Le Blackphone piraté simplement…

Le Blackphone est un téléphone portable conçu par une entreprise Suisse « Silent Circle« , dont l’objectif était de fournir un téléphone sécurisé ayant le moins de mouchard possible. Ainsi, la confidentialité des données et de l’utilisateur est préservée au maximum.

L’intérêt du Blackphone réside donc dans ses capacités de chiffrement des communications vocales mais aussi des SMS / MMS. C’est un appareil qui n’est pas vraiment utilisé par le grand public, notamment parce que la marque est méconnue et souvent innaccessible dans de nombreux pays…

SilentText – l’application de SMS faillible

Toutefois… Un chercheur en sécurité « Mark Dowd » a découvert une faille critique dans tous les téléphones de Silent Circle et permettait d’avoir accès aux SMS reçus et envoyés par l’utilisateur, de récupérer les données GPS du téléphone, mais aussi de lire le carnet d’adresse.

While exploring my recently purchased BlackPhone, I discovered that the messaging application contains a serious memory corruption vulnerability that can be triggered remotely by an attacker.

Il serait même possible d’exécuter du code malicieux selon les cas et « l’avancée » du piratage effectué.
Et le pire dans cette faille, c’est qu’il n’est nécessaire pour un pirate d’avoir seulement le numéro de téléphone de sa victime pour lancer les attaques !

L’application avait une brèche de type « memory corruption » (altération de la RAM), permettant ainsi d’exploiter le téléphone sans même avoir à installer de backdoor ou autre.

Depuis, une mise à jour de l’application a été déployée, corrigeant ainsi l’application et sécurisant (un peu plus) l’appareil et surtout l’application concernée.

Ce qu’il faut retenir

La mise en place de sécurité est une chose, consolider la sécurité de son appareil en est une autre.
Il ne faut pas être dépendant de cette sécurité – A force de vouloir trop bien faire les choses (et donc de sécuriser au maximum) son téléphone, Silent Circle a ouvert une très grosse porte permettant de « casser l’anonymisation » du téléphone tant recherchée.

Dans tous les cas, il est (malheureusement) impossible d’être anonyme et sécurisé à 100 %

Note : Vous pouvez obtenir des informations complémentaires à cette adresse.

Source

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Fermer
Fermer