RCS veut remplacer le SMS : cela fait plusieurs années que, poussés par Google, les opérateurs s’affairent à remplacer le système SMS en développant son successeur, RCS. Mais si le standard, défini depuis 2007 par le consortium GSMA, est opérationnel, les implémentations du système réalisées par les opérateurs et les fournisseurs de téléphones ne sont pas à la hauteur selon les chercheurs de SR Labs. Ça tombe mal : Google a annoncé cet été que ses terminaux Android utilisant l’application Messages seraient dorénavant compatibles, et que le déploiement en France était achevé, avec le soutien d’opérateurs comme Orange.
Dans un post de blog, l’équipe de Karsten Nohl détaille le résultat de leurs recherches sur les différentes implémentations de RCS actuellement mises en œuvre par les opérateurs. Et le constat est loin d’être reluisant : selon les chercheurs, les différentes composantes du système RCS (clients et back end opérateurs) souffrent de multiples failles de sécurité basiques.
Contrairement au SMS, RCS est un format de texte enrichi capable de proposer des contenus multimédias, du transfert de fichiers, de la messagerie audio ou encore des appels vidéo. Il se base pour cela sur le protocole IP et donc sur les réseaux internet mobiles, contrairement aux SMS qui passent sur des réseaux GSM.
publicité
Les vieilles failles ont la peau dure
On peut par exemple citer le système de provisionnement (allocation de ressources), utilisé pour l’activation initiale de RCS sur un téléphone : « [ce système] est mal protégé sur de nombreux réseaux, ce qui pourrait permettre à des attaquants de prendre le contrôle du compte utilisateur en volant le fichier de configuration RCS, qui inclut les identifiants SIP et HTTP » de l’utilisateur.
De nombreuses implémentations testées par les chercheurs sont également exposées à la fraude à l’identification de l’appelant, et le manque de vérifications mises en place dans les clients de messageries RCS rend possible une manipulation des messages échangés et reçus via une manipulation du DNS.
Les problèmes identifiés par SRLabs n’affectent pas le standard en lui-même, mais ses implémentations. « Tout le monde se plante, mais de différente façon » a ainsi explique Karsten Nohl, chercheur de SR Labs, auprès de Vice.com. Le chercheur, spécialisé dans les télécommunications, regrette que les opérateurs reproduisent avec ce nouveau standard les erreurs classiques des réseaux de télécommunication des années 2000.
Comments