Les téléphones portables multifonctions ont déjà commencé à offrir divers moyens de paiement et d’identification, ce qui en fait des cibles de choix pour les pirates informatiques.

«Nous entrons dans le monde de l’exploitation post-ordinateurs», a noté le chercheur Stephen Ridley, de la société Xipiter, qui a découvert que le même genre d’attaques qui visent des ordinateurs fixes pouvait s’abattre sur des appareils portables. Le danger est d’autant plus grand que, selon lui, «les téléphones seront les seules choses où les gens voudront pénétrer»: les pirates ont toutes les raisons de s’intéresser à des appareils qui restent allumés en permanence et qui recèlent des masses de données, y compris la façon de les localiser.

En outre, d’ici à dix ans, l’utilisation de téléphones pour payer se sera vraisemblablement généralisée, selon une enquête du centre de recherche américain Pew publiée en avril.

«Qu’est-ce qu’on a dans un portefeuille actuellement? Des documents d’identité, des moyens de paiement, des documents personnels», note l’économiste de Google Hal Varian cité dans l’enquête du centre Pew: «Tout cela logera facilement dans un appareil portable, c’est inévitable.»

Démonstration à l’appui

Mais un spécialiste de la sécurité, Eddie Lee, de la société Blackwing Intelligence, a fait lors du rassemblement Def Con la démonstration d’un piratage à l’aide d’un téléphone fonctionnant sous Android, le système d’exploitation conçu par Google, en captant les données d’une carte de crédit pour ensuite l’utiliser pour faire des achats.

«On peut se mettre à dépenser avec la carte de crédit de quelqu’un d’autre, et l’utiliser comme «Google Wallet», une application de paiement lancée par Google l’an dernier sur certains téléphones, a déclaré Eddie Lee.

Selon lui, on peut de la même façon détourner d’autres cartes, comme des titres de transport ou des badges d’entrée dans un immeuble.

Voie d’entrée pour malfaiteurs

Charlie Miller, un ancien analyste de l’Agence nationale de sécurité, l’agence fédérale chargée de mener des écoutes, a pour sa part fait la démonstration d’un système permettant de pénétrer dans un téléphone avec un capteur se trouvant suffisamment proche pour intercepter les signaux d’une puce sans contact NFC.

Selon Charlie Miller, qui est aujourd’hui consultant à la société de sécurité Accuvant, il est même possible dans certains cas de prendre complètement le contrôle d’un téléphone doté d’une puce NFC, de voler des photos ou des carnets d’adresses qui y sont stockés, ou même de faire des appels téléphoniques.

Selon lui, il suffirait de cacher une antenne derrière un autocollant et de le rapprocher d’un téléphone pour le pirater. De cette façon, un autocollant anodin placé à proximité d’un terminal de paiement adapté aux téléphones pourrait faire la fortune de pirates.

«Un sale type peut exploiter cet instant où il y a communication avec le téléphone pour voler des données», dit-il. Conclusion: «C’est cool les puces NFC, c’est pratique, c’est amusant, mais je dis juste qu’il faut faire attention aux conséquences pour la sécurité.»