Vie privée : comment vos appareils vous espionnent

IMSI Catcher : fantasmes – Tracking à la source

Dans les films et séries TV, les scénaristes nous parlent généralement d’un espionnage à une tout autre échelle : celui du téléphone mobile directement, via l’antenne relais. Cette technique, baptisée IMSI Catcher, permettrait aux grandes oreilles des gouvernements ainsi qu’aux méchants hackers d’écouter et de localiser des smartphones. Quelle est la part de réalité dans cette fiction ? En aparté de cet article, nous avons voulu comprendre par nous-mêmes… et vous faire part de nos expériences.

Don't mess with ANFR
Les quelques tests nécessaires pour écrire ces pages ont été réalisés sur une plateforme pétrolière située dans les eaux internationales, au large de l’île de Pâques. Procéder à ce genre d’expérimentation n’importe où ailleurs, en particulier à forte puissance, vous mettra tôt ou tard en délicatesse avec les autorités. À bon entendeur…

Les espions des services de renseignement peuvent-ils écouter vos conversations et suivre votre mobile à la trace comme dans un épisode des Experts ? Il convient d’abord de s’intéresser au cadre légal français, qui vient d’être profondément modifié. La loi n° 2016-731 du 3 juin 2016 “renforçant la lutte contre le crime organisé, le terrorisme et leur financement”, dans son article 2, permet désormais aux enquêteurs “en enquête comme en instruction, pour une durée maximale d’un mois renouvelable une seule fois, de recourir à des dispositifs techniques de proximité de recueil de certaines données de connexion (« IMSI catcher »)“.

Le législateur a toutefois jugé bon de préciser que cette utilisation n’était licite que pour la récupération des “seules données permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur.“. Exit donc l’espionnage des conversations et autres SMS donc… du moins dans le cadre de la loi, car les services de renseignements français exploitaient cette technique bien avant qu’elle soit officiellement autorisée. En quoi consiste donc un IMSI catcher ? Il s’agit d’un dispositif qui simule une fausse antenne-relais de téléphonie mobile, en imitant ses caractéristiques et sa configuration. Votre téléphone s’y connectera alors en pensant avoir affaire à une “vraie” borne d’un opérateur officiel. De quoi récupérer une quantité importante d’informations ? Faisons le test !bladerf

SniffRF
tb-telecomIl y a quelques années, l’acquisition d’un IMSI Catcher coûtait une fortune (plus de 20 000 €) et exigeait de montrer patte-blanche. Seuls les organismes gouvernementaux comme les services de police ou de renseignement pouvaient y avoir accès. Aujourd’hui, la révolution des SDR (Software Defined Radio – radio logicielle) permet d’accéder pour quelques centaines d’euros à des composants extrêmement puissants qui peuvent simuler à eux seuls l’ensemble des protocoles d’une borne de téléphonie mobile. C’est le cas par exemple du BladeRF de la société Nuand (420 $), basé sur une interface USB 3 et un FPGA Cyclone 4. En tant que SDR multifonction, il peut gérer tout type de signaux complexes de 300 MHz à 3.8 GHz en émission comme en réception. Si les outils logiciels permettant de créer une station de base entièrement fonctionnelle valent des fortunes, il existe quelques logiciels Open Source expérimentaux assez efficaces. C’est le cas par exemple de YateBTS. L’installation sur une plateforme comme le BladeRF exige toutefois de solides connaissances dans divers domaines très techniques et ne s’adresse clairement pas au premier venu. Il vous faudra modifier, configurer et compiler de nombreuses applications sous Linux pour parvenir à vos fins. Après plusieurs heures d’efforts, nous avons tout de même pu installer correctement YateBTS et générer notre propre réseau GSM. Les stations officielles s’identifient avec quatre identifiants : MCC (Mobile country code), MNC (Mobile network code), LAC (Location area code) et CI (Cell ID). En configurant ces valeurs sur des données fantaisistes, on crée un micro-réseau tiers qui permet à n’importe quel téléphone mobile de s’y connecter. Ils peuvent ensuite passer des appels ou s’envoyer des SMS entre eux, voire communiquer vers l’extérieur avec un pont SIP.

Mais le plus “intéressant” reste évidemment d’usurper les identifiants d’une antenne-relais existante. Dans ce cas, les mobiles se connecteront par défaut sur celle qui offre le signal le plus puissant. Il suffit donc de se trouver à proximité de la victime pour que son téléphone s’y connecte sans autre forme de procès. Malgré tout, les communications ne pourront être interceptées que dans un seul sens : impossible de tromper la borne originale pour la forcer à vous envoyer les appels et le relayer ensuite vers le mobile piraté. L’IMSI Catcher ne sert de toute façon pas à ça : son but reste de récupérer les IMSI, c’est-à-dire les identifiants uniques des cartes SIM. Grâce à eux, il devient possible de savoir si un téléphone en particulier se trouve bien dans une zone déterminée, mais rien de plus. L’interception d’appel sortant (par une redirection SIP) reste possible, mais elle exige une logistique beaucoup plus compliquée. Et il convient de noter un autre problème de taille : toute ces techniques ne fonctionnent qu’avec l’ancien réseau GSM de type 2G/EDGE. Conscients de ces failles de sécurité, les industriels ont rajouté de nouvelles sécurités à partir du réseau 3G/LTE : cette fois, les mobiles et les stations de base exigent une authentification croisée et il n’est plus possible d’usurper l’identité de l’un ou de l’autre.

De l'intérêt de l'IMSI
Pour une autorité judiciaire, il demeure toujours plus facile de faire appel directement à votre opérateur – sur réquisition d’un juge – pour écouter vos appels que de se lancer dans des techniques compliquées d’interception. L’utilisation de l’IMSI en tant que métadonnée présente cela dit un intérêt tout particulier lorsque le numéro de téléphone n’est pas connu ou lorsqu’il s’agit de suivre discrètement un mobile suspect et anonyme. Autre intérêt : les IMSI Catcher permettent d’enregistrer tous les IMSI (et donc tous les numéros de portable) qui se trouvaient dans une zone géographique restreinte à un moment donné. La police ukrainienne a d’ailleurs utilisé ce procédé contre les manifestants à Kiev, en janvier 2014…

Chats et souris
Les IMSI Catcher sont-ils devenus obsolètes depuis l’arrivée de la 3G ? Pas encore, car il existe évidemment des failles. La principale est très simple à mettre en œuvre : lorsqu’un mobile ne parvient à capter la 4G ou la 3G, il va se rabattre automatiquement sur le réseau 2G pour essayer de se connecter à la station de base. Et dans ces cas, les bonnes vieilles ficelles redeviennent possibles. Comment procéder en pratique ? Simple ! Le réseau 2G n’exploite pas les mêmes fréquences que la 4G. Il suffit donc de se munir d’un brouilleur puissant (200 €) et de couvrir de “bruit” les bandes de fréquences de la 3G/4G. Les téléphones de la zone retomberont donc en mode 2G… et accrocheront l’IMSI Catcher. Il existe également une autre solution, encore plus efficace : cloner la carte SIM afin d’en faire une copie qui pourra intercepter facilement toutes les communications dans les deux sens. Théoriquement, ce type de piratage est impossible : les SIM 3G/4G sont équipées d’une clé-maître (Ki) partagée avec l’opérateur lors de la fabrication et qui permet l’authentification croisée.

Un exemple "MagicSIM" qui permet de modifier l'IMSI

Nous avons pu nous procurer facilement en Chine une carte SIM “vierge” dotée d’un IMSI et d’une clé Ki programmable à volonté pour moins de 10 euros. Reste à trouver la clé d’une SIM existante. Pour cela, il existe quelques failles de sécurité franchement compliquées à mettre en œuvre pour un pirate seul. Pour une agence gouvernementale dotée de gros moyens en revanche, la tâche s’avère plus aisée. Les révélations d’Edward Snowden ont ainsi montré comment la NSA était parvenue à pirater directement l’entreprise française Gemalto qui produit des milliards de cartes SIM pour la planète entière. En récupérant la base de clé Ki de toutes ces cartes, la NSA peut désormais intercepter n’importe quel mobile, où qu’il se trouve, et sans l’avis d’un juge ou des opérateurs…

 

About the Author

Doc TB
Détracteur en chef, journaliste total, combat le bullshit marketing depuis 2001, ce qui lui vaut régulièrement procès et menaces. Particularité : dilapide l'argent de la rédaction en produits divers et variés qu'il pourrait très bien obtenir gratuitement via les constructeurs (contre un ou deux points en plus sur la note). Détruit au final lesdits produits en cherchant à les améliorer ou pour éprouver leur résistance aux courts-circuits.

Comments are closed.