J.R., le meilleur de l'aviation commerciale et civile !


> Index général < - Éditorial - Sources - Airbus - Boeing - Annuaire AeroRef - Forum

12/01/2007

Le SMS victime d’une énorme faille de sécurité ? (2)

Le SMS victime d’une énorme faille de sécurité ? (2)

 

 

Une énorme faille de sécurité frapperait le SMS : il est possible, au départ du web, d’envoyer un SMS à quelqu’un de la part de quelqu’un d’autre !

 

Qu’en est-il en réalité ?

(JPEG)

  • Il n’est pas vrai qu’il est possible de faire facturer un tel SMS fantôme à la personne dont on utilise le numéro comme numéro d’expéditeur. C’est indéniable, puisque pour ce faire, il faudrait utiliser l’identité du client à facturer, c’est-à-dire sa carte SIM, or il n’est pas question ici de vol de carte SIM mais d’envoi de SMS via le web.
  • C’est comme les e-mails, cette "faille" existe depuis toujours, il n’y a rien de nouveau, c’est la norme GSM fixée en 1991 qui le prévoit. Ce n’est donc pas du piratage, et les opérateurs n’en sont nullement responsables.

En effet, tout message, qu’il soit SMS ou e-mail, comprend un champ pour nommer l’expéditeur (que ce soit par une adresse e-mail ou par un numéro d’appel téléphonique). Dans le cas du SMS, c’est la centrale SMS de l’opérateur du client qui envoie le message qui défini le numéro d’appel de l’expéditeur du message en interrogeant la base de données de l’opérateur comprenant les numéros des cartes SIM des clients ainsi que les numéros d’appels téléphoniques qui leurs sont associés.

Le problème, c’est que certains opérateurs dans le monde autorisent que leurs clients (clients qui leur ont préalablement achetés des SMS en gros, comme des sites web) choisissent eux-même les numéros d’appel d’expéditeur des messages que leur système envoie, et qu’ils laissent alors ce choix au client final, à savoir l’internaute. Et comme les centrales des opérateurs récepteurs ne sont techniquement pas en mesure de vérifier si le numéro de l’expéditeur du message est correct puisque ce n’est pas un de ses clients qui l’a envoyé, la faille est facile à exploiter.

Quelle est la solution ?

Concrètement, nous voyons trois solutions à ce problème :

(JPEG) La première, ce serait d’obliger les opérateurs GSM du monde entier d’attribuer un numéro d’appel, ne fut-ce que provisoire, à tous leurs clients qui leur achètent des SMS en gros, et qu’ils exigent de ceux-ci de recevoir la ou les adresses IP fixes du ou des serveurs qu’ils comptent utiliser pour envoyer leur stock de SMS. A ce moment, les opérateurs pourraient configurer leur réseau pour que le numéro attribué au client soit toujours le même, et non n’importe lequel, au choix de l’internaute, comme jusqu’à présent. Une suggestion pour la GSM Association, la fédération qui regroupent tous les opérateurs du monde.

Seconde piste, plus difficile à mettre en place mais plus confortable pour le consommateur : obliger tous les sites web permettant d’envoyer des SMS de ne pas laisser le choix du numéro d’appel de l’expéditeur aux internautes, et de prévoir une procédure pour identifier le numéro d’appel du GSM de l’internaute une fois pour toutes via l’envoi d’un code unique. 

 

Comment détecter un SMS envoyé depuis le web ?

(JPEG) Les SMS envoyés depuis le web peuvent être envoyés via n’importe quelle centrale de n’importe quel opérateur GSM du monde, y compris via la centrale de l’opérateur du client dont on emprunte le numéro d’appel comme numéro d’expéditeur.

Par contre, les SMS envoyés par un GSM passent toujours par la centrale SMS de l’opérateur du client qui les envoient. En Belgique, ces centrales portent les numéros de +32 475 16 16 16 chez Proximus, +32 495 00 25 X0 chez Mobistar et +32 486 000 00X chez Base. De nombreux téléphones mobiles, mais pas tous, permettent d’afficher, dans les options du SMS reçu, le numéro de la centrale SMS via laquelle il a été envoyé.

Consulter le numéro de la centrale SMS via laquelle le message reçu a été envoyé n’est pas fiable à 100% puisqu’un site web proposant l’envoi de SMS peut très bien avoir acheté son stock de SMS à l’opérateur justement utilisé par la personne dont le numéro d’expéditeur est emprunté, mais l’astuce fonctionne néanmoins dans la plupart des cas parce que nos opérateurs belges proposent des packs de milliers de SMS à un tarif plus élevé que de nombreux opérateurs étrangers. Les sites web qui permettent l’envoi de SMS préfèrent donc les acheter chez des opérateurs anglais (+44), suisses (+41), d’europe de l’est (+37X, +38X, +40, +42X, +48) et chinois (+86), par exemple.

Conclusion

En attendant que les opérateurs et l’IBPT trouvent une éventuelle solution pour augmenter la fiabilité du service SMS,

  • Si vous recevez un SMS suspect de la part de quelqu’un que vous connaissez bien, regardez par quelle centrale il a été envoyé si votre GSM permet de l’afficher.
  • Si vous avez des enfants, prenez l’habitude de les piloter à distance par téléphone, plutôt que par SMS.
> Plus de publicité aéro

Publié dans Général | Lien permanent

Les commentaires sont fermés.