• Des chercheurs découvrent que le système d'expéditeur vérifié RCS est vulnérable à l'usurpation, exposant les utilisateurs à des risques de phishing.
  • Les mauvaises utilisations du protocole affectent les grands opérateurs télécoms et les utilisateurs Android du monde entier, soulevant des préoccupations urgentes concernant la sécurité mobile.

Ce qui s'est passé: la vérification d'expéditeur RCS peut être usurpée

Des chercheurs en cybersécurité d'Evina et Mindflow ont découvert une faille majeure dans le protocole Rich Communication Services (RCS). Le problème réside dans la façon dont les opérateurs télécoms vérifient les expéditeurs RCS « de confiance ». Au lieu d'utiliser une authentification mutuelle stricte, de nombreux opérateurs s'appuient sur des contrôles locaux que les criminels peuvent contourner.

Les attaquants enregistrent un numéro auprès d'un serveur RCS étranger et envoient des messages qui imitent des marques de confiance. Ces messages peuvent inclure des logos et des noms officiels, ce qui les rend authentiques. Les victimes les reçoivent via l'application Messages de Google, qui prend en charge RCS par défaut. Selon TelecomTalk, la faille affecte les utilisateurs du monde entier, y compris ceux desservis par des réseaux utilisant la plateforme Jibe de Google.

Lire aussi: RCS adopte MLS pour une sécurité renforcée
Lire aussi: Sinch élargit son partenariat RCS avec Verizon

Pourquoi c'est important

Cette faille de sécurité met en évidence une défaillance systémique dans la vérification des expéditeurs RCS. Le smishing, ou phishing par SMS, est une menace croissante. Le passage du SMS au RCS visait à renforcer la sécurité de la messagerie mobile, mais cette découverte montre que le système peut être tout aussi, voire plus, vulnérable s'il est mal implémenté.

Contrairement aux SMS, où les utilisateurs peuvent voir les numéros de téléphone, les messages vérifiés RCS affichent souvent des noms de marque et des logos, créant un faux sentiment de sécurité. En l'absence d'application claire du protocole ou de vérification inter-opérateurs, les attaquants peuvent exploiter les incohérences pour élaborer des escroqueries d'apparence réaliste. Comme l'a souligné David Lotfi, PDG d'Evina, « Ce n'est pas un défaut dans une application, c'est un problème de conception du protocole. »

Les enjeux sont importants. RCS est désormais intégré dans l'application de messagerie par défaut de milliards de téléphones Android. Si rien n'est fait, cette vulnérabilité pourrait être utilisée dans des campagnes de phishing à grande échelle similaires aux attaques passées exploitant les failles de signalisation SS7.

Atténuer le risque nécessiterait une application stricte de l'authentification, des normes inter-opérateurs et une plus grande transparence des entreprises de télécommunications. Google, les opérateurs et les fabricants d'appareils doivent se coordonner pour corriger le protocole et restaurer la confiance dans RCS en tant qu'alternative sécurisée aux SMS.