Je viens de découvrir une fonctionnalité pour le moins surprenante que les Banques (ou du moins certaines) peuvent utiliser : a suppression d’SMS à distance.
Sur le principe la fonctionnalité est intéressante car elle donne une “durée de vie” à un sms cependant, je ne comprends pas le principe ni les limites de cette fonctionnalité.
Hier j’ai reçu mon code de CB par SMS avec dans le message le texte suivant : “Ce SMS sera supprimé dans 24h” , j’ai souri et laissé coulé.
Aujourd’hui j’ai reçu un second SMS : “Par mesure de sécurité, le message contenant votre code confidentiel doit etre effacé, vérifiez cette suppression” et effectivement, le SMS avec le code a disparu !!!
Avez vous des informations à ce sujet car je ne connait pas le protocole SMS/GSM/…/… par coeur mais n’en ai jamais entendu parlé… Est-ce le SMS lui même qui contient un TTL ? Est-ce un second SMS qui supprime le premier ? Est l’opérateur qui a la main sur les SMS stocké en local sur mon téléphone ? Mystère et boule de gomme…
Bonjour.
Le nom de ta banque stp ?
C’est “surprenant” effectivement, mais c’est surtout une faille ENORME de sécurité si c’est vrai donc je reste dubitatif…
As-tu une application de ta banque installer sur ton téléphone?
Mon précédent message manque d’information si l’“on” veut faire avancer le sujet…
La banque est le L-C-L et mon opérateur est Orange. La procédure pour tester mes dires sont :
Ouvrir un compte et faire une demande de carte bleu
Dire qu’on a pas reçu le courrier avec le code de CB ou directement demander un envoie par SMS
La banque édite un document avec un CODE (8 ou 10 caractères)
12 à 24h après, tu reçois un SMS qui te demande le code
tu envoies le code
tu reçois ton code de CB et l’indication (Autodestruction dans 24h)
24h après un dernier SMS qui te demande de vérifier que le SMS a bien été supprimé.
Petit détail au sujet de cette banque, il font du démarchage téléphonique pour connaitre la satisfaction client et avant de répondre à leur question je leur ai demandé combien de temps ils stockent les conversation et qui peut les écouter. Réponse de “phoner” : " Les conversations sont stocké pendant toute la durée où vous possédez un compte chez nous et votre conseiller clientèle peut l’écouter"…
Cette banque reste mieux que la banque postale qui arrive à perdre des courriers recommandé (véridique) mais côté Informatique et libertés ils semblent limite…
C’est bien ce qu’il me semblait, j’ai eu ce type de SMS ces derniers jours, même Banque LCL et pas d’appli propriétaire installée.
Ils envoient ton mdp de carte bleue via sms et celui-ci s’efface au bout de 24h suivant l’envoie d’un code de délivrance.
C’est particulièrement louche en terme de sécurité de mon téléphone (iphone 4S)…
Y aurait-il un spécialiste en sécurité pour nous éclairer ?
En lisant cet article détaillant le fonctionnement des SMS en profondeur, je suis tombé sur cette partie (sans plus de précision malheureusement)
There’s also a little flag in the DCS byte that tells the phone whether to self-destruct the message after sending it, Mission Impossible style, so that’s neat.
En fouillant un peu dans certaines spécifications (3GPP TS 23.038 V5.1.0 (2004-09)), on tombe sur cette colonne en p.7
SMS Data Coding Scheme
Coding Group Bits 7…4: 01xx
Use of bits 3…0: Message Marked for Automatic Deletion Group
This group can be used by the SM originator to mark the message (stored in the ME or (U)SIM) for deletion after reading irrespective of the message class.
The way the ME will process this deletion should be manufacturer specific but shall be done without the intervention of the End User or the tar geted application.The mobile manufacturer may optionally provide a means for the user to prevent this automatic deletion.
Ainsi que dans le même tableau
Coding Group Bits 7…4: 1100
Use of bits 3…0: Message Waiting Indication Group: Discard Message
The specification for this group is exactly the same as for Group 1101, except that:
after presenting an indication and storing the status, the ME may discard the contents of the message.
The ME shall be able to receive, process and acknowledge messages in this group, irrespective of memory availability for other types of short message.
Dans les sources d’Android, il est aussi question de ce premier champ, mais je n’ai pas trouvé où il est ensuite utilisé lors de la suppression effective du message.
.