Un opérateur de téléphonie mobile des Emirats Arabes Unis a mis à disposition de ses abonnés un programme, en le présentant comme une mise à jour logicielle pour leurs blackberries. Jusque là, rien de bien anormal, du moins en apparence. Possédant un tel téléphone, mon opérateur de téléphonie met à disposition, dans la section support de son site, des mises à jour pour l'OS du téléphone par exemple (et même pour l'application permettant la synchronisation du téléphone sur le PC!)
Là où ils ont décidé d'adopter la stratégie de l'échec, c'est quant à leurs fichiers distribués. Je n'ai pas encore eu l'occasion de développer sur BlackBerry (mais j'envisage bien de m'y mettre un jour), donc je ne suis pas un gros spécialiste, mais pour faire simple, les applications sont distribuées sous forme d'un fichier .cod, qui est un truc chiffré/signé par RIM pour pouvoir s'exécuter sur tous les téléphones, et ainsi être distribué. Puis il y a les .jar que tout le monde connait en Java, facile à analyser et étudier. Le premier big phail (enfin, en réalité c'est le second) a été de distribuer les deux fichiers (seul le .cod suffisait). Ce qui a fait que des gens un peu curieux, après analyse, aient réalisé de quoi il s'agissait: une belle backdoor pouvant récupérer leurs e-mails.
Maintenant, qu'est-ce qui a pu en motiver certains à analyser ce fichier ? Ok, la curiosité. Mais pas seulement. Des gens se sont plaint que la batterie de leur téléphone s'usait super rapidement (j'ai lu quelque part que des batteries se déchargeaient en 30-60 minutes!), ça a donc du en motiver certains à regarder ce que faisait cette mise à jour, et comprendre, outre le fait que ça soit une backdoor, pourquoi elle bouffait la batterie à cette vitesse: quand la backdoor essayait de "téléphoner maison", et qu'elle échouait (en raison d'un serveur saturé par ce grand nombre de connexions), elle ré-essayait en boucle en permanence.
Voici en vrac quelques liens qui parlent de ce léger incident (puis encore ici et surtout une analyse là), qui, cela ne m'étonnerait pas, pourrait tout à fait se produire dans notre beau pays dans pas si longtemps que ça (bon, ensuite, tant que les commerciaux utiliseront les mots "crypté" ou "aes 256 bits" pour vanter les mérites des BlackBerries, les gens penseront que cela n'est pas possible que leurs mails soient interceptés).
Notons également que lors de l'achat d'un téléphone (typiquement dans une boutique orange/sfr/bouygues hein), un certain nombre d'applications sont pré-installées, alors pourquoi pas une telle backdoor un jour ?
En attendant, chiffrons nos mails (jusqu'à ce qu'on en vienne à la backdoor qui récupère les clés pgp et qui fasse keylogger). Par contre, je n'ai toujours pas trouvé d'application libre et gratuite me permettant d'utiliser GPG sur mon blackberry. Juste une application payante et closed source (mais le développeur est sympathique et réactif, d'après mes quelques échanges de mails avec lui).
Aucun commentaire:
Enregistrer un commentaire