Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca
Tips: DLovLUzkYsFNbAT5xwewQ6BAWztH4MtDgn

Contribute to SecuObs by sending bitcoins or dogecoins.
New content (en): 1pwnwwLjiu8U6jgqEchPXibM2dJA2CqQq
New website: 1hckU85orcGCm8A9hk67391LCy4ECGJca

44i3VeDHHoL5U6cULcgP6gPWw4p2oCoSGZXepBSDV42mGuLpuSbn5Kh3uGJ8Z9YqkaRwbQqq8op4nShvptRMByNxQFfBvVd


Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés

Par Rédaction, secuobs.com
Le 25/07/2013

Résumé : A l’origine de la découverte des problèmes critique de sécurité concernant les cartes SIM, le chercheur allemand Karsten Nohl assure néanmoins que leur correction peut se faire de façon simple pour les opérateurs et de manière complètement transparente pour les utilisateurs.


Les problèmes critiques de sécurité récemment exposés par Karsten Nohl et concernant les cartes SIM devraient pouvoir être facilement corrigés d’après le chercheur en sécurité allemand à l’origine de ces découvertes. A savoir que ces cartes SIM utilisent un forme de chiffrement obsolète lors du processus d’authentification des mises à jour logicielles.

Le chercheur ayant plus spécifiquement découvert qu’il est possible de forcer certains types de cartes SIM à divulguer leur clé de chiffrement DES 56-bit, un chiffrement pouvant être traité à l’aide d’un simple ordinateur moderne. A savoir qu’en envoyant une fausse mise à jour vers un téléphone, certaines cartes SIM retournent alors une erreur incluant cette clé.

Un équipement pourrait alors être utilisé afin d’envoyer un code malicieux accédant aux données critiques du téléphone et ce à travers la machine virtuel Java présente sur presque toutes les cartes SIM vendues dans le monde. Cinq cent millions de téléphones pourraient ainsi être vulnérables d’après un échantillon de mille cartes d’opérateurs différents testés.

Néanmoins le chiffrement faible et la diffusion de cette clé pourraient être fixés simplement, de la même manière que qu’ils sont exploités, à savoir par l’intermédiaire d’une simple mise à jour OTA (Over-The-Air). Par ailleurs, pour certaines SIM vulnérables, il pourrait également être possible de passer sur un chiffrement Triple DES lorsque ce dernier est supporté.

L’opération pouvant se faire en toute transparence pour les utilisateurs, de la même façon que les opérateurs envoient régulièrement des SMS « spéciaux » afin de changer par exemple les paramètres de Roaming. Les opérateurs pouvant également mettre en place des filtres spécifiques au niveau des centres de traitement en charge de l’ensemble des SMS échangés.

Source :

« SIM card vulnerabilities easy to fix, researcher says » sur « Network World on Security » ( lien )