Selon le CERT de l'université Carnegie-Mellon, des vulnérabilités des réseaux LTE (4G) peuvent être utilisées contre des smartphones Android pour passer anonymement des appels ou obtenir des données. Alerté, Google compte déployer une mise à jour pour les Nexus en novembre.
Le CERT (Computer emergency response team) de l'université Carnegie-Mellon, chargé d'une veille en sécurité, a identifié plusieurs problèmes affectant des réseaux LTE et des interactions possibles avec des smartphones sous Android. Selon les rapports compilés par le CERT, le problème principal est le passage du système classique des réseaux téléphoniques à un modèle ou toutes les communications sont gérées comme un réseau Internet, y compris les appels et les SMS. Ce système, appelé VoLTE (Voice over LTE) est une composante parmi d'autres des réseaux 4G, mais qui n'a pas encore été intégrée par tous les opérateurs. C'est notamment le cas en France où, malgré de nombreuses annonces, VoLTE n'est pas encore disponible.
Android affecté, Google prépare un correctif
Plusieurs problèmes sont ainsi listés. Le premier affecte Android : la gestion des droits permet à la permission « Internet » d'outrepasser celle « Appel téléphonique ». En clair, une application peut passer des appels sans que l'utilisateur ne s'en rende compte. « Appeler continuellement de cette manière peut résulter en une surfacturation ou un déni de service » explique l'équipe du CERT.
La solution serait en partie à chercher du côté des systèmes d'exploitations pour smartphones. Selon le CERT, ces problèmes toucheraient toutes les versions d'Android, même si Google n'a pas confirmé lesquelles étaient concernées. Interrogée par ZDNet, la société de Mountain View déclare que ces défauts seront réglés pour les terminaux Nexus dans la mise à jour de sécurité mensuelle de novembre.
Mais cela ne réglera le problème que pour une (très) petite proportion des terminaux, comme le rappellent régulièrement les chiffres de la fragmentation d'Android. Un problème d'autant plus gênant que les modifications apportées par les constructeurs peuvent aussi affecter des éléments du système. Il faut donc que les constructeurs vérifient leurs modifications, appliquent celles de Google et envoient un correctif à leurs clients.
Du côté d'iOS, Apple affirme simplement au CERT que son système n'est pas affecté par l'envoi d'appels « invisibles ». Ce problème serait propre à Android.
Des sécurités qui ne sont pas en place
Des réseaux LTE permettent également la connexion directe de deux terminaux sans passer par un serveur de communication vocale. Selon les chercheurs, cela peut aussi bien mener à des appels hors du contrôle de l'opérateur ainsi qu'à une usurpation de numéro car il n'y a pas de serveur pour contrôler l'identité. Un autre problème empêche certains réseaux de bien identifier chaque message qui y transite, ce qui permet également une falsification d'identité.
Le dernier souci identifié est que certains réseaux ne restreignent pas un terminal à une connexion vocale. Pour les chercheurs, cela ouvre la porte à des réseaux pair-à-pair hébergés directement par un opérateur mobile, sans qu'il le sache. Dans une moindre mesure, cette possibilité pourrait aussi être utilisée pour du déni de service.
« Un attaquant distant sur un réseau mobile serait capable d'établir des connexions pair-à-pair pour directement récupérer des données d'autres téléphones, ou falsifier le numéro en passant un appel. Une application malveillante pour Android pourrait être capable de passer silencieusement des appels sans que l'utilisateur ne le sache » résume l'équipe.
En cause, des erreurs d'implémentation du LTE
« Notez que chaque opérateur a sa propre implémentation, et peut ne pas être concerné par toutes les vulnérabilités listées » écrit encore le CERT. Il s'agit donc avant tout d'erreurs d'implémentation du VoLTE, qui touchent donc différemment chaque opérateur. Pour les chercheurs, si les opérateurs proposent une mise en place « propre » de la 4G (ou effectuent les mises à jour nécessaires), il ne devrait y avoir aucun problème. Quoi qu'il en soit, des erreurs qui ont déjà eu des conséquences graves dans d'autres domaines, comme le remplacement de firmwares de routeurs ou des bases de données MongoDB accessibles à tous.
Dans les faits, les réseaux de trois des principaux opérateurs américains seraient ainsi affectés. S'ils ne l'ont pas directement testé, les chercheurs « suspectent fortement » qu'AT&T est sensible à certains de ces problèmes. Du côté de T-Mobile et Verizon, leurs réseaux n'avaient pas de gestion des sessions en place, ce qui permettrait des communications directes entre terminaux, par exemple pour un déni de service. Contacté par ZDNet, T-Mobile dit avoir réglé le souci depuis. AT&T et Verizon n'ont, eux, pas répondu à nos confrères.
Quid de la France ?
Ces soucis ne semblent pas encore concerner les opérateurs français. Si Bouygues Telecom et Orange ont déjà annoncé qu'ils vont implémenter la VoLTE, mais rien ne semble pour le moment en place. Les communications vocales passent encore par le système de téléphonie classique. Nous avons contacté les quatre opérateurs, qui n'ont pas pu tous nous fournir de réponse précise, à l'exception de Numericable-SFR. « Nous n’avons pas encore lancé la VoLTE, mais nous sommes bien évidemment très attentifs à étudier l’impact des failles potentielles de sécurité liées » nous explique l'opérateur. Il ajoute qu'il proposera à ses clients la VoLTE « certainement en 2016 ».
