Certains hacks sont parfois simples comme un coup de fil. Ainsi nous le prouve la vidéo de la présentation tenue par Ravi Borgaonkar à l’occasion de la dernière conférence Ekoparty. Le principe de l’attaque est simple et repose sur l’utilisation du protocole USSD (Unstructured Supplementary Service Data). Un protocole destiné aux échanges client-serveur entre un terminal GSM et un service d’opérateur par exemple. Ainsi, le lien 06 exécute la commande tel : * # 06 # qui affiche le numéro IMEI de l’appareil sans que l’abonné n’ait à taper quoi que ce soit : le démon est dans l’URL. Certains téléphones sous Android acceptent ce genre d’ordre sans demander leur reste, d’autres (les appareils sous IOS notamment) réclament une confirmation… de façon assez hermétique pour qu’un usager peu méfiant accepte sans trop se poser de question. Une majorité de ces ordres sont silencieux, généralement employés par les opérateurs pour activer ou invalider un service ou une fonction auprès des abonnés
Mais parfois, certains codes USSD vont un peu plus loin, explique le chercheur Indien. Notamment chez Samsung, qui a enrichi le vocabulaire interne de son S3 avec une commande d’initialisation des paramètres. Il n’y a que l’espace d’une macro entre un terminal opérationnel et un téléphone amnésique.
Les quelques médias Français qui relatent l’évènement parlent de « faille ». Certains même qualifient ce léger problème d’interprétation des normes comme « terrifiant » et stigmatisent les productions Samsung. Or, l’éclairage donné à ce genre de bug d’intégration touche la totalité des téléphones mobiles, intelligents ou non d’ailleurs. Il y a de fortes chances que dans les jours qui suivent, l’exposé de Ravi Borgaonkar incite pas mal de hacker à fuzzer et bruteforcer leurs propres téléphones à tire-larigot, for fun and profit, cela va sans dire. Les habitués du monde de la sécurité ironisent : « it’s not a bug, it’s a feature ». Une feature qui permet d’envisager quelques amusantes opérations qui rappellent le temps pas si éloigné des fichiers « .com » qui n’étaient pas des URL ou des injections javascript dans les adresses Web.