Diverses canulars (hoax en anglais***) ont circulé au sujet d'attaques de téléphones portables par des virus mais tous sont restés à l’état de mauvaise plaisanterie... jusqu’à cette fin de mois de juillet 2009.

Deux experts en sécurité informatique, Charlie Miller et Collin Mulliner, ont en effet présenté le 30 juillet, devant 4000 spécialistes en sécurité, une méthode de prise de contrôle à distance d’un téléphone mobile au moyen de simples SMS.

Leur méthode est tellement facile à mettre en œuvre qu’ils l’ont même publiée (voir le lien ci-dessous). Son efficacité a été démontrée sur l’iPhone (2.1 et 2.2) et attestée aussi sur les téléphones dotés du système d'exploitation Androïd de Google.

Son principe repose sur la possibilité qu’ont les SMS de véhiculer des fragments de code que le système d'exploitation du téléphone regroupe et exécute sans intervention de l’utilisateur.

Il suffit alors d’envoyer une suite de SMS, dont le premier contient un texte banal, lequel sera affiché normalement, et les autres du code exécutable qui lui n'apparaîtra pas. Ce code sera alors assemblé et exécuté dès la fin de la réception des SMS afin de mener à bien (façon de parler) la prise de contrôle du téléphone.

Dans leur démonstration, les auteurs se sont contentés d'un blocage du téléphone en lui interdisant tout appel, mais n’importe quelle autre opération est envisageable comme, par exemple, lire le carnet d’adresses ou des fichiers contenus en mémoire.


La seule parade connue consistait à éteindre totalement le téléphone, pour effacer le code dont la présence dans la mémoire vive de l’appareil est éphémère.

Que les possesseurs d’iPhone se rassurent : suite à cette démonstration du 30 juillet, Apple a publié un correctif destiné à tous ses appareils des versions 1.0 à 3.0 incluses. Google a ou devrait faire de même très vite pour Androïd.
Mais la démonstration est faite, une fois de plus, que nos fournisseurs sont loin d'être dignes de la confiance aveugle que nous accordons à leurs produits.

*** Ce mot ne se prononce évidemment pas comme il s'écrit : dire non pas « hoax » mais « haox », avec un a et un o très ouverts