Passer au contenu

Blackphone, le smartphone anti-NSA sécurisé, hacké via un simple SMS

En envoyant un message texte, il est possible d’accéder à des données sensibles et d’exécuter du code à distance. Mauvaise pub pour ce terminal ultra-sécurisé.

Présenté comme un smartphone apportant « une confidentialité absolue », le Blackphone est un véritable challenge pour les hackers. L’un d’entre eux, Marc Dowd, vient d’y trouver une belle faille.
Il lui suffit d’envoyer sur un appareil de ce type un message avec un texte bien particulier pour pouvoir faire exécuter n’importe quel code à distance. En particulier, l’attaquant pourra déchiffrer des messages, capter des données de géolocalisation ou encore accéder au carnet d’adresses. Cette courte liste n’est hélas pas exhaustive. On est loin de l’absolue confidentialité.

La vulnérabilité se loge dans l’application Silent Text, une messagerie chiffrée installée par défaut sur le Blackphone, disponible également sur d’autres téléphones Android et sur iPhone. Plus précisément, le bug se trouve dans l’implémentation du protocole de communication utilisé par Silent Text, dans une librairie appelée « libscimp ». A un certain moment, ce code gère mal l’allocation de mémoire, permettant à l’attaquant d’injecter des commandes directement dans le programme.

Conformément à l’éthique des hackers à chapeau blanc (White Hat), Marc Dowd a prévenu la société qui fabrique le smarthone sécurisé avant de publier les détails techniques de son travail. Blackphone a d’ores et déjà diffusé un patch.

Ce n’est pas la première fois que le Blackphone est vaincu. En août dernier, à l’occasion de la conférence Defcon, le hacker Jon Sawyer avait piraté le smartphone en direct, lors d’une présentation. Mais cet exploit nécessitait l’accès physique au terminal. Si le Blackphone n’est évidemment pas inexpugnable, il faut bien garder en tête que cette solution reste malgré tout plus sécurisée que la plupart des smartphones en circulation…

A lire aussi :
La Dark Mail Technical Alliance veut chiffrer vos mails contre la NSA – 08/01/2015

Sources :
Note de blog de Marc Dowd (plutôt technique)
Ars Technica à propos du hack du Blackphone lors de la Defcon  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn
Sur le même sujet
Les dernières actualités
Google Keep
Google Keep pourrait rejoindre le cimetière des applications Google
Lenovo Tab P11
Promo de rêve sur cette tablette Lenovo, disponible à prix mini sur Amazon 
App Store
Comment créer un identifiant Apple américain pour l’App Store US (et télécharger Delta gratuitement) ?
Application Telephone Google
Android : l’application Téléphone de Google teste un changement d’interface discutable
Sandworm Cyberattaques
La menace Sandworm : les cyberattaques russes se multiplient dans le monde
Paris
Assurez la sécurité de votre logement pendant les JO avec Verisure
Youtube
YouTube a peut-être trouvé l’outil IA que vous aurez vraiment envie d’utiliser
Netflix Peur
Netflix ne précisera bientôt plus le nombre d’abonnés
Top téléchargements