Des chercheurs allemands, français et danois ont découvert une faille de sécurité dans les téléphones mobiles « très peu susceptible d'avoir été créée par accident ». En outre, cette « porte dérobée » aurait du être supprimée en 2013, explique la Ruhr-Universität Bochum (RUB) dans un communiqué.
L'algorithme GEA-1 avait été introduit en 1998 par l'Institut européen des normes de télécommunications (ETSI) du temps des standards GPRS et 2G. Il était censé fournir un chiffrement 64 bits pour le trafic de données, comme les e-mails et les informations récupérées sur le Web, précise The Register.
Or, analysent les chercheurs, il n'offrait réellement qu'un chiffrement 40 bits, et était « si facile à casser » qu'il ne pouvait s'agir que d'un algorithme « délibérément affaibli », et donc d'une « porte dérobée ».
Bien que toujours présente dans de nombreux téléphones mobiles modernes, la vulnérabilité « ne constitue plus une menace significative pour les utilisateurs », selon les chercheurs, les données étant désormais protégées par des mesures de chiffrement supplémentaires.
Un porte-parole de l'organisation qui a conçu l'algorithme GEA-1, l'Institut européen des normes de télécommunications (ETSI), a expliqué à MotherBoard que la faiblesse avait été introduite parce que les réglementations d'exportation de l'époque ne permettaient pas un chiffrement plus fort.
L'équipe présentera ses conclusions lors de la conférence Eurocrypt en octobre 2021. L'article est disponible depuis le 16 juin 2021.
