Blackphone, le smartphone anti-NSA sécurisé, hacké via un simple SMS

28/01/2015 à 17h33 Mis à jour le 28/01/2015 à 17h36

En envoyant un message texte, il est possible d’accéder à des données sensibles et d’exécuter du code à distance. Mauvaise pub pour ce terminal ultra-sécurisé.

Présenté comme un smartphone apportant « une confidentialité absolue », le Blackphone est un véritable challenge pour les hackers. L’un d’entre eux, Marc Dowd, vient d’y trouver une belle faille.
Il lui suffit d’envoyer sur un appareil de ce type un message avec un texte bien particulier pour pouvoir faire exécuter n’importe quel code à distance. En particulier, l’attaquant pourra déchiffrer des messages, capter des données de géolocalisation ou encore accéder au carnet d’adresses. Cette courte liste n'est hélas pas exhaustive. On est loin de l’absolue confidentialité.

Released remotely exploitable Blackphone/SilentText bug. Requires only target's phone number/ID to exploit: http://t.co/0MDoOw2ueQ
— mdowd (@mdowd) 28 Janvier 2015

La vulnérabilité se loge dans l’application Silent Text, une messagerie chiffrée installée par défaut sur le Blackphone, disponible également sur d’autres téléphones Android et sur iPhone. Plus précisément, le bug se trouve dans l’implémentation du protocole de communication utilisé par Silent Text, dans une librairie appelée « libscimp ». A un certain moment, ce code gère mal l’allocation de mémoire, permettant à l’attaquant d’injecter des commandes directement dans le programme.

Conformément à l’éthique des hackers à chapeau blanc (White Hat), Marc Dowd a prévenu la société qui fabrique le smarthone sécurisé avant de publier les détails techniques de son travail. Blackphone a d’ores et déjà diffusé un patch.

Ce n’est pas la première fois que le Blackphone est vaincu. En août dernier, à l’occasion de la conférence Defcon, le hacker Jon Sawyer avait piraté le smartphone en direct, lors d’une présentation. Mais cet exploit nécessitait l’accès physique au terminal. Si le Blackphone n'est évidemment pas inexpugnable, il faut bien garder en tête que cette solution reste malgré tout plus sécurisée que la plupart des smartphones en circulation...

A lire aussi :
La Dark Mail Technical Alliance veut chiffrer vos mails contre la NSA - 08/01/2015

Sources :
Note de blog de Marc Dowd (plutôt technique)
Ars Technica à propos du hack du Blackphone lors de la Defcon

Gilbert Kallenborn

Votre opinion

7 opinions

LeCousinDeMaCousine 30/01/2015 à 10h27

Plus tu compliques pour te protéger,
plus tu te crois en sécurité.....

Le tout c'est d'y croire.

D'ailleurs si personne n'en avait parlé
on y croirait encore !
itrass 28/01/2015 à 22h20

Ce qui est tout de même intéressant c'est de voir que la société n'abandonne pas pour autant son smartphone et propose rapidement des correctifs. C'est quand même rassurant. Google devrait peut-être en prendre de la graine !
xgames 28/01/2015 à 20h23

C'est dommage car ce téléphone en devient presque moins sécurisé que d'autres : car des hackeurs cherchent constamment à hacker ce téléphone en raison de l'engouement et du défi imposé par celui-ci. Du coup, on risque plus de se faire hacker avec un téléphone comme ça plutôt qu'avec un simple téléphone Android dont on ne cherche pas de failles.
xgames 28/01/2015 à 20h23

C'est dommage car ce téléphone en devient presque moins sécurisé que d'autres : car des hackeurs cherchent constamment à hacker ce téléphone en raison de l'engouement et du défi imposé par celui-ci. Du coup, on risque plus de se faire hacker avec un téléphone comme ça plutôt qu'avec un simple téléphone Android dont on ne cherche pas de failles.
xgames 28/01/2015 à 20h23

C'est dommage car ce téléphone en devient presque moins sécurisé que d'autres : car des hackeurs cherchent constamment à hacker ce téléphone en raison de l'engouement et du défi imposé par celui-ci. Du coup, on risque plus de se faire hacker avec un téléphone comme ça plutôt qu'avec un simple téléphone Android dont on ne cherche pas de failles.
xgames 28/01/2015 à 20h23

C'est dommage car ce téléphone en devient presque moins sécurisé que d'autres : car des hackeurs cherchent constamment à hacker ce téléphone en raison de l'engouement et du défi imposé par celui-ci. Du coup, on risque plus de se faire hacker avec un téléphone comme ça plutôt qu'avec un simple téléphone Android dont on ne cherche pas de failles.
xgames 28/01/2015 à 20h23

C'est dommage car ce téléphone en devient presque moins sécurisé que d'autres : car des hackeurs cherchent constamment à hacker ce téléphone en raison de l'engouement et du défi imposé par celui-ci. Du coup, on risque plus de se faire hacker avec un téléphone comme ça plutôt qu'avec un simple téléphone Android dont on ne cherche pas de failles.