Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question

La double authentification n'est pas une garantie
Internet 8 min
SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question
Crédits : RomoloTavani/iStock

L’opérateur allemand O2-Telefonica a confirmé récemment que certains de ses clients avaient vu leur compte bancaire piraté, grâce à l’interception de SMS envoyés lors d'une authentification à double facteurs. Un problème qui souligne les fragilités de certains protocoles. Nous nous sommes entretenus avec plusieurs acteurs à ce sujet.

C’est la presse allemande qui a annoncé la nouvelle : les comptes en banque de certains particuliers ont pu être piratés. Ces opérations ont été menées essentiellement grâce à la conjonction de deux facteurs : des malwares présents sur l’ordinateur et l’interception de SMS contenant un code pour l’authentification à deux facteurs.

Si l’affaire fait grand bruit, c’est parce que cette interception met en évidence des faiblesses dans les protocoles d’interconnexion utilisés pour lier les contacts à travers les appels téléphoniques et SMS. Explications.

SS7, un lot de protocoles connu pour sa fragilité

SS7, ou Signaling System #7, est le nom donné à un ensemble de protocoles cruciaux dans le monde de la téléphonie. Ils permettent ainsi d’établir ou de libérer les appels téléphoniques, qu’il s’agisse de lignes fixes ou mobiles. Ils sont utilisés actuellement par plus de 800 opérateurs dans le monde

Ces protocoles servent en particulier à échanger des informations pour négocier une communication. SS7 s’occupe de cette activité depuis bon nombre d’années d’ailleurs puisqu'il a été standardisé par l’Union internationale des télécommunications en 1981. Comme de très nombreuses technologies âgées de plusieurs décennies, elle comporte des vulnérabilités, qui ont particulièrement été soulignées au cours des dernières années.

Ce fut particulièrement le cas en 2014, lors du Chaos Communication Congress à Hambourg. Là, deux chercheurs – Tobias Engel et Karsten Nohl – avaient montré comment, avec quelques lignes de code seulement, il était possible d’intercepter des SMS et appels téléphoniques, mais également d’obtenir la position géographique de l’appareil mobile. Les chercheurs indiquaient que les faiblesses étaient connues, mais que bon nombre d’acteurs impliqués dans leur exploitation ne souhaitaient pas les rendre publiques.

L’année dernière, Karsten Nohl avait même fait la démonstration de ces techniques avec le smartphone de Ted Lieu, membre du Congrès américain (avec son accord). L’émission « 60 minutes » sur le sujet avait été publiée par CBS en avril, attirant à nouveau l’attention sur SS7. Jusqu’à présent cependant, on ne parlait surtout que de risques potentiels et de techniques d’espionnage. L’utilisateur classique avait été relativement épargné.

L’attaque en Allemagne

Changement de perspective depuis que le journal allemand Süddeutsche Zeitung a indiqué le 3 mai que plusieurs personnes avaient observé des mouvements irréguliers sur leurs comptes en banque suite à un piratage. Des évènements survenus il y a déjà plusieurs mois. Ces attaques ont été confirmées au média par O2 Telefonica, alors que les opérateurs sont globalement assez frileux dès qu’il s’agit de parler de SS7, comme on le verra plus loin.

Ces piratages n’ont pu avoir lieu cependant qu’avec la conjonction de plusieurs facteurs. La première étape était d’inonder autant que possible les ordinateurs visés de malwares. L’autre partie est plus complexe, car il fallait que les pirates aient un accès à un opérateur de téléphonie, ce qui pouvait être réalisé de plusieurs manières, par exemple en ayant sur place un employé corrompu, soit en passant par un faux réseau mobile.

De là, les faiblesses de SS7 étaient exploitées pour détourner les SMS de confirmation dans les cas où ils étaient émis pour une authentification à double facteur (2FA). Les pirates, armés des identifiants (dérobés par la frappe au clavier) et du code complémentaire, pouvaient alors se connecter et perpétrer leur forfait.

Cette réunion de conditions explique sans doute pourquoi ce type d’attaque n’est pas monnaie courante, mais reste néanmoins plus réalisable que par le passé. Il est en effet plus simple aujourd’hui pour des personnes mal intentionnées de mettre en place un réseau mobile pirate.

Les opérateurs de téléphonie et équipementiers assez frileux sur le sujet

Malgré nos demandes répétées, peu d’acteurs ont souhaité nous répondre franchement sur cette thématique particulière.

Orange nous a par exemple indiqué, via un porte-parole : « La protection de nos services et des informations relatives à nos clients sont une priorité constante. À ce titre, la conception et le déploiement de solutions de sécurisation toujours plus performantes sont permanents et nos équipes toujours pleinement mobilisés. Les risques concernant le réseau SS7 sont identifiés et Orange a joué un rôle moteur au sein de la GSMA sur le développement de mesures de protections ». Et d’ajouter que les « travaux de sécurisation tiennent compte des évolutions des hackers ».

Le son de cloche est exactement le même chez Bouygues : l’opérateur suit les recommandations de la GSMA, la situation est sous contrôle, les évènements sont suivis à la loupe et tout est mis en ordre pour fortifier autant que possible les communications. Il faudra s’en contenter.

Du côté des équipementiers, Ericsson a bien souhaité nous répondre, mais là encore via un simple communiqué : « Ericsson est au courant des récentes attaques sur le réseau SS7. Les pirates ont attaqué une vulnérabilité connue qui a été publiée il y a plusieurs années. Le modèle de confiance SS7 ayant évolué au cours de la dernière décennie, ce type d’attaque n'est possible que par des acteurs pirates ». La société assure que toutes les protections possibles et imaginables sont déjà en place.

Des attaques qui étaient à prévoir…

Nous nous sommes entretenus avec Philippe Langlois, fondateur et PDG de la société P1 Security, spécialisée dans la sécurité des réseaux de téléphonie. Elle s’occupe notamment de réaliser des audits chez les opérateurs pour, justement, mettre en évidence les éventuelles faiblesses dans la muraille.

Interrogé sur les évènements survenus en Allemagne, le PDG a indiqué n’être « pas surpris », et pour cause : « O2 Telefonica nous a prévenu au début de l’année ». Selon lui, ce type de piratage était à prévoir : « Nous prévenons les opérateurs depuis au moins 2008, mais ils n’ont réellement commencé à bouger qu’en 2012/2013 ».

Il nous indique que SS7 a été mis en place en des temps où la sécurité n’entrainait pas les mêmes impératifs qu’aujourd’hui : « Avec le modèle actuel, la seule solution pour sécuriser vraiment SS7 serait de couper complètement le roaming, ce qui ne serait pas vraiment pratique ». Surtout quand l’Europe travaille justement à en faire supprimer les frais, ce qui sera le cas dès le 15 juin.

Langlois continue : « SS7, pour supporter la charge, a été conçu pour travailler en P2P avec les équipements réseau. En clair, il faut qu’ils se fassent confiance, sinon ça ne peut pas marcher. La mise en réseau se fait donc sans contrôle de l’identité : les équipements ne vérifient pas si un contact a réellement le droit d’être mis en relation avec un autre, et il n’y a aucun chiffrement ». 

Ce qui explique notamment comment des pirates peuvent détourner des SMS depuis un faux réseau mobile. Notez qu'on ne sait pas si les pirates ont détourné complètement ou simplement copié les SMS pendant leur transit. Selon Langlois, l'un comme l'autre sont possibles, « sans difficulté particulière ».

… mais un modèle en cours d’évolution

On peut cependant se poser la question de la communication d’O2. Pour Philippe Langlois, on est à mi-chemin entre un coup de pied dans la fourmilière et « un besoin de se dédouaner », comme si l’opérateur tenait l’occasion de dire que dans ce domaine, il n’existe aucune défense absolue.

Les clients ne pourraient-ils donc qu’attendre d’être attaqués ? « Non » nous répond le PDG, car le modèle de sécurité doit justement évoluer. P1 Security fait partie d’un groupe de travail au sein de la GSMA pour bâtir toute une nouvelle infrastructure de sécurité pour SS7. Un nouveau modèle a été présenté, ouvert de manière à ce que les opérateurs puissent commencer à faire des essais.

« L’approche politique qui avait été prise dans le passé était propriétaire » nous explique le PDG. Conséquence : « le niveau d’adoption avait été assez faible ». « Avec une spécification ouverte, on s’assure que tout le monde peut participer et commencer à tester les solutions ». Au programme des réjouissances, chiffrement, signatures et contrôle des droits. Tout ce qui manque en fait à SS7 actuellement.

Le fondateur de P1 Security n’a pas souhaité nous donner de calendrier sur l’état d’avancement de ce nouveau modèle. Il confirme en tout cas qu’on s’avance bien « vers un chiffrement généralisé des communications », une évolution à prévoir. Il ajoute d’ailleurs : « Autant l'interception légale et judiciaire serait préservée avec ce nouveau système, autant les interceptions de masse des services de renseignement seraient beaucoup plus difficiles ».

Un risque faible pour les usagers, mais qui existe

Finalement, que risquent réellement les usagers ? « Tout dépend du potentiel de leur compte en banque et des méthodes utilisées pour se connecter ». Philippe Langlois fait référence ici au SMS envoyé par certaines banques pour assurer l’authentification à double facteurs. Un nombre croissant d’établissements utilisent leurs propres applications mobiles pour confirmer la connexion ou les opérations bancaires.

Dans tous les cas, une bonne partie de la chaine de sécurité s’appuie sur l’hygiène informatique générale. Dans le cas présent, ces attaques n’auraient jamais pu avoir lieu sans la présence de malwares sur les ordinateurs. S’attaquer à SS7 n’est donc pas suffisant en soi, et il faudra toujours faire attention aux liens ouverts, aux pièce-jointes, au choix des mots de passe et ainsi de suite.

26 commentaires
Avatar de fred42 INpactien
Avatar de fred42fred42- 12/05/17 à 08:16:57

Le modèle de confiance SS7 ayant évolué au cours de la dernière décennie, ce type d’attaque n'est possible que par des acteurs pirates

:bravo: Ericsson !

C'est pas du jeu, des pirates nous attaquent. Et ça n'existait pas en 1981.

Edit : il faut dire qu'à cette époque, on ne pouvait pas "accéder au SS7" par Internet. Il s'agissait uniquement de réseaux Telecom privés et fermés.

Édité par fred42 le 12/05/2017 à 08:18
Avatar de RuMaRoCO Abonné
Avatar de RuMaRoCORuMaRoCO- 12/05/17 à 08:20:11

 Non avant ce n'était pas de Pirates mais simplement les services secrets <<insérer le nom du services que vous désirez>>:8

Avatar de brazomyna INpactien
Avatar de brazomynabrazomyna- 12/05/17 à 08:20:45

Encore un excellent article de fond. Merci NXI :yes:

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 12/05/17 à 08:24:02

+1.

C'est creusé, les acteurs sont contactés.
Merci pour le traitement de l'info bien développée. :)

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

Merci d'avoir traité ce sujet, très INtéressant, des SMS pour s'authentifier.  :chinois:   J'en avais parlé une fois à ma banque (celle qui fait payer 1€ par mois les frais de tenue de compte depuis janvier 2017), mais ça a l'air d'intéresser mon interlocuteur autant que moi de payer ses frais tous les trimestres.

Édité par joma74fr le 12/05/2017 à 08:34
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 12/05/17 à 08:32:14

correction: t'en as parlé au guichetier. :non:

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 12/05/17 à 08:33:32

Autant l'interception légale et judiciaire serait préservée avec ce nouveau système, autant les interceptions de masse des services de renseignement seraient beaucoup plus difficiles

oui alors par contre, là, j'ai du mal à tout bien comprendre.
soit c'est possible, soit ça l'est pas.:fou:

Avatar de Sheepux Abonné
Avatar de SheepuxSheepux- 12/05/17 à 08:37:13

C'est possible sur un registre unitaire moins sur un effet de masse.

Avatar de anonyme_d5bf0b9f87fd15affa58563db3b0ac5d INpactien

:bravo:Je vois qu'il y a des connaisseurs comme moi  :transpi:  J'en avais parlé à mon "conseiller financier" qui est plus un commercial qu'un technophile éclairé en sécurité informatique.

Avatar de hellmut Abonné
Avatar de hellmuthellmut- 12/05/17 à 08:52:10

du style clé de chiffrement unique par échange, stockée par l'opérateur?
sans plus d'infos ça sera difficile de savoir de quoi on parle malheureusement.

Il n'est plus possible de commenter cette actualité.
Page 1 / 3