Le Blackphone est un téléphone portable conçu par une entreprise Suisse « Silent Circle« , dont l’objectif était de fournir un téléphone sécurisé ayant le moins de mouchard possible. Ainsi, la confidentialité des données et de l’utilisateur est préservée au maximum.

L’intérêt du Blackphone réside donc dans ses capacités de chiffrement des communications vocales mais aussi des SMS / MMS. C’est un appareil qui n’est pas vraiment utilisé par le grand public, notamment parce que la marque est méconnue et souvent innaccessible dans de nombreux pays…


SilentText – l’application de SMS faillible

Toutefois… Un chercheur en sécurité « Mark Dowd » a découvert une faille critique dans tous les téléphones de Silent Circle et permettait d’avoir accès aux SMS reçus et envoyés par l’utilisateur, de récupérer les données GPS du téléphone, mais aussi de lire le carnet d’adresse.

While exploring my recently purchased BlackPhone, I discovered that the messaging application contains a serious memory corruption vulnerability that can be triggered remotely by an attacker.

Il serait même possible d’exécuter du code malicieux selon les cas et « l’avancée » du piratage effectué.
Et le pire dans cette faille, c’est qu’il n’est nécessaire pour un pirate d’avoir seulement le numéro de téléphone de sa victime pour lancer les attaques !

L’application avait une brèche de type « memory corruption » (altération de la RAM), permettant ainsi d’exploiter le téléphone sans même avoir à installer de backdoor ou autre.

Released remotely exploitable Blackphone/SilentText bug. Requires only target's phone number/ID to exploit: http://t.co/0MDoOw2ueQ

— mdowd (@mdowd) January 28, 2015

Depuis, une mise à jour de l’application a été déployée, corrigeant ainsi l’application et sécurisant (un peu plus) l’appareil et surtout l’application concernée.


Ce qu’il faut retenir

La mise en place de sécurité est une chose, consolider la sécurité de son appareil en est une autre.
Il ne faut pas être dépendant de cette sécurité – A force de vouloir trop bien faire les choses (et donc de sécuriser au maximum) son téléphone, Silent Circle a ouvert une très grosse porte permettant de « casser l’anonymisation » du téléphone tant recherchée.

Dans tous les cas, il est (malheureusement) impossible d’être anonyme et sécurisé à 100 %

Note : Vous pouvez obtenir des informations complémentaires à cette adresse.

Source