Vainqueure du grand prix du jury au Forum international de la cybersécurité (FIC) de Lille, la start-up Dust Mobile a dénoncé le risque d’espionnage de n’importe quel smartphone, sans utilisation ni installation d’un logiciel tiers.
L’information pourrait bien inquiéter des millions d’utilisateurs à travers le monde. «Pour 500 dollars par mois sur le darknet, uniquement en connaissant votre numéro, un pirate peut, à distance et à votre insu, localiser votre téléphone, intercepter et écouter vos appels et vos SMS et MMS». Il peut également «vous les renvoyer modifiés ou en envoyer ou appeler comme si c'était vous», a expliqué à l'AFP Jean-Michel Henrard, le cofondateur de Dust Mobile.
Les hackers utilisent notamment les failles de sécurité des cartes SIM, ou celles des systèmes permettant à deux personnes n'ayant pas le même opérateur de communiquer. Des défaillances aussi anciennes que les réseaux.
«Ces protocoles de communication entre opérateurs ont été conçus à l’origine sans protection car seuls les opérateurs y avaient accès. Maintenant, tout le monde peut potentiellement y avoir accès. Les hackers peuvent ainsi lancer des commandes d'attaques, il leur suffit d'avoir votre 06», a précisé Jean-Michel Henrard, cet ancien de Fujitsu Telecom, Airbus Défense et Thalès.
Une carte SIM pare-feu
Dust Mobile l'opérateur mobile de cyberdéfense, a ainsi développé un système de protection contre ce risque de piratage peu connu. L’entreprise commercialise depuis 2020 une carte SIM pare-feu qui permet à l’utilisateur d’être alerté en cas d’attaque, avant de déployer automatiquement une contre-mesure.
Par ailleurs, elle détecte également les attaques par «IMSI-Catcher», un mode opératoire plus connu et notamment utilisé par les services de renseignements. Ce dernier permet d'intercepter des données ou des conversations en simulant une antenne réseau. En revanche, le système ne concerne pas les applis de messagerie par Internet.
Cette solution de protection des communications et des cartes SIM appelée «SIM Cybercell», est de plus uniquement destinée aux gouvernements et aux entreprises, afin «d’éviter de protéger ceux qui ne devraient pas l'être», a indiqué le dirigeant.
Tous les opérateurs concernés
Même si certains ont mis en place des protections plus robustes, les différentes failles, déjà signalées par l'Agence européenne pour la cybersécurité et le groupement mondial des opérateurs (GSMA), concernent tous les opérateurs, y compris en 5G.
En effet les piratages de smartphones sont devenus de plus en plus sophistiqués, avec des logiciels qui s'installent discrètement sur un téléphone et espionnent son contenu. L'un des plus connus, Pegasus, a récemment ciblé des dirigeants mondiaux, dont Emmanuel Macron.
En 2022, la start-up Dust Mobile a levé 12 millions d'euros auprès du Fonds Innovation Défense opéré par BPIFrance et de deux autres fonds français (Tikehau et Omnes). Elle compte plus d'une centaine de clients.