Récemment, des experts ont découvert une méthode d'attaque des téléphones portables qui peut être exécutée sur un ordinateur quelconque à l'aide d'un modem USB à faible coût. Alors que certaines méthodes de surveillance des téléphones portables nécessitaient auparavant un équipement spécial et une licence d'exploitation des services de télécommunications, cette attaque, connue sous le nom de Simjacker, exploite la vulnérabilité des cartes SIM.
La vulnérabilité des cartes SIM
La plupart des cartes SIM lancées depuis le début des années 2000 ont un menu opérateur spécifique. Ce menu comprend des applications telles que : Assistance technique, gestion de la facturation et autres suppléments tels que les prévisions météorologiques et l'horoscope. Sur les anciens téléphones et smartphones, le menu opérateur était accessible directement depuis le menu principal, tandis que sur les appareils iOS, il est caché dans les paramètres (sous Application SIM) et sur les smartphones Android, il se trouve sous la forme d'une application autonome appelée SIM Toolkit.
Le menu est essentiellement une application. Plusieurs applications portant le nom général de SIM Toolkit (STK) dont les programmes ne sont pas exécutés depuis le téléphone lui-même, mais depuis la carte SIM. N'oubliez pas que votre carte SIM n'est rien d'autre qu'une sorte de petit ordinateur autonome avec son propre système d'exploitation et ses programmes individuels. Le STK répond à des commandes externes, telles que des touches enfoncées dans le menu opérateur, pour faire exécuter au téléphone certaines actions, comme l'envoi de messages SMS ou de commandes USSD.
L'une des applications incluses dans le STK est appelée S@T Browser et sert à afficher divers sites web d'un certain format ainsi que des pages sur le réseau interne de l'opérateur de réseau. S@T Browser peut, par exemple, fournir des informations sur le solde de votre compte.
L'application S@T Browser n'a pas été mise à jour depuis 2009, et bien que ses fonctions soient exécutées par d'autres programmes sur des appareils modernes, le S@T Browser est toujours activement utilisé. Il est toujours installé sur de nombreuses cartes SIM. Bien que les chercheurs n'aient pas rendu public le nom des régions ou des compagnies de téléphone qui vendent des cartes SIM avec l'application préinstallée, ils affirment que l'application est toujours utilisée par plus d'un milliard d'utilisateurs dans 30 pays.
Attaques de simjackers
L'attaque commence par un message SMS contenant une série d'instructions pour la carte SIM. La carte SIM interroge alors le numéro de série et l'ID du téléphone portable de la station de base dans la zone de couverture dans laquelle se trouve le détenteur de la carte, et envoie une réponse par SMS avec ces informations au numéro de l'attaquant.
Les coordonnées de la station de base ne sont pas secrètes (et même accessibles en ligne), de telle sorte que l'ID mobile peut être utilisé pour déterminer l'emplacement du titulaire de la carte. Les services basés sur la localisation sans support satellite, par exemple à l'intérieur ou avec le GPS désactivé, reposent sur le même principe pour la détermination de la localisation.
Tout cela ne peut être vu que par l'utilisateur de la carte SIM piratée. L'application de messagerie n'affiche pas les SMS entrants avec les commandes ou les réponses avec les données de localisation de l'appareil, de sorte que les utilisateurs de Simjacker ne remarquent probablement même pas qu'ils sont espionnés.
Qui est concerné par Simjacker ?
Entre 100 et 150 numéros de téléphone portable d'utilisateurs d'un des pays touchés ont été compromis quotidiennement. Bien que les demandes ne soient généralement pas envoyées plus d'une fois par semaine, les activités et les lieux de certaines victimes ont été surveillés beaucoup plus fréquemment. L'équipe de recherche a découvert que certains destinataires recevaient plusieurs centaines de SMS malveillants chaque semaine.
Des attaques similaires peuvent aller encore plus loin
Selon les chercheurs, les cybercriminels n'ont cependant pas utilisé toutes les fonctions de la carte SIM possibles. Par exemple, les SMS peuvent être utilisés pour appeler n'importe quel numéro de téléphone, envoyer des messages avec un texte aléatoire à n'importe quel numéro, ouvrir des liens dans le navigateur ou désactiver la carte SIM.
Cette vulnérabilité ouvre donc la voie à de nombreux scénarios d'attaque potentiels : les criminels peuvent transférer de l'argent par SMS vers n'importe quel numéro de compte, appeler des numéros surtaxés, ouvrir des sites de phishing dans le navigateur ou télécharger des chevaux de Troie.
Cette vulnérabilité est particulièrement dangereuse, car elle ne dépend pas du dispositif avec lequel la carte SIM vulnérable est utilisée. Le jeu de commandes STK est normalisé et pris en charge par tous les téléphones et même les dispositifs IoT dotés de cartes SIM. Pour certaines opérations, telles que passer un appel, certains gadgets nécessitent une confirmation de l'utilisateur, mais beaucoup d'autres applications n'en ont pas besoin.
Comment les utilisateurs peuvent-ils se protéger de Simjacker ?
Malheureusement, il n'existe pas de solution unique qui permette aux utilisateurs de se défendre contre de telles attaques par carte SIM. Les opérateurs de téléphonie mobile sont tenus d'assurer la sécurité de leurs clients et doivent donc éviter d'utiliser des applications de menu SIM dépassées et de bloquer les codes SMS avec des commandes dangereuses.
Mais il y a aussi de bonnes nouvelles. Bien qu'aucun matériel coûteux ne soit nécessaire pour réaliser l'attaque, un niveau raisonnable de savoir-faire technique et des compétences spéciales sont indispensables, de sorte que la méthode ne peut probablement pas être utilisée par n'importe quel cybercriminel.
Les chercheurs ont également informé le développeur de S@T Browser, de cette vulnérabilité. En réponse, la société a publié un ensemble de directives de sécurité pour les opérateurs utilisant l'application. Les attaques de Simjacker ont également été rapportées par le GSM Association, une organisation internationale représentant les intérêts des opérateurs de téléphonie mobile dans le monde entier. Il fort conseillé aux entreprises concernées de prendre toutes les mesures de protection nécessaires le plus tôt possible.