Smobile Systems s’est livré à un test portant sur la solidité des protections SSL mises en œuvre dans les « smartphones » utilisant une liaison WiFi. L’Apple iPhone, le Nokia N95, le HTC Tilt, l’Android G1 ont tour à tour été soumis à une série d’attaques, afin de vérifier si les informations transmises pouvaient être interceptées. Et ce notamment durant la phase la plus délicate de la session de connexion : l’envoie du couple login/mot de passe.
Et les résultats ne sont pas brillants.
Les outils employés sont classiques : Arpspoof, SSLstrip de Moxie Marlinspike et Wireshark. Les tests ont porté sur les principaux navigateurs et « clients » de messageries utilisés par ces téléphones. A une exception près –Xpress Mail- aucun terminal n’a résisté à l’attaque MITM. La probabilité d’une telle technique d’intrusion est d’autant plus élevée qu’il est aisé de trouver des « nids » de téléphones en train de tenter de se connecter à un serveur de messagerie du côté de La Défense ou autour des hot-spots du premier arrondissement, par exemple. Et rien ne permet de suspecter un hacker « noir » qui utiliserait un ordinateur portable à proximité desdites victimes.
