Selon l’édition australienne de SC Magazine, spécialisé dans la sécurité, des universitaires anglais (Birmingham) et allemands (Berlin) ont découvert une nouvelle menace pour la vie privée des utilisateurs de smartphones 3G, quel que soit le modèle ou l’opérateur.
La faille de sécurité est en effet liée au standard 3G lui-même, au fonctionnement intrinsèque du protocole et non à des failles liées aux périphériques ou à des faiblesses dans le chiffrement des communications, comme cela a pu être le cas dans le cadre des autres attaques sur les réseaux 3G, ou même GSM.
Les chercheurs ont découvert qu’une des fonctions de la technologie 3G, qui permettait de protéger l’identité d’un utilisateur sur un réseau, prêtait en fait le flanc à une « attaque » assez simple à mettre en place. D’autant plus aisée à appliquer qu’il ne faut pas forcément un matériel introuvable et complexe à maîtriser, mais simplement une femtocell, une base qui distribue une connexion 3G en Wi-Fi, par exemple, comme pourrait le faire un modem ADSL.
Une faille intrinsèque à la 3G
L’attaque en question consiste à faire en sorte que l’International Mobile Subscriber Identity (IMSI), un identifiant unique permanent propre à chaque appareil, soit dévoilé par le téléphone lui-même.
En temps normal, pour éviter que cette identité soit connue de tous, la technologie 3G fait en sorte que cet identifiant unique soit remplacé à la connexion sur un réseau donné par un identifiant temporaire, le TMSI, ou Temporary Mobile Subscriber Identity. Ce TMSI est changé régulièrement, rendant en principe intraçable les périphériques 3G.
Or, les chercheurs anglais et allemands ont trouvé un moyen de contourner cette « sécurité ».
De manière schématique, ils se sont interposés entre l’antenne émettrice et le téléphone à identifier et localiser. Pour cela, ils ont intercepté, modifié et injecté des messages dans la communication établie entre les deux éléments du réseau. Autrement dit, ils ont pris la place d’un troisième « homme » quasi indétectable. Ils ont ainsi pu simuler une requête d’identifiant temporaire (TMSI) auprès de la borne 3G, qui le leur a retourné en plus de l’identifiant permanent (IMSI). Identifiant que le demandeur est sensé connaître puisque c’est le sien. Or, évidemment, le troisième homme ne connaît pas ce nom normalement.
Une fois récolté l’identifiant unique, les « hackers » à chapeaux blancs ont donc pu savoir « facilement » où se trouvait l’appareil et suivre le moindre de ses déplacements dans la zone surveillée. Y compris au sein d’un bâtiment.
Authentification détournée
Une autre attaque, qui vise à localiser un téléphone 3G, s’en prend à un protocole d’authentification appelé AKA, pour Authentification and Key Agreement. Depuis la femtocell, une requête d’authentification est envoyée à tous les téléphones à portée. Elle a été copiée depuis une requête valide interceptée grâce à des appels passés vers le téléphone à pister.
Tous les téléphones renvoient alors un message d’erreur de synchronisation. Sauf le téléphone visé qui répond par une erreur d’adresse MAC. « La requête d’authentification interceptée peut ensuite être réutilisée par l’intrus chaque fois qu’il veut vérifier la présence du périphérique dans une zone particulière. En fait, grâce aux messages d’erreur, l’intrus peut distinguer n’importe quel mobile de celui vers lequel la requête d’authentification a été envoyée. », explique un extrait du rapport qu’ont pu consulter les journalistes de SC Magazine.
Un scénario d’application
Les chercheurs donnent un exemple de la procédure à suivre dans le cadre d’un petit scénario : « L’employeur pourrait, dans un premier temps, utiliser la femtocell pour « sniffer » une requête d’authentification valide. Cela pourrait se passer dans une zone différente de celle surveillée. Ensuite, l’employeur pourrait positionner la femtocell près de l’entrée du bâtiment. Les mouvements à l’intérieur du bâtiment pourraient également être suivis en ajoutant d’autres femtocell pour couvrir d’autres zones. »
Ils vont même jusqu’à préciser que la triangulation serait nécessaire, si les « pirates-pisteurs » décidaient d’utiliser des appareils dont la portée est plus importante que les boîtiers 3G.
SFR, victime des essais
L’attaque a été menée depuis une femtocell « du commerce » et avec une autre modifiée pour avoir des privilèges « root », elle a fonctionné dans tous les cas, sur différents réseaux de différents opérateurs, T-Mobile, Vodafone et O2 en Allemagne et SFR en France.
Des solutions ?
Les chercheurs proposent deux solutions pour corriger ces « failles ». La première consiste à introduire une clé de session qui interdirait de créer un lien entre les deux identifiants. Elle permettrait d’ailleurs de parer les deux attaques, aussi bien pour la demande d’IMSI que pour le contournement du protocole AKA.
La seconde consiste à modifier les messages d’erreur, qui permettraient la détection d’une attaque. Dans les deux cas, une solution de chiffrement avec une clé publique est proposée.
Les chercheurs se montrent plutôt optimistes : « Les solutions que nous avançons montrent que des mesures respectueuses de la vie privée peuvent être adoptées dans la prochaine génération de standards de téléphonie mobile tout en maintenant bas le coût économique et le besoin en puissance de calcul nécessaire à leur implémentation. » Une bonne nouvelle pour le futur, mais reste que cette « faille », bien que limitée à une preuve de concept, existe bel et bien, dans un protocole omniprésent actuellement.
Pour ce dernier point, l’entité chargée, entre autre, de la sécurité de la 3G, le 3GPP, étudie les résultats de cette recherche depuis quelques mois. La lourdeur des correctifs à déployer pourrait expliquer que rien n’a encore été fait.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.