LAS VEGAS (Etats-Unis), 30 juil 2012 (AFP) - Les "téléphones-portefeuilles" sont tout sauf invulnérables, ont démontré des spécialistes au cours du week-end, lors du grand rassemblement d'informatique Def Con de Las Vegas (Nevada, ouest des Etats-Unis).
Les téléphones portables multifonctions ont déjà commencé à offrir divers moyens de paiement et d'identification, ce qui en fait des cibles de choix pour les pirates informatiques.
"Nous entrons dans le monde de l'exploitation post-ordinateurs", a noté le chercheur Stephen Ridley, de la société Xipiter, qui a découvert que le même genre d'attaques qui visent des ordinateurs fixes pouvaient s'abattre sur des appareils portables.
Le danger est d'autant plus grand que, selon lui, "les téléphones seront les seules choses où les gens voudront pénétrer": les pirates ont toutes les raisons de s'intéresser à des appareils qui restent allumés en permanence et qui recèlent des masses de données, y compris la façon de les localiser.
En outre, d'ici à dix ans, l'utilisation de téléphones pour payer se sera vraisemblablement généralisée, selon une enquête du centre de recherche américain Pew publiée en avril.
"Qu'est-ce qu'on a dans un portefeuille actuellement? Des documents d'identité, des moyens de paiement, des documents personnels", note l'économiste de Google Hal Varian cité dans l'enquête du centre Pew: "Tout cela logera facilement dans un appareil portable, c'est inévitable".
"Une voie d'entrée pour des malfaiteurs"
----------------------------------------
Mais un spécialiste de la sécurité, Eddie Lee de la société Blackwing Intelligence, a fait lors du rassemblement Def Con la démonstration d'un piratage à l'aide d'un téléphone fonctionnant sous Android, le système d'exploitation conçu par Google, en captant les données d'une carte de crédit pour ensuite l'utiliser pour faire des achats.
"On peut se mettre à dépenser avec la carte de crédit de quelqu'un d'autre, et l'utiliser comme +Google Wallet+", une application de paiement lancée par Google l'an dernier sur certains téléphones, a déclaré M. Lee.
"Ca fait longtemps qu'on sait qu'on peut pirater des cartes RFID", c'est-à-dire dotées d'un système de radio-identification, a ajouté M. Lee. "Ce système permet d'abuser de ces informations pour dépenser. Cela va peut-être pousser les émetteurs de cartes de crédit à améliorer ce qui est dans mon portefeuille".
Selon lui, on peut de la même façon détourner d'autres cartes, comme des titres de transport ou des badges d'entrée dans un immeuble.
Charlie Miller, un ancien analyste de l'Agence nationale de sécurité, l'agence fédérale chargée de mener des écoutes, a pour sa part fait la démonstration d'un système permettant de pénétrer dans un téléphone avec un capteur se trouvant suffisamment proche pour intercepter les signaux d'une puce sans contact NFC.
Selon M. Miller, qui est aujourd'hui consultant à la société de sécurité Accuvant, il est même possible dans certains cas de prendre complètement le contrôle d'un téléphone doté d'une puce NFC, de voler des photos ou des carnets d'adresses qui y sont stockés, ou même de faire des appels téléphoniques.
"Normalement, ça sert à payer et à scanner des affiches de cinéma, mais sachez que c'est une autre voie d'entrée pour des malfaiteurs", a dit M. Miller à l'AFP.
Selon lui, il suffirait de cacher une antenne derrière un autocollant et de le rapprocher d'un téléphone pour le pirater. De cette façon, un autocollant anodin placé à proximité d'un terminal de paiement adapté aux téléphones pourrait faire la fortune de pirates.
"Un sale type peut exploiter cet instant où il y a communication avec le téléphone pour voler des données", dit-il. Conclusion: "C'est cool les puces NFC, c'est pratique, c'est amusant, mais je dis juste qu'il faut faire attention aux conséquences pour la sécurité".
Les téléphones portables multifonctions ont déjà commencé à offrir divers moyens de paiement et d'identification, ce qui en fait des cibles de choix pour les pirates informatiques.
"Nous entrons dans le monde de l'exploitation post-ordinateurs", a noté le chercheur Stephen Ridley, de la société Xipiter, qui a découvert que le même genre d'attaques qui visent des ordinateurs fixes pouvaient s'abattre sur des appareils portables.
Le danger est d'autant plus grand que, selon lui, "les téléphones seront les seules choses où les gens voudront pénétrer": les pirates ont toutes les raisons de s'intéresser à des appareils qui restent allumés en permanence et qui recèlent des masses de données, y compris la façon de les localiser.
En outre, d'ici à dix ans, l'utilisation de téléphones pour payer se sera vraisemblablement généralisée, selon une enquête du centre de recherche américain Pew publiée en avril.
"Qu'est-ce qu'on a dans un portefeuille actuellement? Des documents d'identité, des moyens de paiement, des documents personnels", note l'économiste de Google Hal Varian cité dans l'enquête du centre Pew: "Tout cela logera facilement dans un appareil portable, c'est inévitable".
"Une voie d'entrée pour des malfaiteurs"
----------------------------------------
Mais un spécialiste de la sécurité, Eddie Lee de la société Blackwing Intelligence, a fait lors du rassemblement Def Con la démonstration d'un piratage à l'aide d'un téléphone fonctionnant sous Android, le système d'exploitation conçu par Google, en captant les données d'une carte de crédit pour ensuite l'utiliser pour faire des achats.
"On peut se mettre à dépenser avec la carte de crédit de quelqu'un d'autre, et l'utiliser comme +Google Wallet+", une application de paiement lancée par Google l'an dernier sur certains téléphones, a déclaré M. Lee.
"Ca fait longtemps qu'on sait qu'on peut pirater des cartes RFID", c'est-à-dire dotées d'un système de radio-identification, a ajouté M. Lee. "Ce système permet d'abuser de ces informations pour dépenser. Cela va peut-être pousser les émetteurs de cartes de crédit à améliorer ce qui est dans mon portefeuille".
Selon lui, on peut de la même façon détourner d'autres cartes, comme des titres de transport ou des badges d'entrée dans un immeuble.
Charlie Miller, un ancien analyste de l'Agence nationale de sécurité, l'agence fédérale chargée de mener des écoutes, a pour sa part fait la démonstration d'un système permettant de pénétrer dans un téléphone avec un capteur se trouvant suffisamment proche pour intercepter les signaux d'une puce sans contact NFC.
Selon M. Miller, qui est aujourd'hui consultant à la société de sécurité Accuvant, il est même possible dans certains cas de prendre complètement le contrôle d'un téléphone doté d'une puce NFC, de voler des photos ou des carnets d'adresses qui y sont stockés, ou même de faire des appels téléphoniques.
"Normalement, ça sert à payer et à scanner des affiches de cinéma, mais sachez que c'est une autre voie d'entrée pour des malfaiteurs", a dit M. Miller à l'AFP.
Selon lui, il suffirait de cacher une antenne derrière un autocollant et de le rapprocher d'un téléphone pour le pirater. De cette façon, un autocollant anodin placé à proximité d'un terminal de paiement adapté aux téléphones pourrait faire la fortune de pirates.
"Un sale type peut exploiter cet instant où il y a communication avec le téléphone pour voler des données", dit-il. Conclusion: "C'est cool les puces NFC, c'est pratique, c'est amusant, mais je dis juste qu'il faut faire attention aux conséquences pour la sécurité".