Attaques
Un texto pour tuer votre téléphone mobile.
Par Jerome Saiz, le 10 déc 2001 à 20:15:00.
En envoyant un message SMS particulier, un pirate peut détruire irrémédiablement certains téléphones mobiles Nokia. Connue depuis plusieurs mois, la faille n'a été révélée que la semaine dernière. Le temps pour Nokia de corriger le logiciel de ses téléphones neufs. Mais des centaines de mobiles demeurent vulnérables.
Depuis cet été, tous les mobiles de type 3310, 3330 et 6210 qui sortent des usines de Nokia ont un logiciel tout neuf. Pourtant, rien n'a changé en apparence, et c'est dans le code chargé dinterpréter les messages SMS reçus qu'il faut chercher la différence. Ces mobiles sont désormais protégés contre la faille rendue publique fin novembre lors de la conférence Black Hat 2001, le très réputé séminaire de hackers, au sens noble du terme.
Là, Job de Hass, hacker passionné et dirigeant de la société ITSX, a révélé comment l'on pouvait détruire un téléphone mobile à lui envoyant un simple message SMS.
Bien sûr, inutile de chercher à envoyer ce "texto qui tue" à partir d'un vulgaire téléphone mobile. Job de Hass, à l'origine de la découverte, explique avoir utilisé une version modifiée par ses soins du logiciel
sms_client, disponible pour Unix. En forçant le programme à créer des messages SMS aux entêtes trafiqués, Job de Hass est parvenu à détruire irrémédiablement les mobiles qui le recevaient. Le téléphone séteint alors, et refuse de se rallumer tant que le texto est présent.Et bien sûr, pour effacer ce texto, le téléphone doit être allumé !
Cette boucle vicieuse peut-être cependant enrayée en insérant la carte SIM contenant le message "infecté" dans un autre téléphone insensible à la faille, afin de l'effacer. Sans cette astuce, il est nécessaire de renvoyer le téléphone à l'usine, afin de remplacer son logiciel. Une opération qui n'est généralement pas envisagée par les constructeurs.
A ce jour, l'attaque n'a été réalisée que contre les Nokia 3310, 3330 et 6210. Job de Hass a essayé de la reproduire sur un appareil de marque Siemens, sans succès. Cependant, de l'aveux même du hacker, d'autres mobiles plus anciens peuvent être vulnérables, et la nouvelle version du logiciel des mobiles Nokia (version 5.27) poserait « dautres soucis », sans quil soit possible den savoir plus.
Fort heureusement, le commun du pirate n'est pas prêt de pouvoir exploiter cette faille à tours de bras : tant qu'un outil automatisé n'est pas diffusé sur Internet, les compétences techniques nécessaires à l'attaque dépassent de très loin les capacités des pseudo-pirates à l'origine des vers qui polluent nos boîtes aux lettres. De solides connaissances des protocoles propres au monde des télécommunications sont nécessaires, ce qui arrête généralement plus d'un pousse-bouton.
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office AcesssKraken, le poids-lourd des botnetsUne vulnérabilité PDF pour les BlackBerryAvi Chesla : "La nouvelle vague de bots passe à l'Ajax"
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
