Un virus peut-il attaquer un téléphone portable ? “Oui”, répondent en ch?”ur les éditeurs d’antivirus. “Non”, assurent les fabricants d’appareils. “Nous allons tout faire pour”, menacent les pirates. Avec désormais plus de 60 % de la population abonnée au téléphone portable et des appareils qui se muent en assistants personnels, il y a de quoi s’inquiéter. Après tout, s’il est possible de télécharger des sonneries, des fonds d’écran ou des animations par SMS, pourquoi ne pourrait-on récupérer un virus ? De même, certains opérateurs sont capables de mettre à jour le carnet d’adresses, d’activer ou de bloquer certaines fonctions du téléphone à distance. Au dernier Cebit, Cocoasoft présentait une application capable, sur un mobile, d’en localiser un autre sur une carte. Pourquoi un pirate ne pourrait-il pas en faire autant ? Des inquiétudes étayées par les différents déboires recensés un peu partout depuis un an.
La malveillance par SMS reste très limitée
L’été dernier, au Japon, un seul clic sur un lien WAP vérolé suffisait à déclencher un appel aux services d’urgence, saturant ainsi le central. Le plaisantin avait choisi un numéro Vert ; d’autres n’auront cependant pas cette délicatesse. En janvier, un pirate hollandais, reconverti en chercheur chez ITSX, a réussi à planter toute une série de téléphones Nokia avec un simple SMS. Sur certains modèles, il fallait carrément retirer la batterie et demander la suppression du message au service client de son opérateur pour pouvoir réutiliser son mobile. De quoi faire froid dans le dos.En mars, c’était au tour de deux jeunes pirates français de se distinguer. Suivant l’exemple d’homologues allemands, ils ont mis en ligne une page web capable de bombarder un téléphone de SMS. Le fonctionnement était simple : il suffisait d’indiquer le numéro du portable, le message et le temps que le déluge devait durer. Malgré ces alertes, les fabricants de mobiles et les opérateurs ne semblent pas inquiets outre-mesure. “Les SMS ne peuvent rien contenir d’exécutable. Ils sont formatés pour du texte, des sonneries ou des images. Mais ils ne peuvent en aucun cas transporter de virus, assure Thomas Picard, responsable de la stratégie logicielle chez Alcatel. On ne peut rencontrer un problème que lors d’une mauvaise mise en ?”uvre du standard.” Ainsi, le plantage des téléphones Nokia est dû à un bogue, à une mauvaise interprétation de l’en-tête d’un message volontairement trafiqué. Des bogues similaires avaient aussi été décelés sur les premières générations de terminaux WAP, où la taille de certaines informations était mal contrôlée. Là encore, le plantage était irrémédiable. “Notez toutefois que, pour exploiter ces failles, il faut posséder du matériel d’opérateur. C’est-à-dire des produits chers, auxquels peu de gens ont accès”, insiste Thomas Picard.La malveillance par SMS serait donc limitée à quelques nuisances, comme des messages non sollicités. Une nuisance qui, de toute façon, ne pénaliserait pas longtemps, puisque la mémoire du téléphone sature au bout d’une dizaine de messages et qu’elle bloque la réception des SMS. “C’est d’ailleurs la raison pour laquelle nous n’avons pas mis en place de protection spécifique contre un bombardement de messages. Au pire, l’usager devra contacter le service client et demander de bloquer les SMS”, explique Franck Langrand, responsable du réseau et des services chez Orange. Même la saturation des serveurs n’est, paraît-il, pas envisageable. “Ce sont de petits messages. Tout au plus, l’envoi sera différé de quelques minutes.” Au final, les opérateurs partent du principe que les abus resteront limités, puisque, contrairement au courrier électronique, les SMS sont toujours payés par quelqu’un.
Pas de sécurité de bout en bout avant 2004
Cependant, à en croire les éditeurs d’antivirus, les passerelles WAP et SMS sont de véritables passoires. “Vous savez, nous vendons des antivirus, des pare-feu et des outils d’analyse de trafic aux opérateurs. Il faut bien qu’ils servent à quelque chose !” ironise Damase Tricart, chef de produits chez Symantec. Le Gartner est beaucoup plus sévère. Selon son vice-président, John Pescatore, “ce genre d’infrastructure n’atteindra pas avant 2004 une sécurité de bout en bout, comme sur le web. Les différentes passerelles ?” WAP, SMS ?” seront d’ailleurs la cible privilégiée des pirates, car elles peuvent être attaquées de n’importe où sur internet.”Chez F-Secure, on s’inquiète aussi des évolutions des standards de navigation sur téléphone. “Aujourd’hui, on ne peut pas faire grand-chose de méchant avec WAP et WML. Mais la future version de WML Script pourrait autoriser l’envoi de SMS et la mise à jour du téléphone à distance. Une ouverture susceptible d’être exploitée à des fins dangereuses”, prévient Mikko Hypponen, responsable de la recherche antivirus. Mais, là encore, opérateurs et constructeurs estiment avoir tout prévu. L’ensemble des fonctions de pilotage de la carte SIM passe ainsi par un programme protégé, appelé SIM Toolkit. C’est lui qui prend en charge les opérations spécifiques, comme la modification des options d’appel, le paramétrage du WAP ou la mise à jour des contacts. “Il n’y a qu’un appareil du réseau avec la bonne clé de chiffrement qui puisse modifier ces paramètres”, confirme Franck Langrand, d’Orange. Néanmoins, aucun opérateur ne peut certifier à 100 % que ses passerelles ?” souvent conçues par des tiers ?” n’ont aucune porte dérobée.Il n’empêche. Quelle que soit la faille, les attaques demeurent limitées ?” vandalisme, canulars, saturation, pour la plupart. Mais avec la multiplication des téléphones embarquant une machine virtuelle Java 2 Micro Edition (J2ME), chaque mobile devient capable de stocker et d’exécuter des applications tierces. Pourquoi ne pas imaginer que l’une d’elles soit vérolée ? “Peu probable, assure Philippe Gillet, chef de produits chez Siemens. J2ME étant un sous-ensemble de Java, il hérite de toutes ses qualités en matière de sécurité.”
Ne pas sous-estimer l’imagination des pirates
Il est vrai que les virus sous Java ne sont pas légion. Certains, comme Strangebrew, ont été repérés. Mais ils étaient plus conceptuels que dangereux. “L’intérêt de J2ME est de créer des compartiments étanches entre une application Java et les fonctions du téléphone. C’est très important pour nous, fabricants de terminaux, car il faut que l’appareil puisse émettre un appel d’urgence quoi qu’il arrive”, rappelle Thomas Picard, d’Alcatel. Une application Java peut donc planter, le téléphone restera opérationnel. D’ailleurs, J2ME ne permet pas, dans sa forme actuelle, d’accéder aux fonctions de téléphonie, d’envoyer des SMS. Siemens, qui a déjà ajouté ces fonctions à ses téléphones, assure qu’il n’y a aucun risque. “L’utilisateur devra valider tout appel ou envoi de SMS formulé par un programme Java. En aucun cas, cela peut se faire à son insu”, insiste Philippe Gillet.Tout le monde ne partage pourtant pas cet enthousiasme : Markus Schmall, par exemple. Ce spécialiste sécurité de T-Mobile prépare actuellement une conférence sur la sécurité des mobiles J2ME.“L’adoption de cette norme pose évidemment des problèmes de sécurité. Des attaques sont bel et bien possibles, tout comme il est possible d’écrire du code malicieux. J’en ai même fait la démonstration. Pour réellement dormir tranquille, il n’y a qu’une solution : certifier les applications pour garantir leur origine.” Un point sur lequel se rejoignent, pour une fois, l’ensemble des acteurs. C’est d’ailleurs avec ce type de certification qu’Alcatel lancera son premier téléphone J2ME et qu’Orange proposera des téléchargements sur son portail.Au final, même s’il n’existe pas de virus sur téléphone portable, il convient de rester vigilant. Car tous les garde-fous mis en place par les opérateurs et les fabricants de téléphones ne peuvent rien contre le facteur humain. Rappelons que la naïveté est à l’origine de la diffusion de la majorité des virus sur PC (I Love you, Kournikova, Naked Wife, etc.). Un modèle que les plaisantins affûtent en ce moment sur les téléphones portables.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.