Une nouvelle faille de sécurité dans les cartes SIM a été révélée par des chercheurs en cybersécurité de la société Ginno Security Lab. Si elle est exploitée, cette brèche – baptisée « WIBattack » – permet d’envoyer des SMS et passer des appels téléphoniques à l’insu de son propriétaire. Malheureusement, il est relativement aisé pour un pirate informatique d’exploiter cette faille. Un seul SMS suffit, il est totalement indétectable par la victime.

En effet, pour infecter un téléphone, les pirates envoient un SMS, dit invisible, contenant les instructions spécifiques pour pirater la carte SIM. On parle de SMS invisible, car sa réception n’est pas notifiée sur le téléphone et il n’est pas non plus affiché dans la boîte de messagerie de l’appareil. Une technique qui rappelle une autre attaque à la carte SIM via un SMS invisible découverte il y a quelques semaines.

Une fois sur le téléphone, les instructions spécifiques contenues dans le SMS sont déclenchées et infectent la carte SIM. Les pirates peuvent dès lors envoyer des SMS et passer des appels téléphoniques. Évidemment, les hackers ne visent pas cette faille pour utiliser votre forfait afin d’envoyer de simples SMS. L’objectif est de téléphoner à des numéros surtaxés et contacter par message des services payants.

Des risques de phishing

Les pirates peuvent également ouvrir des pages de phishing sur le navigateur Web du téléphone. En agissant de la sorte, ils peuvent récupérer les identifiants et mots de passe de leurs victimes, voire les coordonnées bancaires si elles sont enregistrées quelque part. Les hackers peuvent ainsi vider les comptes de leurs victimes ou revendre les informations sur le dark Web.

Selon le rapport de Ginno Security Lab, la brèche « met en danger des centaines de millions d’abonnés […] La faille de sécurité est dans la carte SIM, elle ne dépend ni des appareils de téléphonie mobile ni de votre système d’exploitation. Chaque téléphone mobile est affecté ». Une déclaration inquiétante à laquelle une autre société spécialisée dans la cybersécurité apporte une nuance.

En effet, selon SRLabs interrogé par ZDNet et relayé par PhoneAndroid, la faille ne concernerait pas autant de cartes SIM que Ginno Security Lab le prétend. D’après SRLabs, la brèche aurait été repérée sur 9 % des 800 cartes SIM testées, soit un petit pourcentage du nombre total des cartes SIM dans le monde. Et cela concernerait essentiellement les cartes les plus anciennes, produites avant 2013. Ginno Security Lab a tout de même contacté la GSM Association afin qu’un correctif soit apporté.