Les téléphones mobiles peuvent-ils etre contagieux ?

Par Ludovic Blin, secuobs.com
Le 06/03/2003

---

Résumé : De plus en plus de failles de sécurité sont mises à jour dans les terminaux mobiles. Verrons-nous un jour un virus pour téléphone portable ? - Lire l'article



Imaginons qu'a l'instar des serveurs Microsoft touchés par le ver Sapphire, de nombreux téléphones mobiles de par le monde se mettent à appeler sans fin... Est-il réellement possible que ces objets désormais rentrés dans notre vie quotidienne soient la à l'avenir une cible privilégiée pour les créateurs de virus et autres codes malveillant ? Cette idée n'est pas nouvelle, puisque les premier "virus" pour mobiles sont apparus en 2000. L'un, nommé Timofonica, s'attaquait aux PC en utilisant une faille dans Outlook, ainsi qu'une passerelle SMS, et bombardait de nombreux abonnés de messages SMS. L'autre nommé 911 Firkin, composait automatiquement des numéros d'appels d'urgence, aux Etats-Unis. A mesure que le monde de la sécurité s'intéresse de plus en plus aux mobiles, mais aussi que ceux-ci deviennent de plus en plus complexes - leur système d'exploitation devenant l'équivalent de celui d'un ordinateur personnel - la menace de virus, ver et codes malveillants pour les téléphones est de plus en plus présente. 2 failles en moins d'un mois

L'actualité de la sécurité sur les mobiles est en effet de plus en plus chargée. Ainsi, en moins d'un mois, deux failles de type DoS (Denial of Service ou déni de service) on été répertoriées. La première, découverte par la société américaine @Stake concerne le Nokia 6210. Le bug, de type format string, se situe plus précisément au niveau de l'implémentation du protocole vCard (de Microsoft), qui permet l'échange de contacts par message sms. Une vCard forgée peut ainsi faire "planter" le téléphone, obligeant son utilisateur à enlever puis remettre la batterie pour le faire redémarrer.
La seconde, découverte par subj du groupe russe dwcgr0up, concerne les Siemens S35i, S45i et S55i. En envoyant un message sms contenant certains caractères, il est possible de faire pareillement planter le terminal, au moment ou l'utilisateur voudra lire le message. Celui-ci ne peut ainsi s'effacer qu'en changeant sa carte sim de terminal pour effacer le sms, qui se trouve sur la carte sim.
Au mois de janvier, un problème de sécurité sur le nouveau SPV de Orange et Microsoft était mis a jour. Des hackers auraient réussi à contourner le système de signature du code de l'éditeur, censé empêcher l'éxécution de tout code non approuvé. Une mise à jour du système, destinée entre autres à améliorer la qualité de réception, est d'ailleurs sortie peu de temps après.

Des vulnérabilités uniquement de type DoS, pour l'instant ?

Ces failles ont un point commun, elles sont de type DoS. Elle peuvent donc empêcher l'utilisation du terminal, mais n'entraînent en rien sa compromission par un intrus. Mais, les systèmes d'exploitation pour mobiles deviennent de plus en plus aboutis, du fait d'une part des nouveaux services multimédia, mais aussi du rapprochement entre assistant personnel et terminal mobile. Il est donc possible qu'un jour une vulnérabilité entraînant la compromission du système (Remote Root) voie le jour, avec son cortège d'applications gênantes, du cheval de troie au ver sms ou mms...Cette tendance ne devrait de plus pas se ralentir. Ainsi, l'apparition de navigateurs web, ou de clients email sur les téléphones devenus des smartphones entraînera très probablement l'apparition de vulnérabilités, en tout cas si l'on fait un raisonnement par analogie avec les PC ou ces applications sont une source