Le SS7 la faille non colmaté des réseau de téléphonie mobile

Un IMSI-catcher, parfois traduit en intercepteur d'IMSI, est un appareil de surveillance utilisé pour intercepter le trafic des communications mobiles, récupérer des informations à distance ou pister les mouvements des utilisateurs des terminaux. Le terme IMSI-catcher est en réalité non exhaustif, l'appareil permettant de faire bien plus que simplement récupérer le numéro IMSI. Pour arriver à ses fins, un IMSI-catcher simule une fausse antenne-relais en s'intercalant entre le réseau de l'opérateur de téléphonie et le matériel surveillé.

Un IMSI-catcher (International Mobile Subscriber Identity) est un matériel de surveillance utilisé pour l'interception des données de trafic de téléphonie mobile et pour suivre les données de localisation des terminaux et donc de leurs utilisateurs. Un IMSI-catcher simule une fausse antenne-relais en agissant entre le téléphone mobile espionné et les antennes-relais de l'opérateur téléphonique. La spécificité de ce modèle de surveillance, et la raison pour laquelle certaines associations de défense de la vie privée le contestent, est qu'il cible toutes les personnes qui se trouvent dans son rayon d'action. Un IMSI-catcher ne vise pas uniquement la (ou les) personne(s) soupçonnée(s), mais toutes celles qui se trouvent à proximité.
Il s'agit en fait d'une attaque de l'intercepteur. Les IMSI-catchers sont utilisés dans certains pays par la police ou les services de renseignement, mais leur usage est parfois illégal pour des raisons de liberté civile ou de protection de la vie privée. L'IMSI-catcher exploite des faiblesses dans les protocoles de communication 2G, 3G et 4G,dont la faille SS7. Il existe peu de contre-mesures pour se prémunir d'être espionné par un IMSI-catcher, mais son utilisation peut être détectée à l'aide de certains outils.Si cette faille reste non colmaté c'est que c'est surem,ent a cause des investissements que ça occasionne aux cie de réseau mobile, qui ne s'en soucis peu !Certains scandale arriveront comme,l'espionnage du journaliste Patrick Lagacé en 2016 au Québec.

SS7

Sur les réseaux 2G et 3G, Il existe un moyen de connaître la position d’une station mobile grâce à son IMSI en la demandant directement au MSC/VLR grâce à une requête d’information sur un utilisateur par le protocole SS7^{note 12}. Pour cela, il faut d’abord connaître l'IMSI. Il existe un moyen de se procurer l’IMSI d’une station mobile grâce à son numéro de téléphone. Il suffit d’envoyer une demande d’information de routage^{note 13} à la HLR. Si en plus le titre global^{note 14} de la MSC/VLR n’était pas connu, il est récupéré en demandant l’IMSI. Une fois l’IMSI récupéré en envoyant une requête d’information sur un utilisateur à la VLR, elle nous renvoie la position de la station mobile¹⁸.
Il est possible de demander la position d’une station mobile grâce à un numéro de téléphone sans avoir besoin de demander préalablement à une HLR grâce à une requête sur le service de position^{note 15} qui permet aux services d’urgences de connaître la position d’une station mobile. Pour cela il faut s’authentifier à la GMLC (en)^{note 16}, qui transmet la requête au serveur MSC et qui, par le RRLP^{note 17}. Le serveur MSC vérifie l’adresse du service qui fait la demande, mais ne lui demande pas de s’authentifier, ce qui permet de lui demander directement en se faisant passer pour une GMLC¹⁹.
Il est possible de créer un déni de service en connaissant l'IMSI et la VLR. En envoyant des requêtes telles qu’un cancel Location, il est possible d’autoriser ou d’empêcher les appels entrants ou sortants, les SMS, les connexions de données ou juste de supprimer la station mobile de la table²⁰.
Il est possible de rediriger les appels téléphoniques si la station mobile se trouve sur un réseau étranger. Il est alors probable que le réseau de l’opérateur envoie une requête d’insertion de données sur un utilisateur^{note 18} à la VLR du réseau visité contenant l'adresse de la gsmSCF^{note 19} et la liste d’événements à reporter. Il est alors possible pour un adversaire d’envoyer directement ce message à la VLR, pour qu’il indique sa propre gsmSCF, ce qui induit que lorsque la station mobile veut appeler un numéro, il est possible que le réseau visité envoie une demande à la gsmSCF de l’adversaire pour lui demander à quel numéro transférer (cas possible si le numéro appelé n’est pas un numéro international, mais un numéro interne au réseau de l’opérateur). La gsmSCF peut alors renvoyer à un autre numéro (un autre IMSI-catcher) pour pouvoir écouter²¹. Une autre forme de cette attaque serait de faire une updateLocation request à la HLR de l’opérateur pour donner son adresse en tant que VLR²².
Il existe une attaque qui permet de « désanonymiser » les utilisateurs autour d’un IMSI-catcher. Lors d’une paging request, le TMSI (en) est envoyé non chiffré. Si un IMSI-catcher est à proximité, il peut le récupérer²³. Avec cette donnée, il peut faire deux choses :

• demander l'IMSI au MSC avec une sendIndentification request,
• demander la clé de session à la MSC pour pouvoir déchiffrer toutes les données chiffrées qui seront utilisées pour cette connexion.

REF.: