Surveillance totale : piratage des réseaux mobiles sur les ondes

24 Mar 2016

Lors d’un de nos précédents articles de notre saga sur les téléphones mobiles, nous avions mentionné dans la foulée une légende urbaine sur les clés de cryptage en révélant que quiconque était capable de cloner votre carte SIM sans avoir recours à aucune manipulation manuelle, même s’il s’agissait d’un clonage temporaire. Cependant, la clé ki (Key Identification, identification de clé) est enregistrée localement sur une carte SIM et dans la base de données de l’opérateur mobile, ce qui veut dire qu’elle n’est pas censée changer de place. Quelle est l’astuce alors ?

gsm-eavesdropping-featured

 

En théorie, un adversaire peut établir une fausse station de base émettant des signaux puissants en imitant de vraies demandes de SRES et en envoyant des demandes aléatoires RAND (si vous n’êtes pas sûr d’avoir bien tout compris, il est temps pour vous de jeter un coup d’œil à la première partie de l’article). En utilisant cette méthode, un hacker est capable de déterminer la clé ki avec l’aide de l’analyse de cryptage, tout comme il le ferait s’il avait un accès direct à la carte SIM.

Cette méthode est toutefois plutôt complexe : l’analyse du cryptage prend pas mal de temps et requière beaucoup de fausses demandes. Tandis que l’hacker serait occupé à bombarder ses victimes de RAND, le propriétaire du téléphone piraté pourrait laisser la fausse station de base radio et l’adversaire aurait besoin de suivre la victime avec l’équipement nécessaire. Et bien si on parle d’une attaque ciblée bien organisée, l’équipement doit être déployé dans un lieu proche du domicile de la victime. Le succès de l’attaque dépend de l’algorithme de chiffrement : si l’opérateur utilise COMP128v2, le piratage ne pourra avoir lieu.

En fait, les attaques sur les ondes ont été conçues dans un premier temps pour permettre à un adversaire de mettre sur écoute les conversations des souscripteurs. Comme nous le savons déjà, la communication hertzienne est cryptée (sauf dans des cas spéciaux, où le cryptage est désactivé lors des opérations des autorités policières), principalement la raison suivante : limiter les écoutes des conversations privées. Le cryptage utilise l’algorithme A5 avec une clé de 64 bits. L’A5 est doté de deux versions : la plus durable l’A5/1 et la moins résistante l’A5/2, qui sont manipulées sans aucune restriction face à tous « les hackers potentiels » du monde entier.

Qu’on soit bien clair, même si une clé A5/1 n’est pas de 64 bits mais de 54 bits : les dix premiers bits sont des « bits réduits », mis en en place par souci de simplicité. L’A5/2 a été conçu pour faciliter le travail des services secrets travaillant à l’étranger.

Auparavant, la manière de pirater l’A5/1 était fondée sur des données stockées de force localement et requérait un certain temps, ces données en question avaient perdu de leur importance avant que le piratage ait lieu. Aujourd’hui cependant, les ordinateurs (quand on dit « aujourd’hui », on se réfère en réalité aux ordinateurs fabriqués à partir de 2010) sont capables de pirater et calculer la clé en quelques secondes à l’aide des « rainbow tables » (structure de données créée pour retrouver un mot de passe à partir de son ). Les éléments du TB 1.7 peuvent être stockés sur des disques durs à grande capacité, relativement bon marché et accessibles partout.

Un adversaire agit passivement et ne diffuse rien sur les ondes, ce qui le rend quasiment introuvable. L’outil complet pour pirater la clé contient seulement le logiciel Kraken avec les « rainbow tables » et un téléphone relativement simple, de la catégorie d’ « un Nokia avec une lampe de poche ». Muni de ces atouts, un hacker est capable d’espionner les conversations et de les intercepter, de bloquer ou falsifier les messages SMS (ne vous fiez donc pas uniquement à l’authentification à deux facteurs pour la protection de votre banque en ligne, croyant que celle-ci serait une « forteresse digitale »).

Armé de la clé, un hacker peut également détourner des appels et se faire passer pour une victime. Une autre capacité fatale : le clonage dynamique. Le coupable passe une demande d’appel sortant vers le réseau mobile tandis que la victime est en pleine conversation. Une fois que le réseau renvoie la demande d’autorisation, l’hacker la détourne et la transfère à la victime, en obtenant ainsi la clé Kc. Une fois la conversation de la victime terminée, un adversaire démarre sa propre conversation sur le réseau, en se faisant passer pour cette dernière.

Cela permet aux hackers de passer des appels aux dépens de la victime ou bien d’envoyer des messages à des numéros surtaxés et détourner de l’argent à travers des programmes associés de fournisseurs de contenus. Cette méthode a été utilisée une fois à Moscou : un groupe d’individus tournait en camionnette autour d’endroits fréquentés afin de cloner massivement des cartes SIM et prélever ainsi de petites sommes d’argent sur les téléphones des victimes.

Les hackers ont réussi à passer inaperçus pendant un certain temps : les opérations des escrocs étaient semblables en tout point à celles des véritables usagers. La seule chose qui a permis de lever le voile sur la fraude était le grand nombre de demandes similaires envers un certain opérateur de contenus surtaxés sur une station de base en particulier.

Afin de crypter le trafic des données (GPRS/EDGE), une autre clé Kc est utilisée. Différente de la clé Kc utilisée pour le trafic téléphonique, elle est calculée en se servant du même algorithme, GPRS-A5, aka GEA (GPRS Algorithme de chiffrement), qui existe sous les formes du GEA1, GEA2 et GEA3. Quiconque peut ainsi intercepter le trafic Internet, même mobile. De nos jours, le trafic Internet est généralement transmis via la 3G et le réseau LTE, donc il ne s’agit plus vraiment d’un problème très grave. D’autre part, la transmission des données 2G est toujours utilisée par de nombreux systèmes télématiques tels que les distributeurs automatiques et les terminaux de point de vente entre autres.

Une des façons de se protéger de telles attaques est d’utiliser l’algorithme le plus résistant et actuel, le A5/3, qui à l’aide des « rainbow tables » ne peut pas être piraté. Les opérateurs se montrent pourtant assez réticents face au déploiement de ces nouvelles technologies : premièrement il s’agit d’un processus coûteux qui n’apporte pas de bénéfice supplémentaire (ce qui signifie qu’un investissement est fait sur quelque chose de pas vraiment rentable, un inconvénient pour les opérateurs). Deuxièmement, la majorité des téléphones actuels ne sont pas compatibles avec l’A5/3 ou du moins pas convenablement, ce qui pourrait provoquer des interruptions.

Troisièmement, l’A5/3 n’empêchera pas les adversaires d’espionner les abonnés : si les hackers utilisent une fausse station de base, cette dernière est habilitée pour rétrograder l’algorithme de chiffrement utilisé par le téléphone, en aidant finalement les hackers dans leur quête pour obtenir la clé (et la clé est la même pour tous les algorithmes, bien entendu !). Si la menace persiste, quel est l’intérêt de dépenser plus d’argent et de fournir plus d’efforts afin d’obtenir un meilleur algorithme de chiffrement ? Quatrièmement, cela a un coût. Cinquièmement, c’est excessivement cher.

Toutefois, toutes les attaques que nous traitons aujourd’hui sont susceptibles d’être désuètes un jour ou l’autre, l’époque des cartes SIM virtuelles et des eSIMs ayant déjà commencé. On peut donc espérer que ces nouvelles approches de cartes SIM régleront au moins certaines failles de sécurité qui existent déjà chez les SIM actuelles.