Depuis quelques jours les journaux et sites spécialisés alertent sur l'existence d'une nouvelle faille touchant les cartes SIM, et donc les utilisateurs de téléphones mobiles. Comment savoir si l'on est concerné par la faille et s'il faut s'inquiéter d'un éventuel piratage ?

C'est la société AdaptiveMobile Security qui a découvert la faille, ils l'ont baptisé, et mis en place un site dédié qui porte son nom, Simjacker.com. L'attaque est rendue possible par un ancien logiciel, toujours utilisé donc, mais qui n'a pas bénéficié de mises à jour depuis 10 ans. Une éternité quand on sait que les logiciels ont besoin de mises à jour très fréquentes pour combler les failles découvertes par les pirates.

Quels sont les données et type de matériel vulnérables ?



Ce logiciel est utilisé sur certaines cartes SIM et permet de suivre de façon silencieuse la localisation de l'appareil, grâce à des messages SMS particuliers invisibles pour l'utilisateur. Ces messages particuliers sont en revanche bien captés par la carte SIM, qui "discute avec l'appareil" pour récupérer les données souhaitées, en ensuite les transmettre à un appareil tiers appartenant à l'attaquant.





La faille est d'autant plus vicieuse que celle-ci concerne un milliard de cartes SIM sans que cela vise un type d'appareil particulier. Tous les modèles et toutes les marques sont en effet vulnérables, étant donné que la faille se situe dans la carte SIM.

Qui est concerné par la surveillance ?

Ce type de faille est particulièrement inquiétant pour les utilisateurs qui n'ont pas la possibilité de contrer une éventuelle attaque. Sur les forums Orange des utilisateurs s'en sont inquiétés et demandent si l'opérateur utilise le type de cartes SIM vulnérables, sans avoir pu obtenir de réponse officielle.

En revanche on sait grâce à la société de sécurité qui a dévoilé la faille que l'organisation qui utilise cette attaque est liée à des organisations gouvernementales. Les individus ciblés pourraient l'être pour des raisons des sécurité intérieure ou pour des besoins de surveillance moins respectables. Selon des sources de ZDNet, les pays donneurs d'ordre sont situés en Moyen-Orient, Afrique du Nord, en Asie ou en Europe de l'Est.

Dans tous les cas les individus visés ont un intérêt particulier pour ceux qui ont demandé le pistage. Il ne s'agit donc pas de surveillance automatique de masse, et les particuliers, s'ils n'exercent ni activité frauduleuse pour les lois de leur pays, ou n'ont pas d'intérêt pour des services de renseignement aux buts moins avouables, ne devraient pas être inquiétés.