Après avoir régné sans partage sur le monde de la téléphone mobile, le SMS (Short Message Service) passe le relais à son successeur, le RCS, pour Rich Communication Services. Face à la lenteur des opérateurs mobiles français à déployer ce nouveau protocole, Google a pris les devants à l’été 2019 en déployant ce standard sur les téléphones Android. À condition d’utiliser une application compatible, Google Messages en l’occurrence.
RCS, quels avantages ?
Le RCS revêt de nombreux avantages : en passant par la 4G ou la Wi-Fi, et non par le réseau GSM comme le faisait le SMS, ce protocole offre aux utilisateurs une kyrielle de fonctionnalités déjà proposées par les services Messenger ou WhatsApp par exemple. De la conversation groupée à l’appel vidéo en passant par la messagerie audio, le partage de la géolocalisation ou le transfert de fichiers, les options sont multiples, variées et utiles.
Alors que le RCS bénéficie d’un large déploiement impulsé par plus de cent opérateurs à travers le monde, des chercheurs de Security Research Labs (SRLabs) ont publié un rapport inquiétant sur la façon dont les entreprises de télécommunication l’intégraient à leurs services. Des failles à même d’être exploitées par des pirates informatiques ont en effet été décelées par les spécialistes.
Les principaux résultats de recherche se focalisent notamment sur le processus de « provisioning », dédié à l’activation du RCS sur un téléphone, qualifié de « mal protégé ». Google Messages n’implémenterait également pas assez de validation de domaine et de certificat, alors que la validation de l’identité de l’utilisateur comporterait elle aussi plusieurs faiblesses. L’entreprise de sécurité ne mentionne en revanche aucun opérateur.
En outre, une personne mal intentionnée serait capable de compromettre des données de géolocalisation, intercepter des messages et appels téléphoniques ou encore obtenir un code PIN à six chiffres à l’aide d’une attaque par force brute. « Nous trouvons que c’est en fait un pas en arrière pour un grand nombre de réseaux », a même déclaré Karsten Nohl, chercheur chez SRLabs au cours d’un entretien téléphonique avec Motherboard.
Des vulnérabilités déjà connues
Porte-parole de la GSMA, l’association qui gère le protocole, Claire Cranton tient à rassurer les professionnels du secteur et le grand public : « La GSMA est au courant des recherches menées par SRLabs sur la sécurité du RCS. Certaines vulnérabilités sont déjà connues, mais aucune nouvelle vulnérabilité n’a été signalée », peut-on lire dans les colonnes du média susmentionné.
Et de poursuivre : « Nous exprimons nos remerciements aux chercheurs ayant donné l’opportunité à l’industrie de prendre en considération leurs trouvailles. La GSMA accueille favorablement toute recherche qui renforce la sécurité et la confiance des utilisateurs des services mobiles, et qui encourage les chercheurs à soumettre leur travail à notre Coordinated Vulnerability Disclosure (CVD) Programme ». Autrement dit : passez votre chemin, tout est sous contrôle. On ne demande qu’à la croire.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.