Cet été, Karsten Nohl, un chercheur allemand spécialiste de la sécurité des réseaux télécoms et fondateur du cabinet Security Research Labs, a mis en émoi la presse scientifique et technique ainsi que les organismes de téléphonie mobile. Il affirmait que près d'un quart des appareils mobiles pouvaient être piratés en moins de deux minutes, la faute à des cartes SIMà l'encodage trop vulnérable. Mais qu'en est-il réellement ? Eléments de réponse avec Sébastien Herry, responsable du laboratoire d'ingénierie des systèmes de traitement de l'informationà l'ESME Sudria.
La théorie qu'avance Karsten Nohl a de quoi faire peur. Avec le développement exponentiel de l'Internet mobile et de pratiques nouvelles comme la communication en champ proche (ou NFC, une technologie de communication sans fil qui permet, entre autres, d'effectuer des paiements grâce à son appareil mobile), que doit-on craindre ?
Il faut d'abord savoir que carte SIM et NFC n'ont pas de rapport. La carte SIM est un identifiant servant à l'opérateur d'identifier l'utilisateur et de le facturer en conséquence par exemple. Le NFC est une interface technique liée à une application installée sur le smartphone de l'utilisateur. Cette application ira ensuite interroger le compte bancaire de l'usager, avec des systèmes d'identifications très similaires à ceux utilisés dans la banque en ligne.
Donc, si d'aventure quelqu'un parvenait à pirater votre carte SIM, il pourrait avant tout usurper votre identité pour passer des appels téléphoniques par exemple et éventuellement consulter vos SMS ou vos contacts. C'était une pratique très courante au début des années 2000 aux Etats-Unis. Des personnes mal intentionnées copiaient des cartes SIM et pouvaient ainsi téléphoner « gratuitement ». Aujourd'hui, les opérateurs ont mis en place des systèmes de protection pouvant prévenir rapidement ce genre de risques : s'il n'y a pas de correspondance entre la carte SIM et l'appareil qui lui est normalement associé, le compte est désactivé.
Quels risques peut-on alors encourir ?
L'étude de Kartsen Nohl et les risques qu'elle met en évidence quant à l'accès à des données bancaires via la carte SIM concerne finalement peu de monde en France. Le stockage d'identifiants bancaires sur la carte SIM est quasiment inexistant chez nous. Ca n'est cependant pas le cas aux Etats-Unis et dans certains pays en développement, où cette pratique existe.
Enfin, les cartes SIM sont de plus en plus sécurisées : les ingénieurs travaillant pour les opérateurs ajoutent des sécurités aux clés de cryptage préexistantes. Globalement, un piratage de carte SIM permettra essentiellement de se faire passer pour quelqu'un d'autre et d'envoyer la facture téléphonique chez le titulaire initial du compte. Il ne permettra pas d'accéder aux données et contenus stockés dans l'appareil mobile en lui-même.