Est-il difficile de pirater un réseau mobile ?

L’année dernière, une nouvelle méthode d’attaque des réseaux de téléphonie mobile a été découverte. Il ne nécessite ni scanner sans fil coûteux ni PC puissant et est accessible à tous. En dehors de cela, les fournisseurs de réseaux n’ont aucun moyen pratique de se défendre contre ce type d’attaque. L’attaque est basée sur l’attaque du SS7, un système de signal utilisé par les opérateurs de réseaux et développé dès les années 1970, autrement dit, à l’époque des premiers circuits téléphoniques électroniques. Il est intéressant de noter que le SS7 n’offre même pas une protection de base. Le trafic n’est pas crypté et les dispositifs ne peuvent pas faire la distinction entre les commandes légitimes et les fausses commandes. Le système traite chaque commande quelle que soit sa source.

Téléphonie mobile : une protection de base

Les développeurs du protocole il y a 40 ans ont séparé le niveau du signal du niveau de la voix et aucun employé du circuit téléphonique ne pouvait accéder à ce canal. Et même si quelqu’un essayait, cela n’aurait aucun sens , aucune commande n’est transmise sur le réseau, sauf celles qui permettent de connecter un utilisateur. Il n’y avait donc pas lieu de s’inquiéter de la transmission de mauvais paquets de données. Mais cela a changé lorsque la transmission de commandes SS7 par IP a été introduite en 2000. Cela a ouvert le niveau SS7 pour l’accès externe. La bonne nouvelle est qu’il n’est pas possible de se connecter à un réseau d’opérateur depuis n’importe quel ordinateur via Internet. Cela nécessiterait un dispositif spécial, un hub SS7. La mauvaise nouvelle, cependant, est la faiblesse des réglementations pour l’achat d’un tel dispositif de réseau. Certains pays délivrent simplement des licences de transporteur qui permettent à quiconque de mettre en place légitimement un hub et de le connecter à un nœud de transport. Cela explique pourquoi le marché noir est rempli de commerçants illégaux offrant une « connexion en tant que service » à de tels hubs.

Peu importe où l’hub est situé. Il peut être utilisé pour envoyer et recevoir des commandes dans le monde entier vers n’importe quel réseau. Il y a une raison à cela, le blocage des commandes à certains nœuds de réseau entraînerait l’interruption des services d’itinérance et couperait les connexions internationales. Il est donc très difficile de repousser de telles attaques. Un attaquant aurait d’abord besoin de l’IMSI (International Mobile Subscriber Identity) de sa victime, le numéro d’identification unique d’une carte SIM dans un réseau mobile. L’attaque est alors effectuée par SMS (Il est intéressant de noter que le SMS était une fonction non documentée du protocole GSM : les messages sont transmis par le canal du signal). Quand quelqu’un demande d’envoyer un SMS à un numéro de téléphone spécifique, le réseau mobile plus précisément le Home Location Register (HLR), la principale base de données des informations sur les clients d’un réseau mobile répond avec l’IMSI et la référence au Mobile Switching Center (MSC) actuel et au Visitor Location Register (VLR), une base de données contenant des informations temporaires et spécifiques à l’emplacement du téléphone mobile dont le MSC a besoin pour servir les clients mobiles.

La réponse est la suivante : « Bonjour, voici l’IMSI et l’adresse du segment de réseau où se trouve actuellement le destinataire. Envoyez maintenant le message pour l’IMSI ci-dessus au SMC/VLR ». Dans ce cas, l’adresse de la base de données HLR devient également évidente. En utilisant ces adresses et ID, un attaquant peut envoyer diverses commandes au HLR. Un imposteur pourrait, par exemple, demander l’ID d’une station de base de téléphone mobile qui dessert actuellement la victime. Grâce à cette identification unique et à l’une des nombreuses bases de données de téléphones portables sur Internet, il peut trouver l’endroit exact où se trouve la victime à quelques dizaines de mètres près. Certains programmes simples peuvent automatiser complètement ce processus. Il suffit d’entrer le numéro de téléphone portable et vous obtenez un point sur la carte.

Un attaquant pourrait également faire en sorte que le HLR se connecte à un autre VLR et entre une valeur erronée, bloquant ainsi tous les appels et messages entrants. Et il existe une autre option entrée l’adresse MSC/VLR souhaitée, qui est émulée sur l’ordinateur du fraudeur à l’aide du logiciel « SS7 for Linux » qui est publiquement disponible pour le téléchargement. Cela ouvre d’autres possibilités pour intercepter secrètement les appels et les messages. Si un attaquant a ainsi détourné un SMS vers son propre ordinateur, il ne renvoie pas de confirmation d’arrivée à l’appareil de l’expéditeur, mais remet le VLR à sa valeur initiale. Le serveur de l’expéditeur se reconnecte alors à celui-ci et envoie le SMS au destinataire réel. Ce soi-disant détournement de SMS est un bon moyen pour les cybercriminels d’intercepter des codes à usage unique pour une authentification à deux facteurs dans les systèmes bancaires en ligne.

Pour les appels, c’est encore plus facile avec l’accès au VLR, un attaquant peut mettre en place une redirection inconditionnelle vers un autre numéro de téléphone, de sorte que la personne réellement appelée n’en sache jamais rien. La même méthode permet également d’écouter les appels sortants, mais nécessite un peu plus d’efforts, le renvoi peut être configuré pour le téléphone appelé par la victime. Le numéro est enregistré lorsqu’un appel sortant est lancé avec le numéro de téléphone souhaité et transmis à un système de paiement afin que les frais correspondants puissent être facturés. Si l’attaquant échange maintenant l’adresse du système de paiement légitime avec une autre adresse, il peut reconnaître le numéro de téléphone appelé. Après l’échec de la première tentative, la victime peut alors passer l’appel lors de la deuxième tentative et n’en pense probablement rien (BTW : si vous ne pouvez régulièrement passer un appel avec succès qu’à la deuxième tentative, c’est un signe évident que quelqu’un vous écoute).

Au fait, les cas actuels où des appels secrets de politiciens ont été rendus publics n’avaient rien à voir avec des dispositifs de surveillance dans leurs maisons et appareils, ou avec des agents secrets. Les effets que cette méthode peut avoir sur vous, citoyens normaux, se limitent à de petits vols d’argent provenant de contrats de téléphonie mobile. Cela peut être réalisé en redirigeant les appels vers des numéros surtaxés, en générant du trafic et en envoyant de fausses commandes USSD qui permettent le transfert de petites sommes d’argent. Il n’existe pas de solution à cent pour cent à ce problème. Elle a toujours été là depuis l’introduction du protocole. Seul un changement fondamental dans la façon dont les communications mobiles fonctionnent pourrait apporter une solution. Mais il existe une autre possibilité, qui concerne l’introduction d’un système complexe de surveillance de l’activité des utilisateurs qui peut détecter une activité potentiellement nocive. Un certain nombre de sociétés informatiques proposent des systèmes automatisés à cette fin, qui rappellent essentiellement les plateformes anti-fraude utilisées par les banques.

Opérateurs de téléphonie mobile

Les opérateurs de réseau ne sont pas pressés d’introduire de tels systèmes, et les clients se demandent s’ils sont protégés ou non contre de telles attaques. Même si vous connaissez les mesures de sécurité de votre fournisseur de réseau principal, vous ne pouvez pas être sûr que vous serez également protégé lorsque vous êtes en itinérance. Vous devez donc vous en tenir à la règle simple qui consiste à empêcher que des secrets ne tombent entre les mains de criminels : ne parlez pas de choses confidentielles au téléphone. Imaginez que vous en parliez sur YouTube. Et pour recevoir des SMS sécurisés envoyés via une authentification à deux facteurs, il suffit d’utiliser une deuxième carte SIM avec un numéro que seuls vous et vos amis de confiance connaissez.

Publié le

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *