Les réseaux mobiles peuvent être piratés facilement !

23 Nov 2015

L’année dernière, une nouvelle méthode d’attaque sur les réseaux mobiles a été découverte, qui ne nécessite ni scanneur radio coûteux, ni ordinateur très puissant pour être menée, et que presque tout le monde pourrait réaliser. En outre, les opérateurs n’ont pas de moyen pratique pour protéger leurs réseaux contre de telles attaques.

cellular-ss7-featured

Le piratage se fonde sur une attaque dans SS7, un système de signalisation utilisé par les réseaux mobiles et développé dans les années 1970, à l’époque des premiers commutateurs téléphoniques électroniques.

Curieusement, SS7 n’utilise aucun moyen basique de protection : le trafic n’est pas chiffré et le matériel est incapable de faire la différence entre des commandes légitimes et d’autres falsifiées. Le système traite toutes les commandes qui lui sont envoyées, indépendamment de leur source.

La raison est très simple. Comme le présupposaient ceux qui ont élaboré le protocole il y a 40 ans, le réseau de signalisation est séparé du circuit de voix et, par conséquent, personne d’autre que les membres du personnel travaillant devant les commutateurs téléphoniques ne pouvait accéder au canal.

Même si quelqu’un y parvenait, cela ne lui servirait à rien : aucune commande, mises à part celles qui demandent de connecter un abonné, ne transitaient par le réseau. Il n’y avait alors pas de raison de penser à de faux paquets, qui seraient transportés à travers le réseau.

 

Cependant, la situation a changé dès que la procédure du traitement des commandes SS7 sur IP a été introduite en 2000, exposant essentiellement le circuit SS7 à un accès extérieur.

La bonne nouvelle, c’est qu’il n’est pas possible de se connecter au réseau de n’importe quel opérateur depuis un quelconque ordinateur sur Internet. Un appareil spécifique est nécessaire : un hub SS7.

La mauvaise nouvelle, ce sont les réglementations laxistes permettant de mettre en place des réseaux. Certains pays délivrent facilement aux opérateurs des licences qui, à leur tour, permettent à n’importe qui de configurer légalement un hub et de le connecter à un nœud de transport. C’est pourquoi de nombreux vendeurs illégaux se bousculent sur le marché noir pour proposer des « services de connexion » à de tels hubs.

 

Peu importe où se trouve le hub. Il peut être utilisé pour envoyer et accepter des commandes sur le réseau de n’importe quel opérateur dans le monde. Cela signifie que le blocage des commandes dans certaines jonctions du réseau devrait probablement entraîner une interruption des services d’itinérance et couper les connexions internationales. Par conséquent, il est très difficile d’éviter de telles attaques.

À présent, voyons toutes les options qu’un criminel pourrait exploiter en disposant uniquement du numéro de téléphone de sa victime. Tout d’abord, un attaquant aurait besoin de l’IMSI (International Mobile Subscriber Identity) de sa victime, c’est-à-dire du numéro unique qui permet de l’identifier sur un réseau mobile (ce numéro est stocké dans la carte SIM de l’utilisateur). Il s’agit là d’une étape essentielle de l’attaque, qui est menée  par SMS (curieusement, à l’origine, le SMS était une  caractéristique « sans-papier » du protocole GSM : le message était transporté dans le circuit de signalisation).

Si quelqu’un publie une demande d’envoi de SMS à un numéro en particulier, le réseau de l’opérateur – ou plus précisément, l’enregistreur de localisation géographique des abonnés (Home Location Register, HLR), qui est la principale base de données où sont conservées les données des abonnés à un réseau mobile – répond avec l’IMSI et la référence au MSC (mobile switching center) et au VLR (Visitor Location Register, VLR), une base de données qui contient des informations sur la localisation temporaire des abonnées. Le MSC a besoin de ces données pour servir les abonnées visiteurs.

 

La réponse est la suivante : « Salut, voici l’IMSI et l’adresse du segment de réseau où se trouve actuellement l’abonné. Maintenant, envoie le message pour le numéro IMSI mentionné ci-dessus avec ce MSC/VLR ». Pendant ce temps, l’adresse de la base de données HLR est également exposée. En connaissant les adresses et les ID, un criminel peut envoyer plusieurs commandes au HLR.

Par exemple, un escroc pourrait demander l’identifiant à la station de base qui serait utilisée à ce moment-là pour l’abonné destinataire. Armé de cet identifiant unique et de l’une des nombreuses bases de données d’abonnés disponibles sur Internet, l’escroc pourrait découvrir l’emplacement exact de l’abonnée, avec une grande précision (à une dizaine de mètres près). Un certain nombre de programmes peuvent effectuer automatiquement le processus, lesquels n’ont qu’à ajouter le numéro du téléphone pour obtenir un point sur la carte.

 

Quelqu’un pourrait demander le HLR pour se reconnecter à un autre VLR et ajouter une valeur fausse, bloquant par la même les appels et les messages.

Il y a une autre possibilité : ajouter les adresses MSC/VLR indésirables émulées sur l’ordinateur de l’escroc à l’aide d’un pack de softwares « SS7 pour Linux », disponible librement pour le téléchargement. Cela donne lieu à de nouvelles opportunités pour pirater furtivement des appels et des messages.

Par exemple, une fois qu’un escroc reçoit un SMS sur son ordinateur, il ne renvoie pas le message de rapport de livraison, mais remet la valeur légitime du VLR. Lorsque c’est chose faite, le serveur sortant se reconnecte et délivre finalement le message au destinataire prévu. Le piratage des SMS est une méthode parfaite pour intercepter des codes de vérification à usage unique qui sont utilisés dans divers systèmes d’authentification à deux facteurs.

 

Il est encore plus facile de pirater des appels téléphoniques : en ayant accès au HLR, un escroc peut définir des renvois inconditionnels vers un numéro de téléphone intermédiaire, avant de délivrer l’appel au véritable destinataire.

Avec un peu plus d’efforts à fournir, la même méthode permet d’écouter des appels téléphoniques externes : ce type de renvois pourrait être mis en place sur les téléphones que la victime appelle. Le numéro apparaît quand l’appel sortant publie une demande avec un numéro de téléphone et la renvoie à un système de facturation, le but étant que ce dernier applique un certain tarif d’appel et envoie la facture à l’appelant.

 

En échangeant dans le système de facturation une véritable adresse avec une adresse falsifiée utilisée par un escroc, ce dernier pourrait alors découvrir le numéro du destinataire. La victime ne pourrait passer l’appel qu’au deuxième essai, le premier n’aboutissant pas, sans penser une seconde à cet échec d’appel (d’ailleurs, si vous devez souvent réessayer pour passer un appel, c’est un signe évident que quelqu’un vous écoute).

Manifestement, tous les cas récents sur les appels secrets des politiques qui ont été dévoilés au monde entier ne sont pas liés à des mises sur écoute impliquant des agents secrets. En fin de compte, un adversaire dans les prochaines campagnes électorales pourrait parfaitement en être responsable.

Pour des gens ordinaires, cette méthode n’aurait que des conséquences limitées, impliquant le vol de quelques dollars sur leur forfait mobile. Il serait possible d’y parvenir en envoyant de faux codes USSD pour permettre de petits transferts d’argent ou des redirections d’appel vers des numéros payants qui génèrent du trafic.

Comme nous l’avons mentionné précédemment, il n’existe pas de solution sûre à 100 % contre ce bug. Ce dernier est intrinsèque au protocole utilisé dès le premier jour. Seul un changement fondamental dans la manière dont les communications mobiles fonctionnent pourrait offrir une possibilité de résoudre complètement le problème.

Il existe un autre moyen de régler ce problème, qui implique de déployer un système complexe de surveillance des activités des abonnés pour détecter des activités malveillantes menées prétendument par des abonnés. Un certain nombre d’entreprises d’IT proposent des systèmes automatiques, qui ressemblent essentiellement aux plates-formes anti-fraude largement utilisées par les banques.

Le problème vient des compagnies mobiles

Les opérateurs sont loin d’être pressés de déployer de tels systèmes, laissant les abonnés se demander s’ils sont ou non protégés contre de pareilles attaques. Même si vous découvrez que vous être protégé avec votre premier opérateur, vous ne pouvez jamais être sûr d’être en sécurité à cause des services d’itinérance.

Vous devriez obéir à une règle simple pour empêcher que vos secrets ne tombent entre les mains des criminels : n’abordez pas de sujets sensibles au téléphone, gardez-les plutôt pour quand vous verrez la personne. Imaginez que vous en parliez sur YouTube. Pour protéger les SMS qui vous sont envoyés par les systèmes d’authentification à deux facteurs, prenez une autre carte SIM avec un numéro que seul vous connaissez, et utilisez-la uniquement dans ce but.