Passer au contenu

Une faille dans les protocoles 4G et 5G permet de localiser les abonnés

En interceptant les notifications techniques émises dans une zone donnée et en appliquant un calcul de probabilité, il est possible de savoir la présence ou non de certains utilisateurs.

Ce n’est pas avec la 5G que les « IMSI-catcher », ces boîtiers qui permettent d’espionner les abonnés mobiles aux alentours, vont disparaître. Un groupe de cinq chercheurs vient de révéler une nouvelle attaque baptisée « Torpedo » qui permet de savoir si un abonné est présent ou non dans une cellule 4G ou 5G. Le cas échéant, il sera même possible d’en déduire son IMSI, ce fameux identifiant unique utilisé par les opérateurs télécoms. Les chercheurs ont testé leur attaque sur de vrais réseaux. Pour y arriver, ils se sont dotés de deux ordinateurs Intel Core i7 sous Ubuntu, chacun connecté à un périphérique de radio logicielle à 1300 dollars (USRP B210). Le premier PC permet de collecter les trames radio de manière passive, le second sert de fausse station de base.

L’attaque s’appuie sur une faille qu’il n’est pas facile à colmater, car elle est intimement liée au design du « paging protocol », le protocole des notifications. En effet, quand un terminal n’est pas utilisé, il se met dans une sorte d’état de veille qui lui évite une trop forte consommation d’énergie. L’appareil n’est alors pas activement connecté au réseau télécom, mais il va régulièrement interroger la station de base pour savoir s’il n’y a pas un appel, un SMS ou un message qui lui est destiné. Cette interrogation se fait environ chaque seconde, en utilisant le « paging protocol ». Celui-ci permet à la station de base de diffuser les notifications de manière cadencée, suivant un cycle prédéterminé.

Des cadences révélatrices

Le hic, c’est qu’un terminal donné va toujours recevoir ses notifications à une position bien définie dans ce cycle. Cette position est baptisée « Paging Frame Index » (PFI). Dans leur étude, les chercheurs montrent qu’il suffit d’initier moins d’une dizaine d’appels ou d’envois de SMS pour révéler la présence ou l’absence de l’appareil dans une zone donnée. En effet, chaque appel ou SMS dans une zone génère une notification que l’attaquant peut intercepter. Il lui suffit ensuite d’analyser les délais de livraison des messages de notification et d’appliquer un savant calcul de probabilité pour savoir si la cible est dans les parages ou non. A noter que ces appels ou ces SMS peuvent être parfaitement silencieux quand ils sont avortés à temps. L’utilisateur ciblé ne remarquera donc rien de ces manœuvres.

Mais ce n’est pas tout. Cette attaque permet de déterminer au passage le PFI, qui est lui-même dérivé de l’IMSI. En supposant que l’attaquant connaisse le numéro de téléphone de sa cible, les chercheurs montrent qu’il est possible, à partir de ces différentes informations, de retrouver l’IMSI par une attaque par force brute en moins de 13 heures. C’est particulièrement intéressant dans le cas de la 5G, où les IMSI sont systématiquement transmis de manière chiffrée, et donc très protégés.  

Implémentation défaillante

Enfin, les chercheurs ont également mis au point une variante pour obtenir l’IMSI directement à partir du protocole de notification. Normalement, un message de notification ne contient que le TMSI, un identifiant temporaire généré par la station de base. Mais dans certains cas exceptionnels, le TMSI est remplacé par l’IMSI chez certains opérateurs. Les chercheurs ont réussi à identifier ces cas exceptionnels et à les reproduire, afin de pouvoir récupérer directement l’identifiant unique. C’est une erreur d’implémentation que les opérateurs ont intérêt à corriger le plus rapidement possible.

Les chercheurs ont alerté le consortium GSMA qui a reconnu les failles révélées par les chercheurs. Pour l’heure, on ne sait malheureusement pas quand ces vulnérabilités vont pouvoir être corrigées.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN