Après le hacking des téléphones portables via bluetooth, des experts en sécurité ont présenté à la récente conférence Black Hat Europe (Amsterdam) un nouveau moyen de prendre le contrôle de votre mobile, de vous spammer de pop-up, ou de mettre la main sur les informations que vous transmettez.
Ultimate Bluetooth Mobile Phone Spy Software Edition 2008, BLUETOOTH CONTROL, BT info, Magic Blue Hack (à télécharger en bas de page :-° ), depuis 2007 et en provenance pour la plupart de pays de l'est (slovaquie, Bulgarie,...), ces logiciels de "hack Bluetooth" ont envahis les forums de discussion. Windows mobile, Symbian, ou vieux portable, ce qui compte, c'est d'avoir la fameuse "dent bleue" une technologie radio courte distance.
Il suffit que la victime accepte la demande de connexion pour que le pirate puisse faire mumuse avec le jolie iPhone du pauvre Philippe (désolé si un Philippe Macophile lit ces lignes) :
- Lancer un appel depuis le téléphone cible
- Raccrocher à sa place
- Télécharger, supprimer, et lire les texto
- Verrouiller le clavier
- Enlever le mode silencieux
- Faire varier le volumes du téléphone
- Contrôler le clavier
- Changer la langue de l'interface
- Télécharger, supprimer et voir le répertoire
- Éteindre son écran
- Voir, lire, télécharger et supprimer les photos, vidéos et musiques
- Faire un Reset du téléphone
- Éteindre son téléphone
L'objectif "légal" de ce type d'outils est de palier à un appareil défectueux : écran cassé, clavier malmené,...tombé dans l'eau...on y croit tous...
Bref, les résultats variaient considérablement en fonction du logiciel, du téléphone hôte, du téléphone victime,...Mais ne crions pas "ouf" trop tôt.
Présenté à la Black hat Europe (14 au 17 mars 2009) à Amsterdam, une nouvelle technique pourrait bien voir le jour. Trois experts en sécurité de l'entreprise italienne Mobile Security Lab auraient trouvé une petite faille, une "backdoor", qui à la base permettrait aux opérateurs via un fichier texte de modifier des paramètres internes et même mettre à jour des logiciels système.
Si un fichier corrompu était envoyé par un pirate, il pourrait alors installé quelques applis maisons. Les trois conférenciers ont démontré qu'il est possible par cette manière de hijacker (détourner) les données émises par le mobile vers un serveur autre que celui de l'opérateur. A partir de ce serveur, une multitudes de possibilité sont envisageable : installation de malware qui lanceront des pop-up à chaque connexion à internet, mise en place de keylogger qui enregistrerait tout ce que l'utilisateur piraté tape et renvoyé par sms/mail/wifi/pigeon-voyageur sur le serveur.
Mais attendez! Avant de jeter votre tout-beau-tout-neuf 3310, sachez que si ça parait ainsi simple, c'est qu'il y a un petit truc...
Eh bien le petit truc en question se nomme PIN! Et oui le code que vous rentrez à l'allumage de votre portable n'est pas qu'un gadget. En plus d'être une faille peu critique de part la rareté de l'utilisation du procédé d'accès à distance, l'opérateur demande en plus à l'utilisateur de rentrer le code PIN de l'appareil avant d'effectuer une quelconque modification. entre nous, si une personne arrive à exploiter cette fissure sécuritaire de nos mobiles, ce n'est surement pas la mise en place d'un petit phishing qui l'arrêtera.
Même si les trois experts italiens présisent sur le blog de leur société que cette technique ne représente pas de menace majeur pour le monde du mobile, cela offre tout de même de nouvelles possibilités de piratage.
De plus avec le développement des smartphones, ces super mobiles qui font tout même éthylomètre, on peut s'attendre à un boom du téléchargement d'applications en ligne, preuvent en être l'Appstore de Apple qui a récemment dépassé le milliardième téléchargement. Et qui dit téléchargement dit également virus, spyware, ...d'ailleurs une des premières choses qui m'a choqué dans ces téléphones-ordinaeurs est l'absence d'anti-virus ou de firewall...l'habitude sans doute!
Source :
- Hijacking Mobile-Phone Data
- Back from Black (Hat)
Téléchargement et tutoriel :
- Ultimate Bluetooth Mobile Phone Spy Software Edition 2008
- BT INFO - controler un autre téléphone à partir de votre
- BlueTooth Control
Rappel :
- Atteinte à la vie privée
- Les vers pour téléphones portables existent depuis 2005
Article protégé par
Faut-il forcément de grosse connaissance en informatique pour utiliser le programme de crak de bluetooth? il est dit dans ton article qu'il faut accepter la connexion pour être piraté, donc sans acceptation, pas de hacking? Donc avec un minimum de connaissance informatique, une connexion wi-fi, et bluetooth on pourrait aller n'importe où? les informatitiens serait-il les futurs ennemis publics numéro 1?
Sinon bon article, il manque cependant quelque chose... ta signature!!
Harry, un lecteur qui veut du bien à tes articles, ;)!
Salut Flagel et merci pour tes commentaires ;)
Le hack Bluetooth ne requiert AUCUNE connaissance en informatique : le logiciel fait tout.
Cependant comme il est préciser, la victime doit rentrer le code PIN de la connexion bluetooth, code que doit connaitre le pirate. Donc soit il le connait (0000, 1234,....) soit il se débrouille pour influencer la victime à rentrer un code pin précis.
Ensuite comme je l'avais dit ici (http://www.sicw-news.com/2009/03/hadopi-quand-les-pme-trinqueront.html) le hack wifi est de plus en plus "facile".
Tu te demandes si les informaticiens sont les ennemis publics numéro 1, et à juste titre.
Mais la méthode présenté ci-dessus est du "black hat", du piratage malsain. Les experts en informatique (sécurité, réseaux, systèmes, les trois en mêmes temps... ^^) mettent leurs connaissances au service de la communauté afin d'améliorer le systèmes. C'est également l'idéologie des pirates "white hat" : hé oui malgré les idées reçues, tous les hackers ne sont pas mauvais! Un travail facile à voir tout les jours est la prévention que réalise le site Zataz envers les entreprises chez qui des failles de sécurités ont été détecté.
Voila j'espère t'avoir répondu correctement.
Pour ce qui est de ma signature, l'encadré "auteur" dans la colonne de droite devrait amplement suffir non? ;) Au pire j'ai une adresse e-mail!
Bonne soirée!
Ronan pour SICW
Merci pour cet article très intéressant !
Pour ma part j'utilise l'application Bluetooth Control dont vous avez donné le lien plus haut.
Ce petit logiciel marche très bien !
MERCI A VOUS !!!
Enregistrer un commentaire