Le SMS victime d’une énorme faille de sécurité ?

12/01/2007 - Grégoire Bourguignon - 13980 views - Edit 27/03/2007

La Libre Belgique révèle que le SMS serait victime d'une immense faille de sécurité : il serait facile d'envoyer un sms de la part de quelqu'un d'autre, et même de le faire payer à cette personne.

Le quotidien belge La Libre Belgique révèlait dans son édition d’hier qu’une énorme faille de sécurité frapperait le SMS : il serait possible, au départ du web, d’envoyer un SMS à quelqu’un de la part de quelqu’un d’autre, en le faisant facturer à ce dernier.

Qu’en est-il en réalité ?

(JPEG) La Libre Belgique nous a interrogé sur la question pour approfondir ce dossier alarmant.

  • Il n’est pas vrai qu’il est possible de faire facturer un tel SMS fantôme à la personne dont on utilise le numéro comme numéro d’expéditeur. C’est indéniable, puisque pour ce faire, il faudrait utiliser l’identité du client à facturer, c’est-à-dire sa carte SIM, or il n’est pas question ici de vol de carte SIM mais d’envoi de SMS via le web.
  • C’est comme les e-mails, cette "faille" existe depuis toujours, il n’y a rien de nouveau, c’est la norme GSM fixée en 1991 qui le prévoit. Ce n’est donc pas du piratage, et les opérateurs n’en sont nullement responsables.

En effet, tout message, qu’il soit SMS ou e-mail, comprend un champ pour nommer l’expéditeur (que ce soit par une adresse e-mail ou par un numéro d’appel téléphonique). Dans le cas du SMS, c’est la centrale SMS de l’opérateur du client qui envoie le message qui défini le numéro d’appel de l’expéditeur du message en interrogeant la base de données de l’opérateur comprenant les numéros des cartes SIM des clients ainsi que les numéros d’appels téléphoniques qui leurs sont associés.

Le problème, c’est que certains opérateurs dans le monde autorisent que leurs clients (clients qui leur ont préalablement achetés des SMS en gros, comme des sites web) choisissent eux-même les numéros d’appel d’expéditeur des messages que leur système envoie, et qu’ils laissent alors ce choix au client final, à savoir l’internaute. Et comme les centrales des opérateurs récepteurs ne sont techniquement pas en mesure de vérifier si le numéro de l’expéditeur du message est correct puisque ce n’est pas un de ses clients qui l’a envoyé, la faille est facile à exploiter.

Quelle est la solution ?

Concrètement, nous voyons trois solutions à ce problème :

(JPEG) La première, ce serait d’obliger les opérateurs GSM du monde entier d’attribuer un numéro d’appel, ne fut-ce que provisoire, à tous leurs clients qui leur achètent des SMS en gros, et qu’ils exigent de ceux-ci de recevoir la ou les adresses IP fixes du ou des serveurs qu’ils comptent utiliser pour envoyer leur stock de SMS. A ce moment, les opérateurs pourraient configurer leur réseau pour que le numéro attribué au client soit toujours le même, et non n’importe lequel, au choix de l’internaute, comme jusqu’à présent. Une suggestion pour la GSM Association, la fédération qui regroupent tous les opérateurs du monde.

Seconde piste, plus difficile à mettre en place mais plus confortable pour le consommateur : obliger tous les sites web permettant d’envoyer des SMS de ne pas laisser le choix du numéro d’appel de l’expéditeur aux internautes, et de prévoir une procédure pour identifier le numéro d’appel du GSM de l’internaute une fois pour toutes via l’envoi d’un code unique, comme nous le faisont sur Astel. En effet, notre passerelle d’envoi de SMS nous permet de choisir le numéro d’expéditeur des messages. Plutôt que d’en donner la possibilité libre à l’internaute, nous avons préféré mettre en place une procédure pour identifier pour de bon le numéro du GSM de l’internaute. Pour ce faire, nous invitons nos clients à envoyer un code unique par SMS à notre serveur, une fois pour toute. De cette manière, les asteleurs sont en mesure d’envoyer des SMS bon marché depuis Astel comme s’ils les envoyaient depuis leur GSM. Très pratique pour éviter de devoir prévoir la place pour signer en fin de message et surtout pour recevoir les réponses directement sur son GSM !

Comment détecter un SMS envoyé depuis le web ?

(JPEG) Les SMS envoyés depuis le web peuvent être envoyés via n’importe quelle centrale de n’importe quel opérateur GSM du monde, y compris via la centrale de l’opérateur du client dont on emprunte le numéro d’appel comme numéro d’expéditeur.

Par contre, les SMS envoyés par un GSM passent toujours par la centrale SMS de l’opérateur du client qui les envoient. En Belgique, ces centrales portent les numéros de +32 475 16 16 16 chez Proximus, +32 495 00 25 X0 chez Mobistar et +32 486 000 00X chez Base. De nombreux téléphones mobiles, mais pas tous, permettent d’afficher, dans les options du SMS reçu, le numéro de la centrale SMS via laquelle il a été envoyé.

Consulter le numéro de la centrale SMS via laquelle le message reçu a été envoyé n’est pas fiable à 100% puisqu’un site web proposant l’envoi de SMS peut très bien avoir acheté son stock de SMS à l’opérateur justement utilisé par la personne dont le numéro d’expéditeur est emprunté, mais l’astuce fonctionne néanmoins dans la plupart des cas parce que nos opérateurs belges proposent des packs de milliers de SMS à un tarif plus élevé que de nombreux opérateurs étrangers. Les sites web qui permettent l’envoi de SMS préfèrent donc les acheter chez des opérateurs anglais (+44), suisses (+41), d’europe de l’est (+37X, +38X, +40, +42X, +48) et chinois (+86), par exemple.

Conclusion

En attendant que les opérateurs et l’IBPT trouvent une éventuelle solution pour augmenter la fiabilité du service SMS,

  • Si vous recevez un SMS suspect de la part de quelqu’un que vous connaissez bien, regardez par quelle centrale il a été envoyé si votre GSM permet de l’afficher.
  • Si vous avez des enfants, prenez l’habitude de les piloter à distance par téléphone, plutôt que par SMS.

Liens utiles

La discussion en cours sur le forum à ce sujet
L’article de La Libre du 11/01/07 (SMS : une énorme faille de sécurité)
L’article de La Libre du 12/01/07 (L’IBPT enquête, les opérateurs testent)
L’article de La Libre du 13/01/07 (Pas de facturation abusive ? Pas si sûr...)
Notre service d’envoi de SMS fiable (0,085 €/SMS)

Comparez et activez vos abonnements avec Astel

Logo Astel

Nous comparons les packs Internet, TV, téléphone et GSM qui collent à vos besoins, et nous occupons de votre changement d'opérateur.

Vous recevez le cashback Astel en plus de la promotion de l'opérateur.

Astel pour les particuliers :

Astel pour les indépendants :