Selon des chercheurs en sécurité d’Adaptive Mobile Security, des pirates peuvent tout espionner sur n’importe quel smartphone en envoyant un simple SMS invisible sur l’appareil de leur victime.

Ø Mais, outre les smartphones tous les appareils contenant une SIM sont concernés.

Des chercheurs en sécurité de AdaptiveMobile Security révèlent l’existence d’une faille très dangereuse qui touche les cartes SIM.

Baptisée SIMJacker, cette faille peut être exploitée avec une facilité et des résultats étonnants.

Aucun constructeur, ou appareil doté d’une carte SIM actuellement sur le marché n’est épargné.

Les chercheurs ont ainsi constaté qu’elle fonctionne notamment sur des smartphones Apple, ZTE, Motorola, Samsung, Google et Huawei ainsi que sur des objets connectés.

On rappellera que les cartes SIM comportent un mode de compatibilité avec les vieux appareils dont le standard n’a pas évolué depuis 2009.

Les chercheurs expliquent que les problèmes viennent principalement de la suite S@T Browser, disponible en standard sur toutes les cartes SIM.

Cette suite (son nom complet est SIM Alliance Toolbox Browser) permet aux opérateurs de gérer leur parc de cartes SIM à distance.

Mais S@T Browser fonctionne avec une série d’instructions dites STK (SIM Tool Kit).

Or le programme est capable d’intercepter ces dernières dans les SMS qui ne s’affichent pas dans la boite de réception de la victime.

Ainsi en envoyant ces commandes, il est possible de déclencher très discrètement certaines actions.

Ce peut-être par exemple la récupération du code IMEI, la possibilité d’envoyer un SMS à l’insu d’une victime depuis son smartphone, passer des appels (potentiellement surtaxés, ou pour espionner le son environnant du smartphone) ou forcer le lancement de pages web.

Les chercheurs soulignent que « pendant l’attaque, l’utilisateur ne remarque pas qu’il est en cours d’attaque, que des données sont récupérées et qu’elles ont été exfiltrées avec succès ».

Les chercheurs sont également parvenus à récupérer des données de localisation : « les données de localisation de milliers d’appareils ont été obtenues peu à peu sans que les utilisateurs mobiles cibles en aient eu la connaissance ou y aient consenti ».

Les détails techniques précis de la faille n’ont pas, par précaution pas été révélés par la firme au grand public.

Les chercheurs l’ont néanmoins transmis à la GSM Association afin que la faille soit colmatée le plus rapidement possible.

Actuellement , il n’existe aucun moyen de se prémunir contre cette faille, sauf à obtenir une carte SIM sans la suite S@T Browser intégrée.

Ceci est inquiétant puisque l’on parle de milliards d’appareils en circulation et qu’il faudra sans doute attendre encore un certain temps avant de pouvoir obtenir des cartes SIM sans la suite S@T Browser.