VoLTE : sur Android, l’implémentation de la voix sur 4G est vulnérable

 

Des chercheurs coréens ont trouvé de nombreuses failles dans le protocole VoLTE qui permet de passer des appels via la 4G. Les travaux de recherche ont été synthétisés par les chercheurs en sécurité de l’institut CERT. Si les appareils d’Apple ne sont pas vulnérables, ce n’est pas le cas des appareils sous Android. Le risque est le vol de données, mais aussi l’utilisation frauduleuse de la ligne.

VoLTE

VoLTE est une technique qui permet de transmettre la voix sur des réseaux 4G via le protocole SIP basé sur l’IP, à la manière de la VOIP classique. Cette nouvelle méthode permet alors de mettre en place de nouvelles attaques qui n’étaient pas envisageables auparavant avec les réseaux plus anciens comme la 3G. Les opérateurs français n’ont pas encore déployé cette technologie, mais elle ne devrait pas tarder à arriver chez Orange et Bouygues Telecom. De plus, les opérateurs n’ont pas tous la même implémentation de la technologie VoLTE et ne sont pas forcément tous vulnérables aux mêmes failles. Il y a en tout quatre vulnérabilités qui ont été détectées par les chercheurs.

Quatre failles dont une liée à Android

La première faille concerne le système de permission. Sous Android, celui-ci est mal intégré (contrairement à iOS) et permet à un pirate de passer – silencieusement – des appels téléphoniques uniquement via la permission INTERNET d’une application en lieu et place de la permission CALL_PHONE.

L’autre vulnérabilité concerne la possibilité pour deux mobiles de communiquer directement entre eux sans passer par un serveur SIP. Dans ce cas, il est possible pour le pirate d’usurper un numéro de téléphone (ce qu’on appelle le spoofing) pour passer des appels avec ce dernier, ce qui peut conduire à une surfacturation. C’est la même conséquence lorsque l’authentification est mal réalisée, causant une troisième vulnérabilité. Enfin, la dernière faille concerne la possibilité pour un client de se connecter à plusieurs sessions SIP en même temps. Cela permettrait à un pirate de créer une connexion P2P au sein du réseau pour récupérer les données des smartphones en exploitant d’autres failles, ou de réaliser une attaque de type DoS pour mettre à genoux le réseau.

Un correctif déjà en route

Les  trois principaux réseaux cellulaires américains (T-Mobile, Verizon et AT&T) sont tous concernés par au moins une faille de sécurité sur l’implémentation de la technologie VoLTE. Si les trois dernières vulnérabilités sont uniquement liées aux réseaux des opérateurs, la première est liée au système de permissions d’Android. Google a donc annoncé qu’un correctif de sécurité était en route et arriverait pour la mise à jour de sécurité du mois de novembre sur les Nexus. Les autres constructeurs pourront appliquer ce correctif en se basant sur le code AOSP.

Le saviez-vous ? Google News vous permet de choisir vos médias. Ne passez pas à côté de Frandroid et Numerama.

Signaler une erreur dans le texte
Source : ZDnet
Vincent Sergère

Journaliste

  • Muffin?

    oui avec 80 mo tu peu utilise 1 heure et sera pas deconte du data internet<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

  • Tre

    même pas sûr...

  • gUI

    oui, et faut leur couper les doigts aussi, histoire qu'ils ne recommencent pas.

  • gUI

    change "et" par "est", ça aide un peu...

  • Touliloup

    Rien à voir, je télephone en VoLTE avec opérateur (Vodafone en Allemagne) et cela ne consomme rien sur mon forfait data. C'est la technologie utilisé pour passé des appels qui change, ce n'est pas une app de VoIP.

  • kenny33

    Euh dans le VoLTE la voix sera différenciée de la data on restera sur les forfaits illimités ^^ on parle pas de skype mais d'un vrai protocole géré par ton opérateur...

  • Tuxi

    Nous attendons avec impatience tes explications quant à la consommation de DATA au travers la VoLTE... Tu vas consommer 10 GO par mois parce que tu passes de appels en VoLTE ? Tu n'as pas compris. Au bas mot c'est quelques Ko/s de transmission... C'est-à-dire que même avec 1 GO de quota, tu peux téléphoner des dizaines d'heures car ça n'utilisera que peu le fair-use. ;)

  • Gambi

    La VoLTE avec les forfaits actuels c'est la blague. Les quotas seront cramés au bout d'une semaine

  • Tre

    Je ne comprends rien à tes messages :(

  • Muffin?

    et dans marshmallow les smartphone mise a jour auront volte pour ceux possible ?<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

  • Muffin?

    wattsap et déjà volte 4g. pour quand orange ? suisscom et déjà volte.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

  • Tre

    ça y va les failles... j'espère que les devs ne seront pas payés et licenciés sur le champ !

Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)

Gérer mes choix

Le forfait mobile du moment
Forfait Mobile B&You
130 Go

Appels illimités

130 Go en France

35 Go en Europe

12.99€
Découvrir le forfait
Tous les forfaits mobile

Les derniers articles

Sécurité

La dernière vidéo

Test du Galaxy A15 - Ça vaut quoi un Samsung pas cher ?

Test du Galaxy A15 - Ça vaut quoi un Samsung pas cher ?

Les tendances

Les derniers articles