L'application du RCS, successeur du SMS, est bourrée de failles

Publié le 03 décembre 2019 à 08h58

De grands acteurs se sont lancés dans la nouvelle norme RCS, qui doit remplacer le SMS. Google l'a lancée en janvier dernier sur son opérateur Google Fi. Apple l'a également annoncée pour son application iMessages. Problème : d'après des chercheurs de SRLabs, l'application de la norme « Rich Communication Suite » comporterait un certain nombre de failles.

D'après le site Motherboard, celles-ci pourraient notamment compromettre les données de localisation d'un appareil.

« Des erreurs des années 90 »

Selon les chercheurs, ces failles pourraient aussi permettre la falsification de numéros de téléphone ou l'interception de messages ou d'appels. L'un des défauts de sécurité relevés pourrait par exemple autoriser l'application d'un smartphone à télécharger le fichier de configuration RCS, et accéder à l'ensemble des messages textes et vocaux. Un autre a rendu un code à six chiffres, servant à vérifier l'identité d'un utilisateur, vulnérable à une attaque par force brute, une technique consistant à tester toutes les combinaisons possibles une à une.

Selon The Verge, en revanche, le standard RCS ne compte pas véritablement de faille : ce sont d'abord les environnements dans lesquels il est utilisé qui sont à l'origine des problèmes. SRLabs n'a pas communiqué les environnements dans lesquels ces failles ont été repérées, mais souligne le problème pour une norme devant être adoptée par une centaine d'enseignes au moins à travers le monde. Le chercheur de SRLabs, Karsten Nohl a déclaré : « Toutes ces erreurs des années 90 ont été réinventées et réintroduites. Nous pensons que c'est en fait un pas en arrière pour beaucoup de réseaux [ par rapport aux SMS ] ».

Des correctifs déjà prêts

L'ensemble des failles repérées par la société doit être présenté à la Black Hat Conference qui a débuté ce lundi au Royaume-Uni. Un porte-parole de la GSMA (Global System for Mobile Communications), l'enseigne représentant les intérêts des grands opérateurs dans le monde a été contacté par Motherboard. Il a déclaré que les chercheurs disposaient déjà des correctifs nécessaires : « Nous sommes reconnaissants aux chercheurs d'avoir permis à l'industrie d'examiner leurs conclusions. La GSMA se félicite de toute recherche qui améliore la sécurité et la confiance des utilisateurs des services mobiles ».

La norme RCS, annoncée il y a maintenant un an, est disponible sur les appareils Android depuis cet été. Mais son expansion s'est sensiblement ralentie, d'autres opérateurs, dont le géant Samsung, ayant choisi de développer leurs propres applications de messagerie.

Source : The Verge

Par Benoît Théry

Je veux tout savoir, et même le reste. Je me passionne pour le digital painting, la 3D, la plongée, l'artisanat, les fêtes médiévales... Du coup, j'ai toujours des apprentissages sur le feu. Actuellement, j'apprends à sourire sur mes photos de profil.

Articles de Benoît Théry

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

bmustang

des failles exploitables par qui ? Promouvoir un standard qui n’est pas sécurisé aujourd’hui est une grave erreur et montre à quelle point les acteurs de ce projet sont soucieux de nous protéger ? On peut se demander à qui profite tout cela !?

Popoulo

Titre : « est bourrée de failles » (fin du monde, etc.)
Article :
« comporterait un certain nombre de failles » (du coup, moins bourrée que prévue)
« celles-ci pourraient » (si l’alignement des planètes le permet)
« ces failles pourraient » (si 2 alignements consécutifs)
« les chercheurs disposaient déjà des correctifs nécessaires » (plus besoin d’alignements)

A vrai dire, y a pas de quoi s’inquiéter vous croyez pas ? ^^

ps : c’est dit avec humour, c’est pas du troll ou moqueries je précise !

Sinic

Merci de donner votre avis avec simplicité et sans agressivité, justement !

J’ai reformulé le titre quand je me suis rendu compte que ce n’était pas le RCS qui était impliqué, mais son application. Pour le « bourré de failles », j’hésite. Il est un peu alarmiste, et en même temps, je le trouve très factuel : le RCS est blindé de failles, c’est un fait puisque le GSMA accueille les conclusions sans les nier.

Quand j’utilise le conditionnel, c’est pour rapporter directement ce que disent les chercheurs (Selon eux, il serait…).

Et merci encore pour avoir donné votre avis sans énervement.

merotic

Quand on voit l’état de programmation des OS (W10 par exemple) on se dit que le niveau des développeurs suit celui de la société… Plus vraiment de rigueur, plus de transfert de savoir.

notolik

Tu es sûr que les OS sont plus mal programmés qu’avant?

N’est-ce pas plutôt le « métier » de pirate informatique qui est plus lucratif (et safe) qu’avant?
Le pognon facile à toujours eu une longueur d’avance sur tout le reste…

exoje

À mon humble avis, tu ne sais pas de quoi tu parles
Il n’y a aucun OS majeurs comparables. Ils ont tous des défauts et des failles et il y en aura toujours, c’est comme ça que ça marche, ça s’appelle le progrès.

playAnth95

Non, quand tu sais que Microsoft s’est débarrassé de l’équipe de tests qui était censée tester chaque update de windows avant leur sortie officielle, ça en dit long. Du coup beaucoup de beugs et de nouvelles failles à chaque update.

SckyzO

J’aimerai bien savoir où tu as lu ça …

playAnth95

Sur clubic