La légende moderne du vol immédiat des clés de cryptage. Cela suppose que quelqu'un puisse cloner votre carte SIM sans aucune manipulation physique, même s'il ne s'agit que d'un clone temporaire. Cependant, la clé Ki est stockée localement dans la carte SIM et dans la base de données du fournisseur. Alors comment les criminels parviennent-ils à obtenir la clé Ki requise ?
La cryptanalyse : l'attaque brute
En théorie, un attaquant peut émuler une station de base qui envoie un signal fort sur les réseaux GSM et imite les requêtes légitimes au SRES en envoyant des requêtes RAND aléatoires. Cette méthode permet à l'attaquant de déterminer le Ki à distance à l'aide de la cryptanalyse - comme s'il avait un accès direct à la carte SIM.
Cette méthode est cependant très compliquée car la cryptanalyse prend beaucoup de temps et nécessite de nombreuses demandes qui échouent. En effet, tendant que l'agresseur est occupé à bombarder la victime avec des RAND, il peut arriver que le propriétaire de l'appareil mobile quitte la portée radio de la mauvaise station de base, de sorte que le criminel devrait suivre la victime avec son équipement sous peine de perdre la connexion avec le transmetteur. Le succès de l’attaque dépend principalement du mouvement de la victime, et si l'on parle maintenant d'attaques bien organisées et ciblées, il est probable que le matériel et accessoires seront installés près du domicile de celle-ci, voire à quelques mètres afin de maximiser les performances. Le succès d'une attaque dépend alors de l'algorithme de cryptage : par exemple, si le fournisseur utilise le COMP128v2, l'intrusion au sein des réseaux GSM et l’attaque du pirate peuvent facilement échouer.
En fait, les attaques par interface radio sont principalement conçues pour permettre à l'attaquant d'écouter les conversations de l'abonné. Comme nous le savons déjà, les communications radio et Internet sont cryptées pour une raison principale et logique (sauf dans des cas particuliers, comme les forces de l'ordre, pour lesquels le cryptage est supprimé) : empêcher que des conversations privées soient écoutées et enregistrées. Un algorithme A5 avec une clé de 64 bits est utilisé pour le cryptage et il existe deux versions de l'algorithme A5 : la version A5/1, plus robuste, et la version A5/2, moins robuste, qui est vendue sans aucune restriction à tous les pays.
Strictement parlant, même la version A5/1 n'est pas une clé de 64 bits, mais plutôt une clé de 54 bits : les 10 premiers bits sont des "bits bas", ce qui devrait la rendre facile à utiliser. La version A5/2 a été développée pour faciliter le travail des services secrets à l'étranger.
Piratage facile et accéléré : le revers de la technologie
Auparavant, le piratage de la version A5/1 consistait à craquer les données stockées localement par la force brute et prenait tellement de temps que les informations en question perdaient leur pertinence avant que l'attaque du pirate ne soit terminée. Cependant, les PC d'aujourd'hui (même pas les actuels, puisque la preuve de concept correspondante a été présentée en 2010) sont capables de craquer les systèmes en quelques secondes et de créer des clés de données à l'aide de ce qu'on appelle les "tables arc-en-ciel". L'ensemble des tables de 1,7 To peut être alors rapidement stocké sur des disques durs de grande capacité, relativement peu coûteux et disponibles partout.
Une telle attaque aérienne est généralement passive et ne transfère aucun fichier, ce qui rend les attaquants tout simplement introuvables. Pour casser ces clés, il suffit d'utiliser le logiciel Kraken qui comprend les tables arc-en-ciel et un téléphone portable Nokia "accordé" avec fonction flash. Équipé de ces outils, l'attaquant est donc capable de compromettre la sécurité sur les réseaux GSM car il est en mesure d'écouter les conversations et d'intercepter, de bloquer ou même de modifier de courts messages des victimes (c'est pourquoi vous ne devez pas considérer l'authentification à deux facteurs pour vos opérations bancaires en ligne comme une "forteresse numérique").
Équipé de cette clé, un attaquant peut également faire des conversations et prétendre être la victime. Une autre possibilité est le clonage dynamique. L'agresseur peut envoyer une demande au réseau de téléphonie mobile par un appel téléphonique sortant pendant que la victime passe également un appel. Une fois que le réseau confirme la demande d'autorisation, l'attaquant peut l'intercepter et la transmettre à la victime pour obtenir la clé Kc. Une fois que cela est fait, et que l'appel de la victime est terminé, l'agresseur peut lancer son propre appel sur ce réseau, en se faisant passer pour la victime.
Cela permet, entre autres, de passer des appels aux frais de la victime, d'envoyer des SMS à des numéros surtaxés et de détourner de l'argent en utilisant les programmes d'affiliation des fournisseurs d'informations. Cette méthode a été notamment utilisée à Moscou : Lorsqu'un petit groupe de personnes dans une fourgonnette se déplaçait dans des endroits très fréquentés pour cloner des cartes SIM à grande échelle et ainsi faire payer de petites sommes d'argent aux téléphones portables des victimes.
Les criminels ont réussi à rester longtemps inaperçus malgré leurs nombreuses intrusions dans le système GSM: les opérations frauduleuses n'ont été remarquées que lorsque les utilisateurs légitimes ont commencé à utiliser leurs appareils. La seule chose qui a permis d'identifier le stratagème frauduleux a été de faire un nombre remarquablement élevé de demandes similaires à un fournisseur de contenu premium particulier dans la fourchette d'une station de base spécifique. La détection de ce type de piratage reste cependant, complexe car il suffit que les attaquants cessent de pirater les réseaux GSM temporairement tout en changeant de matériel pour redevenir incognito. Il faut également rajouter que due à la structure du réseau GSM, les détecteurs peuvent facilement intercepter les mauvais signaux car la même fréquence peut être exploitée par un nombre important d’appareil téléphonique.
Une menace qui s’évanouit ?
Afin de crypter le transfert de données (GPRS/EDGE), une clé Kc différente est nécessaire. Bien que différente de la clé Kc utilisée pour transmettre les messages vocaux, elle est créée à l'aide du même algorithme - GPRS-A5, également connu sous le nom de GEA (algorithme de cryptage GPRS), qui existe dans les variantes GEA1, GEA2 et GEA3. Cela signifie que vous pouvez même intercepter le trafic Internet mobile. Aujourd'hui, ce problème n'est pas si grave, car à l’âge du smartphone, internet et des autres produits technologiques modernes, la transmission de données sur Internet se fait normalement via les réseaux 3G et LTE. D'autre part, pour de nombreux systèmes télématiques tels que les distributeurs automatiques de billets, les systèmes de paiement aux points de vente et autres, la transmission de données 2G est encore utilisée en tant que méthode de communication. Il y a une par ailleurs une façon d'éviter ces attaques sur le réseau téléphonique: en utilisant l'algorithme A5/3, plus solide et plus moderne, qui ne peut pas être craqué avec les tables arc-en-ciel. Cependant, les fournisseurs sont plutôt réticents à utiliser cette nouvelle technologie, tout d'abord :
- Parce qu'il s'agit d'un facteur de coût et qu'il n'apporte pas de profit supplémentaire.
- Deuxièmement, la majorité des appareils mobiles ne prennent pas en charge l'algorithme A5/3, ou seulement de manière insuffisante, ce qui peut entraîner des problèmes d’incompatibilités, connexion et erreurs système.
- Troisièmement, l'algorithme A5/3 n'empêchera pas les contreparties d'écouter les utilisateurs : Si les attaquants utilisent une station de base compromise, elle pourra abaisser l'algorithme de cryptage utilisé par le téléphone. Cela aide éventuellement les pirates à obtenir la clé (notez que la clé est la même pour tous les algorithmes). Si la menace persiste, pourquoi investir plus d'argent et d'efforts dans la mise en œuvre de meilleurs algorithmes de cryptage ?
- Quatrièmement, car son prix d’achat, installation et application demeure très onéreux. La bonne chose est que toutes les attaques identifiées jusqu'à présent seront bientôt obsolètes. L'ère des cartes SIM virtuelles et des eSIM a déjà commencé, et ces nouvelles solutions seront en mesure de combler au moins certaines des failles de sécurité des cartes SIM actuelles.