du 02 décembre 2019
Date

Choisir une autre édition

Mal implémenté chez les opérateurs, le RCS peut exposer les données des utilisateurs

Le RCS (pour Rich Communications Services) est un standard de la GSMA, destiné à supplanter le classique SMS. Les opérateurs de téléphonie le déploient progressivement.

Poussé notamment par Google depuis plusieurs années, il reprend nombre de fonctions des messageries modernes comme les statuts d’envoi et de lecture, l’indicateur de frappe, les groupes de discussions, l’envoie des photos et vidéos dans une meilleure définition et ainsi de suite.

Selon des chercheurs de SRLabs cependant, il est souvent mal implémenté par les opérateurs. Via des tests sur des cartes SIM, ils ont identifié de nombreux problèmes, dont la compromission des données de géolocalisation, l’interception des messages texte et appels téléphoniques ou encore un compte PIN à six chiffres rendu vulnérable aux attaques par force brute.

Pour SRLabs, la situation est d’autant plus sérieuse que plus d’une centaine d’opérateurs dans le monde ont déjà activé RCS sur leurs réseaux, dont les quatre principaux américains.

Le chercheur Karsten Nohl ne mâche pas ses mots chez Motherboard : « Nous trouvons que c’est en fait un pas en arrière pour de nombreux réseaux. Toutes ces erreurs des années 90 sont réinventées, réintroduites ».

Les chercheurs n’ont publié les détails d’aucune faille d’implémentation. Les résultats seront présentés à la GSMA cette semaine. L’organisme remercie SRLabs et pense que des correctifs pourront être rapidement mis en place.

chargement Chargement des commentaires...