Le BlackPhone est un smartphone ultra sécurisé censé pouvoir être utilisé par les gouvernements et n’importe quel utilisateur qui tient à ses données privées. Mais le terminal aurait été victime d’une grave faille de sécurité, corrigée depuis, qui permettait d’accéder à distance aux données du téléphone.

 

BlackPhone

Le BlackPhone a été dévoilé lors du MWC l’an dernier à Barcelone. Pour ceux qui auraient raté le coche, ce smartphone est un peu spécial puisqu’il tourne sous PrivatOS, une version modifiée d’Android KitKat qui délaisse les services de Google et intègre de nombreuses sécurités. Ainsi, les communications sont chiffrées à l’aide d’un VPN (par l’intermédiaire de l’utilisation d’une application spéciale) et les permissions des applications sont réglables de manière plus fine que sous Android. Il s’agit donc du smartphone parfait pour les espions et les gouvernements qui ne souhaitent pas être mis sur écoute si facilement. Vraiment ? On peut avoir des doutes puisque le BlackPhone a été victime d’une importante faille de sécurité, colmatée par Geeksphone, le constructeur du mobile, avant d’être rendue publique.

La faille était en fait située dans le logiciel de messagerie instantanée du BlackPhone. Pour exploiter la faille, il suffisait au pirate de connaître le numéro de téléphone ou l’identifiant Silent Circle du mobinaute. Avec ces informations, il était ensuite possible de déchiffrer et lire les messages du terminal, mais aussi d’accéder aux contacts, à la géolocalisation du téléphone, d’écrire sur la carte micro-SD et enfin de lister les comptes présents sur le terminal. Le bug a été trouvé par Mark Dowd, un consultant en sécurité. Il a contacté les ingénieurs de Geeksphone de manière privée qui se sont empressés de corriger la faille.

Pour les plus curieux, le blog Azimuth Security a détaillé l’exploitation de la faille qui était présente au sein de l’application SilentText. Cette affaire prouve, encore une fois, que le chiffrement n’est pas la panacée et qu’il ne faut donc diversifier les moyens de chiffrement et de sécurité.