Plusieurs logiciels pour la gestion et l’interconnexion des réseaux mobiles du monde entier GSM et LTE (4G) sont vulnérables à une faille permettant une exécution de code à distance où un attaquant peut donc prendre le contrôle d’un équipement réseau. Le CERT-US a déjà lancé un avertissement sur cette vulnérabilité.
Classée sous le nom CVE-2016-5080, cette faille a été découverte lors d’un audit de sécurité d’Objective Systems, un éditeur américain qui commercialise asn1C, un compilateur de code servant à créer les applications de gestion et d’interconnexion des réseaux mobiles. Asn.1 (Abstract Syntax Notation One) est une norme internationale qui décrit les structures de données et les protocoles de transfert utilisés dans le domaine des télécommunications. Asn1c est une application qui récupère les instructions, les opérations et les structures des données pour le convertir en C, C++, C# ou en Java. Cette transformation peut ensuite être intégrée dans des applications fonctionnant sur des réseaux mobiles GSM ou LTE.
Objective Systems précise que la vulnérabilité se trouve dans la compilation du code ASN.1 vers C et C++. La faille consiste en un débordement de la mémoire tampon ouvrant la porte aux attaquants pour exécuter du code sur les systèmes compromis, à distance et sans avoir besoin d’authentification sur le périphérique. L’éditeur a corrigé son logiciel et continue à vérifier la compilation vers C# et Java.
La question est de savoir qui est touché par cette faille. Le Cert américain a lancé son avertissement auprès de 34 opérateurs mobiles et équipementiers. Peu ont répondu à cet appel, Qualcomm a indiqué dans qu’il intégrait ce code dans ses produits cellulaires, mais que la faille n’est pas exploitable. Malgré cet optimisme, la société américaine a diffusé le patch d’Objective Systems sur ses solutions. D’autres entreprises comme HPE ou Honeywell ont précisé qu’elles n’étaient pas concernées. Objective Systems revendique une base client comprenant plusieurs grands noms des réseaux mobiles comme Alcatel-Lucent, AT&T, BT, Cisco, Deutsche Telekom, etc. Le problème est qu’à la différence d’un terminal mobile, il est plus difficile de patcher les équipements télécoms.
A lire aussi :
L’Arcep tance Bouygues Telecom et SFR sur le retard de couverture 4G
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…