Les cryptographes ont Cracké la carte SIM, des millions de dispositifs peuvent être vulnérables


SIM

On a longtemps considéré des cartes SIM la partie la plus sécurisée d’un téléphone et ils doivent vraiment être. Après pas mal d’essai, un chercheur de sécurité a réussi à trouver une paire de fragilités dans les cartes SIM qui pourraient affecter des millions de dispositifs. À la conférence de Chapeau Noire prochaine à Las Vegas, le cryptographe allemand Karsten Nohl expliquera comment il peut à distance reprendre ces millions de dispositifs.
Nohl et des collègues ont essentiellement trouvé une façon de gagner l’accès de racine à la programmation de la carte SIM de beaucoup de téléphones, ainsi le contournement n’importe quelles mesures de sécurité de niveau plus haut sur le dispositif.


Le premier bogue avait un rapport avec le type de chiffrage utilisé sur la carte. Nohl des évaluations qu’environ un huitième de tout le SIMS étant utilisé aujourd’hui utilisent toujours les Normes de Cryptage des données (DES) le mécanisme de sécurité, qui a été à l’origine développé dans les années 1970.
Les transporteurs peuvent envoyer le sur-air de programmation (OTA) des mises à jour aux cartes SIM avec une sorte de SMS silencieux. Les chercheurs ont remarqué que les cartes SIM crachent un message d’erreur quand un message OTA non autorisé est envoyé. Les cartes utilisant DES ajoutent aussi une signature cryptographique à l’erreur. En utilisant cette signature et quelques grandes tables d’arc-en-ciel, Nohl a pu forcer le chiffrage de SIM. Cette attaque laisserait un pirate informatique copier ou reprogrammer la carte à distance. Il pourrait même être fait pour envoyer des messages de SMS au taux de prime sans connaissance de l’utilisateur.
La deuxième vulnérabilité touche à la programmation incorrecte du système sandboxing d’une carte SIM. On suppose des programmes différents sur une carte pour avoir limité l’accès au reste des données contenues dans la carte. Cependant, sur beaucoup de cartes il était insignifiant de casser le bac à sable et permettre l’accès de programmes malveillant aux données de paiement mobiles stockées là-dedans.
Les transporteurs évaluent actuellement la gravité du taillés pour voir ce qui est et n’est pas affecté. Aux EU, tant AT*T que Verizon ont dit que leurs cartes SIM ne sont pas vulnérables. AT*T a continué à dire qu’il a utilisé les Normes de Cryptage des  pendant plusieurs années, qui ne peuvent pas être forcées avec la méthode « de message d’erreur » de Nohl. L’attaque de sandboxing peut être un défaut de beaucoup plus de cartes, mais cela de peu d’utilisation pratique sans les clés de chiffrage.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s