Après 25 années de SMS, de nouvelles normes entrent en vigueur pour promouvoir le RCS. Le SRLabs constate que ce nouveau protocole est en train d’être adopté par les opérateurs, mais qu’il représente un risque majeur et expose les utilisateurs à des fuites de données.

Le RCS expose les utilisateurs à des fuites de données

Si cela vous a échappé, le RCS, pour Rich Communication Services, est un nouveau protocole initié par les opérateurs téléphoniques pour contrer les messageries instantanées qui prennent aujourd’hui une place de plus en plus importante. Ce nouveau système offre la possibilité aux particuliers d’envoyer des documents (textes, photos, vidéos) sans limite de taille. Une facture ou un billet d’avion peuvent par exemple être envoyés en Haute Définition. Le chat et les discussions de groupe instantanées sont également disponibles.

Très bien, mais le problème est que cette nouvelle norme expose les utilisateurs à une fuite de données potentielle. Les chercheurs du SRLabs ont révélé dans une récente étude que toutes sortes d’attaques, comme l’interception de messages et d’appels, l’usurpation de numéros de téléphone et la fuite de données de localisation sont possibles avec le RCS. Karsten Nohl, membre du SRLabds et co-auteur de ce rapport, estime que : “je suis très surpris que de grandes entreprises, comme Vodafone, introduisent une technologie qui expose littéralement des centaines de millions de personnes, sans leur demander, et surtout sans leur dire”.

Une norme déjà largement adoptée par les opérateurs

Pour mieux comprendre, le RCS fonctionne comme une application sur votre smartphone, qui se connecte à un service avec un nom d’utilisateur et un mot de passe. Une centaine d’opérateurs téléphoniques aurait déjà adoptée cette nouvelle norme, notamment en Europe et aux États-Unis. Tous les principaux opérateurs comme AT&T, T-Mobile, Sprint et Verizon, utilisent déjà le RCS. À ce propos, Vodafone a déclaré que :

“Nous sommes au courant des recherches menées par le SRLabs. Nous prenons la sécurité très au sérieux et nous avons mis en place un certain nombre de mesures pour protéger nos utilisateurs de potentielles attaques liées au RCS. Nous examinerons les résultats de nos mesures de sécurité au cours des prochains mois et, si nécessaire, nous prendrons d’autres mesures de protection”. La majorité des opérateurs ne semble pas prendre au sérieux les recherches du SRLabs et c’est inquiétant.