La conférence DefCon de spécialistes du piratage informatique a mis en évidence dimanche la grande vulnérabilité de routeurs fabriqués par le chinois Huawei, une société qui inspire la méfiance aux autorités de plusieurs pays occidentaux,

Les routeurs de Huawei, des appareils qui permettent de connecter des réseaux à internet, sont particulièrement populaires en Asie, en Afrique et au Moyen Orient, et Huawei essaie aussi de développer ses marchés aux Etats-Unis et en Europe. Mais pour Felix Lindner, du laboratoire Recurity Labs, ces appareils sont dangereux.

En référence à leur prix relativement bon marché, il a lâché: "on obtient ce pour quoi on paie, désolé", avant de faire une démonstration des vulnérabilités de ses appareils dans une présentation à DefCon, une conférence organisée tous les ans à Las Vegas (Nevada, ouest).

"Ces appareils représentent un vrai problème de sécurité", a renchéri un collaborateur de M. Lindner, Gregor Kopf. "A mes yeux le plus grand danger c’est qu’on ne sait pas qu’ils sont vulnérables", a-t-il expliqué à l’AFP, faute du moindre conseil d’utilisation fourni par Huawei aux consommateurs.

Selon lui, ces appareils ont une technologie qui rappelle les années 1990, trop perméable aux intrusions. "Pour être franc, on n’a examiné que trois routeurs, mais d’après cet échantillon, il y a des chances pour que leurs autres équipements soient très vulnérables", a-t-il dit. Il a toutefois convenu que Recurity n’avait pas examiné les gros routeurs fournis par Huawei aux entreprises ou aux opérateurs télécoms.

Présent dans plus de 100 pays, Huawei a été fondé par Ren Zhengfei, un ancien ingénieur de l’armée chinoise, et est l’une des marques chinoises les plus connues à l’international. Huawei insiste sur le fait que l’entreprise n’a plus de liens avec l’armée chinoise alors que des soupçons sur ce point l’ont empêché d’acquérir des entreprises aux Etats-Unis. Plus récemment, Huawei a été écarté de l’appel d’offre pour le futur réseau à très haut débit de l’Australie pour raisons de sécurité.

La vulnérabilité des téléphones-portefeuilles démontrée

Les "téléphones-portefeuilles" sont tout sauf invulnérables, ont démontré des spécialistes au cours du week-end, lors du grand rassemblement d’informatique Def Con de Las Vegas (Nevada, ouest des Etats-Unis).

Les téléphones portables multifonctions ont déjà commencé à offrir divers moyens de paiement et d’identification, ce qui en fait des cibles de choix pour les pirates informatiques. "Nous entrons dans le monde de l’exploitation post-ordinateurs", a noté le chercheur Stephen Ridley, de la société Xipiter, qui a découvert que le même genre d’attaques qui visent des ordinateurs fixes pouvaient s’abattre sur des appareils portables.

Le danger est d’autant plus grand que, selon lui, "les téléphones seront les seules choses où les gens voudront pénétrer": les pirates ont toutes les raisons de s’intéresser à des appareils qui restent allumés en permanence et qui recèlent des masses de données, y compris la façon de les localiser.

En outre, d’ici à dix ans, l’utilisation de téléphones pour payer se sera vraisemblablement généralisée, selon une enquête du centre de recherche américain Pew publiée en avril. "Qu’est-ce qu’on a dans un portefeuille actuellement? Des documents d’identité, des moyens de paiement, des documents personnels", note l’économiste de Google Hal Varian cité dans l’enquête du centre Pew: "Tout cela logera facilement dans un appareil portable, c’est inévitable".

"Une voie d’entrée pour des malfaiteurs"

Mais un spécialiste de la sécurité, Eddie Lee de la société Blackwing Intelligence, a fait lors du rassemblement Def Con la démonstration d’un piratage à l’aide d’un téléphone fonctionnant sous Android, le système d’exploitation conçu par Google, en captant les données d’une carte de crédit pour ensuite l’utiliser pour faire des achats.

"On peut se mettre à dépenser avec la carte de crédit de quelqu’un d’autre, et l’utiliser comme +Google Wallet+", une application de paiement lancée par Google l’an dernier sur certains téléphones, a déclaré M. Lee. "Ca fait longtemps qu’on sait qu’on peut pirater des cartes RFID", c’est-à-dire dotées d’un système de radio-identification, a ajouté M. Lee. "Ce système permet d’abuser de ces informations pour dépenser. Cela va peut-être pousser les émetteurs de cartes de crédit à améliorer ce qui est dans mon portefeuille".

Selon lui, on peut de la même façon détourner d’autres cartes, comme des titres de transport ou des badges d’entrée dans un immeuble. Charlie Miller, un ancien analyste de l’Agence nationale de sécurité, l’agence fédérale chargée de mener des écoutes, a pour sa part fait la démonstration d’un système permettant de pénétrer dans un téléphone avec un capteur se trouvant suffisamment proche pour intercepter les signaux d’une puce sans contact NFC.

Selon M. Miller, qui est aujourd’hui consultant à la société de sécurité Accuvant, il est même possible dans certains cas de prendre complètement le contrôle d’un téléphone doté d’une puce NFC, de voler des photos ou des carnets d’adresses qui y sont stockés, ou même de faire des appels téléphoniques. "Normalement, ça sert à payer et à scanner des affiches de cinéma, mais sachez que c’est une autre voie d’entrée pour des malfaiteurs", a dit M. Miller à l’AFP.

Selon lui, il suffirait de cacher une antenne derrière un autocollant et de le rapprocher d’un téléphone pour le pirater. De cette façon, un autocollant anodin placé à proximité d’un terminal de paiement adapté aux téléphones pourrait faire la fortune de pirates. "Un sale type peut exploiter cet instant où il y a communication avec le téléphone pour voler des données", dit-il.

Conclusion: "C’est cool les puces NFC, c’est pratique, c’est amusant, mais je dis juste qu’il faut faire attention aux conséquences pour la sécurité".

Afp