La vulnérabilité des “téléphones portefeuilles” démontrée à Las Vegas

photo_1343554181466-1-1.jpg
éléphone portable, dans un magasin virtuel à Séoul, le 30 août 2011 (Photo : Park Ji-Hwan)

[29/07/2012 09:30:37] LAS VEGAS (AFP) Le rassemblement annuel des pirates et bidouilleurs informatiques Def Con ce week-end à Las Vegas (Nevada, ouest) a été l’occasion de faire la démonstration de la vulnérabilité des “téléphones portefeuilles”.

Les téléphones portables multifonctions ont déjà commencé à offrir divers moyens de paiement et d’identification, ce qui en fait des cibles de choix pour les pirates informatiques.

“Nous entrons dans le monde de l’exploitation post-PC (post-ordinateurs, NDLR)”, a noté le chercheur Stephen Ridley, de la société Xipiter, qui a découvert que le même genre d’attaques qui visent des ordinateurs fixes peuvent s’abattre sur des appareils portables.

Le danger est d’autant plus grand que, selon lui, “les téléphones seront les seules choses où les gens voudront pénétrer” : les pirates ont toutes les raisons pour s’intéresser à des appareils qui restent allumés en permanence et qui recèlent des masses de données – y compris la façon de les localiser.

En outre d’ici dix ans l’utilisation de téléphones pour payer se sera vraisemblablement généralisée, selon une enquête du centre de recherche américain Pew publiée en avril.

“Qu’est-ce qu’on a dans un portefeuille actuellement? Des documents d’identité, des moyens de paiement, des documents personnels”, notait l’économiste de Google Hal Varian cité dans l’enquête de Pew – “Tout cela logera facilement dans un appareil portable, c’est inévitable”.

Mais un spécialiste de la sécurité, Eddie Lee de la société Blackwing Intelligence, a fait à Def Con la démonstration d’un piratage à l’aide d’un téléphone fonctionnant sous Android, le système d’exploitation conçu par Google, capable de capter les données d’une carte de crédit et de l’utiliser ensuite pour faire des achats.

“On peut se mettre à dépenser avec la carte de crédit de quelqu’un d’autre, et l’utiliser comme Google Wallet”, une application de paiement lancée par Google l’an dernier sur certains téléphones, a déclaré M. Lee.

“Ca fait longtemps qu’on sait qu’on peut pirater des cartes RFID”, c’est-à-dire dotées d’un système de radio-identification, a ajouté M. Lee. “Ce système permet d’abuser de ces informations pour dépenser. Cela va peut-être pousser les émetteurs de cartes de crédit à améliorer ce qui est dans mon portefeuille”.

Selon lui, on peut de la même façon détourner d’autres cartes, type titre de transport ou badge d’entrée dans un immeuble.

Charlie Miller, un ancien analyste de l’Agence nationale de sécurité, l’agence fédérale chargée de mener des écoutes, a pour sa part fait la démonstration d’un système permettant de pénétrer dans un téléphone avec un capteur se trouvant suffisamment proche pour intercepter les signaux d’une puce sans contact NFC.

Selon la présentation de M. Miller, qui est aujourd’hui consultant à la société de sécurité Accuvant, il est même possible dans certains cas de prendre complètement le contrôle d’un téléphone doté d’une puce NFC, de voler des photos ou des carnets d’adresses qui y sont stockés, ou même de faire des appels téléphoniques.

“Normalement ça sert à payer et à scanner des affiches de cinéma, mais sachez que c’est une autre voie d’entrée pour des méchants”, a dit M. Miller à l’AFP.

Selon lui, il suffirait de cacher une antenne derrière un autocollant et de le rapprocher d’un téléphone pour le pirater. De cette façon, un autocollant anodin placé à proximité d’un terminal de paiement adapté aux téléphones pourrait faire la fortune de pirates.

“Un sale type peut exploiter cet instant où il y a communication avec le téléphone pour voler des données”, dit-il.

“C’est cool les puces NFC, c’est pratique, c’est amusant, mais je dis juste qu’il faut faire attention aux conséquences pour la sécurité”, conclut-il.