Les smartphones 4G LTE sont facilement piratables

Forcer un terminal 4G à basculer sur un réseau 2G pour intercepter ses communications est relativement simple à mettre en place, selon l’experte en sécurité Wanqiao Zhang.

Attaquer un smartphone, ou tout autre terminal 4G, via le protocole LTE est chose tout à fait possible. Et plus simplement qu’on ne pourrait le penser. L’experte Wanqiao Zhang, de la société de sécurité chinoise Qihoo 360, en a fait la démonstration en direct à la Ruxcon, la conférence de hacking qui se tenait à Melbourne en Australie le week-end dernier.

Pour y parvenir, elle a exploité les mécanismes de basculement permettant d’assurer la continuité de service en cas de surcharge du réseau. Le LTE supporte ce type de mécanismes pour notamment palier les risques de saturation du réseau, en cas de catastrophe ou d’événement particulier par exemple, et basculer sur des infrastructures alternatives dressées pour l’occasion, ou sous utilisées comme la 2G aujourd’hui. Or, le terminal ne sait pas nécessairement distinguer les infrastructures légitimes d’équipements installés par des attaquants.

Forcer le basculement de la 4G vers la 2G

C’est typiquement le cas de ce qu’on appelle les ISMI Catcher, des applications qui, à partir de simples femtocell (des antennes mobiles résidentielles) LTE, capturent l’identifiant du terminal désigné par l’ISMI (International Mobile Subscriber Identity), ou plutôt celui de la carte SIM fournie par l’opérateur (et qui se traduit en bout de chaîne par le numéro de téléphone). Une fois un terminal identifié dans la zone de couverture de la femtocell, les attaquants peuvent lancer des dénis de service en lui faisant croire que le réseau 4G est inaccessible et le forcer à basculer vers un réseau 2G opéré par une autre femtocell tout aussi illégitime que la précédente. A partir de là, il est alors possible d’espionner les communications du terminal.

« Vous pouvez créer une attaque par déni de service contre les téléphones cellulaires en les forçant à basculer sur de faux réseaux sans services, a ainsi déclaré Wanqiao Zhang lors de sa conférence selon des propos cités par The Register. Vous pouvez faire des appels malveillants et des SMS, […] espionner tout le trafic voix et données. » Les attaques se mettent donc en place à partir d’une série de message émis vers les terminaux ciblés depuis des stations radio montées pour l’occasion par les attaquants. Schématiquement, l’attaque s’apparente à une technique d’Homme-du-milieu (man-in-the-middle) qui permet d’écouter des communications ou lires des SMS.

Le 3GPP réfléchit au problème

La vulnérabilité mise en avant par la démonstration de la chercheuse en sécurité n’est pas nouvelle en soi. Le 3GPP (l’association de standardisation des technologies mobiles) est conscient des faiblesses du GSM (2G) depuis 2006. Un fait que l’organisation accepte pour l’heure comme un risque. Tout en réfléchissant à la question. En mai dernier, le groupe de travail SA WG3 a proposé de renforcer la sécurité des communications en rejetant l’authentification à sens unique et en abandonnant les demandes de chiffrement affaibli des stations de base.

De son côté, Wanqiao Zhang suggère que les constructeurs de terminaux intègrent des mécanismes de rejet des commandes de redirection de stations radio au profit d’un système de recherche automatique pour se connecter à la meilleure antenne disponible. Selon elle, cela empêcherait les attaquants de forcer les terminaux à se connecter à des stations radio malveillantes. Un message d’alerte vers l’utilisateur en cas de basculement forcé de réseau pourrait également constituer une solution alternative pour éviter la mise sur écoute du terminal.


Lire également

portable de Manuel Valls a-t-il été piraté par Israël ?

La NSA, éditeur de spywares pour téléphones mobiles

Comment pirater un code PIN avec une montre connectée

crédit photo © Creativa Images – shutterstock