Peu avant l’évènement Chaos Communication Congress (31C3) du 27 au 30 décembre 2014 qui réunira la scène internationale du hacking en Allemagne, c’est un tremblement de terre qui vient de secouer le monde de la téléphonie mobile. Deux chercheurs allemands ont en effet mis en lumière une faille de sécurité qui permettrait très simplement aux hackers d’intercepter les SMS et appels de n’importe quel utilisateur de téléphone mobile.
Une faille importante permet d’intercepter les appels et les SMS
Dans un monde encore secoué par l’affaire Snowden et plus récemment par l’affaire du piratagede Sony qui est en train de se transformer en affaire d’espionnage à l’échelle internationale, la protection des données personnelles fait de plus en plus partie des préoccupations des usagers des nouvelles technologies.
La faille révélée par Tobias Engel et Karsten Nohl, deux chercheurs en sécurité de SRLabs, a de quoi faire frémir. Ces derniers ont en effet détecté que le système de chiffrement des données utilisé par les opérateurs de téléphonie mobile était extrêmement vulnérable et qu’il ne suffirait que de quelques centaines d’euros de matériel pour l’exploiter. Un simple ordinateur et une antenne spécifique seraient suffisants pour intercepter les appels et SMS.
Pas de précision sur la marche à suivre
C’est donc le protocole Signal System 7 (SS7) utilisé par les opérateurs pour crypter les échanges qui a été cracké par les chercheurs. Ces derniers ont réussi à intercepter et décoder la clé de chiffrement de n’importe quel smartphone présent dans un périmètre proche. Si l’expérience a été réalisée en Allemagne, ils affirment que la procédure est applicable à n’importe quel pays.
Une procédure qui n’a d’ailleurs pas été révélée en détail, mais qui a d’ores et déjà permis à Tobias Engel et Karsten Nohl d’intercepter les numéros de l’appelant et de l’appelé tout en ayant accès aux SMS échangés. Pour le moment, l’écoute des communications n’est pas possible mais il semblerait que cela ne soit qu’une question de temps et que la nuée de hackers qui sera présente au 31C3 au cours duquel la faille sera révélée dans ses moindres détails.