Les premiers vers attaquant les téléphones mobiles
Date : 20 Juin 2005
Le mois de juin 2004 a été marqué par l'apparition du premier prototype ("Proof-Of-Concept") de ver infectant les téléphones mobiles. Bien que ce ver, prénommé "Cabir", reste inoffensif, il permet de démontrer que les téléphones mobiles, au travers de leur couche logicielle de plus en plus perfectionnée ("smart phones" - téléphones combinés avec un assistant personnel), ne sont plus à l'abri de ce genre de menace.
Il n'a cependant pas été constaté une propagation intense de ce ver dans les milieux publics.
Ce ver s'appuie en fait sur les fonctionnalités du système logiciel "Symbian", utilisé par les téléphones portables Nokia, Sony, Siemens, … (http://www.symbian.com/phones/index.html ) et sur les communications de type "Bluetooth".
Cependant, selon certains éditeurs d'anti-virus, seuls les portables utilisant la technologie des Nokia Series 60 seraient impactés par ce problème.
Il est à noter que la sûreté de certaines implémentations du protocole "Bluetooth" avait déjà été remise en question lors d'un article du Bulletin Sécurité n°79 du mois d'avril 2004.
Infection :
Le ver "Cabir" se réplique à travers les connexions "Bluetooth" (connexion d'une dizaine de mètres) des téléphones mobiles et arrive dans la boîte à lettre (messagerie) de la victime sous la forme d'un fichier "caribe.sis". Le fichier est présenté comme un utilitaire nommé "Caribe .Security Manager".
Lorsque la victime clique sur ce fichier SIS (fichier d'installation spécifique au système "Symbian"), plusieurs messages d'avertissement sont affichés ("Installer Caribe ?", …) et finalement, un message contenant le nom du groupe qui a créé le ver "Caribe-VZ/29a" est affiché. A ce stade, le ver est actif sur le téléphone portable.
Pour se propager à nouveau, le ver "Caribe" recherche tous les téléphones portables munis d'une liaison "Bluetooth" et "visibles" dans le périmètre du portable infecté. Lorsqu'un tel équipement est détecté, le ver lui envoie le fichier "caribe.sis".
Le ver s'active ensuite à chaque démarrage du portable.
Désinfection :
L'étape de désinfection reste un peu délicate car elle nécessite l'utilisation d'un logiciel particulier (disponible sur des sites dédiés aux "sharewares" sur Internet) permettant d'accéder au système de fichiers du système "Symbian" du portable. Cet outil permettra de supprimer les fichiers relatifs au ver.
Conclusion :
On peut noter que ce type de ver démontre la volonté du milieu des auteurs de vers/virus à rechercher de nouveaux moyens de propagation.
Cependant cette nouvelle méthode d'infection reste à ce jour relativement marginale car :
- elle cible un type particulier de téléphones portables (téléphones exécutant le système "Symbian"),
- les communications "Bluetooth" ne sont généralement pas activées par défaut sur ces téléphones,
- la portée de l'infection reste réduite à la portée des communications "Bluetooth",
- l'infection n'est pas furtive pour l'utilisateur (demandes de confirmations multiples).
Pour plus d'information :
- F-Secure : http://www.f-secure.com/v-descs/cabir.shtml
- NAI : http://vil.nai.com/vil/content/v_126245.htm
- Symantec : http://www.symantec.com/avcenter/venc/data/epoc.cabir.html
- TrendMicro : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=EPOC_CABIR.A
- Article Bulletin Cert-IST sur la vulnérabilité des téléphones mobiles "Bluetooth" :
https://wws.cert-ist.com/francais/bulletins/bulletin_79.htm