Sécurité : Karsten Nohl, fondateur de Security Research Labs estime qu'une vulnérabilité dans une ancienne clé de chiffrement permet d'écouter les appels, de générer l'envoi de SMS surtaxés et bien d'autres réjouissances... Karsten Nohl n'est pas un inconnu et est devenu en quelques années la bête noire des opérateurs télécoms et des fabricants de mobiles. Fin 2011, le directeur du cabinet allemand Security Research Labs, et chercheur reconnu dans la sécurité des réseaux, lançait un pavé dans la marre en mettant à jour une faille dans la norme de télécommunication mobile GSM permettant à des pirates de prendre à distance le contrôle de téléphones afin de les faire appeler par exemple des services surtaxés. Il ainsi été capable de capter des conversations mobiles et des SMS et a même pu identifier les utilisateurs dans 11 pays différents, et ce à l’aide d’un GSM Motorola vieux de 7 ans et d’un programme de déchiffrement disponible sur internet. Le chercheur affirmait pourtant que les outils de protection sont connus et simples à mettre en place. Mais que rien n'avait été fait. Les opérateurs tempèrent Aujourd'hui, Karsten Nohl démontre une faille toute aussi inquiétante, cette fois relative aux cartes SIM. Selon lui, elle met tout simplement en danger 750 millions de ces cartes dans le monde. Concrètement, le spécialiste est parvenu à décoder la clé de chiffrement DES (Data Encryption Standard) utilisée par certaines cartes SIM en s'appuyant sur les SMS invisibles, ceux envoyés par les opérateurs au terminal pour valider certaines procédures réseau sans que l'utilisateur s'en aperçoive et qui sont authentifiés par la clé DES. La méthode exploiterait également une faille dans la Java Card, également embarquée dans ces cartes SIM. Selon le New York Times, il présentera le 31 juillet prochain à la conférence Black Hat de Las Vegas les résultats de ses recherches. Avec cette méthode, Nohl est parvenu à trouver la clé de 25% des 1000 cartes SIM testées. Une fois la porte ouverte, tout est presque permis : installation de programmes malveillants, envois de SMS surtaxés, écoute des appels, interception des messages etc, à travers l'installation d'un applet Java dédié... La GSMA, l'association, qui regroupe la plupart des opérateurs mobile de la planète a été informée de ce problème. Le chercheur estime qu'il est urgent de modifier cette clé de chiffrement dont l'algorithme date des années 1970. La GSMA tempère le danger en soulignant que cet algorithme est utilisé par une forte minorité des 6 milliards de cartes SIM en circulation, les opérateurs ayant déployé en masse des cartes SIM protégées par le standard Advanced Encryption Standard (AES). Au moindre doute, une solution s'impose : le changement de carte SIM...