Une faille dans l’envoi des SMS ?
Dans son édition du jour, La Libre Belgique écrit quelques mots sur une énorme faille de sécurité touchant les échanges de messages SMS et MMS. En réalité, il s’agit d’un sujet bien plus vaste qui touche l’usurpation de l’identité électronique. Cela semble inquiétant, à première vue, mais les possibilités existent depuis des années et n’ont pas donné lieu à des vagues de piratages.
Lorsqu’un client d’un opérateur mobile envoie un message SMS ou MMS, ce dernier contient des données techniques, notamment, du point de vue de l’expéditeur. Dans le cercle des appareils GSM, la sécurité semble peut souffrir. Hormis une duplication de la carte SIM et du vol de votre code PIN, le vol de votre identité est réellement peu probable. Mais! Les centrales SMS acceptent également l’envoi via des applications internet. Les opérateurs parlent ici de passerelles SMS. De nombreux services d’envoi – gratuit ou payant – de SMS reposent sur ce système. La structure d’un SMS ne change pas pour autant. Il reste essentiel de déterminer l’expéditeur du message. Si certaines passerelles ne permettent pas de paramétrer cette donnée (configurée par défaut sur le nom de la société qui offre le service ou un numéro solidement réglementé), d’autres, moins scrupuleuses, l’autorisent. Autrement dit, il est loisible à n’importe qui d’envoyer un message avec votre numéro de téléphone et, de ce fait, utiliser votre identité. On imagine aisément les conséquences sur la relative confiance des consommateurs envers le système SMS. En règle générale, les abus sont facilement pistés et mis à mort. Le soucis est plus conséquent dans le monde de l’entreprise où certaines mesures de sécurité ou des mises en route d’appareils reposent sur l’envoi d’un SMS par un employé qualifié. Et il faut bien avouer qu’un malintentionné disposant de quelques connaissances en la matière trouvera rapidement les solutions pour emprunter l’identité de cet employé. Les conséquences sont, ici, bien plus graves.
Bien entendu, il s’agit de cas isolés. Les opérateurs sont probablement sur leurs gardes afin d’éviter une épidémie. Par contre, l’IBPT, prévenue depuis quelques mois, n’a toujours pas réagi.