évolué depuis 2009. Selon les chercheurs en cybersécurité qui ont découvert cette brèche, les difficultés viennent principalement de la suite S@T Browser, disponible en standard sur l’ensemble des cartes SIM. Celle-ci (dont le nom complet est SIM Alliance Toolbox Browser) permet aux opérateurs de gérer à distance leur parc de cartes SIM, rapporte le site spécialisé Phonandroid.
Mobile : des attaques imperceptibles déclenchées à distance
L’inconvénient est que le programme œuvre avec une série d’instructions dites STK (SIM Tool Kit) interceptable via les SMS. Or, ceux-ci ne s’affichent pas dans la boite de réception de l’utilisateur. Il est donc possible de déclencher secrètement certaines actions :
- récupérer le code IMEI
- envoyer un SMS à l’insu d’une victime depuis son smartphone
- effectuer des appels (potentiellement surtaxés)
- espionner le son environnant du smartphone
- forcer le lancement de pages web
- etc.
Mobile : des milliards d’appareils concernés
"Pendant l’attaque, l’utilisateur ne remarque pas qu’il est en train d’être piraté, que des données sont récupérées et qu’elles ont été exfiltrées avec succès", expliquent les chercheurs en cybersécurité.
Et d’ajouter : "Les données de localisation de milliers d’appareils ont été obtenues peu à peu sans que les utilisateurs mobiles cibles en aient eu la connaissance ou y aient consenti".
Afin que la faille soit colmatée au plus vite, ses détails techniques ont été transmis à la GSMAssociation. A l’heure actuelle, il n’existe aucun moyen de s’en prémunir, d’autant que des cartes SIM sans la suite S@T Browser ne sont pas encore au programme. Des milliards d’appareils sont donc potentiellement des cibles.