La norme "Global System for Mobile Communications", ou GSM, utilisée par nos téléphone mobile est elle sûre? Plusieurs médias se sont fait l'echo récemment de la polémique sur les terminaux Blackberry utilisés dans des administrations françaises et dont la confidentialité des échanges était remis en cause par une note du émanant du Secrétariat Général de la Défense National. Mais s'il est reproché à ces appareils de ne pas protéger les emails de façon sûre (réfléxion qui mériterait de s'y attarder d'ailleurs), aucune question n'a été soulevée sur la fiabilité de nos communications mobiles de façon générale. Alors l'équipe de Knowckers s'est posée la question: pouvons nous être victimes d'écoutes sauvages sur nos téléphones portables?
Nos découvertes en la matière sont étonnantes. Mais il faut d'abord rappeler quelques principes techniques. Les communications GSM peuvent utiliser trois modes de protection de données:
- Le mode A5/0, les données ne sont pas protégées,
- Le mode A5/1, les données sont protégées par l'algorithme de chiffrement A5/1, la protection la plus forte,
- Le mode A5/2, les données sont protégées par l'algorithme de chiffrement A5/2, un algorithme beaucoup plus faible, pouvant être théoriquement cassé sans nécessiter une puissance de calcul trop importante.
Le mode utilisé en Europe pour protéger nos communications est le mode A5/1, c'est à dire la protection la plus haute. Des attaques théoriques sur cet algorithme ont été publiées dès 2000 mais leur implémentation reste relativement compliquée, un attaquant préférant toujours privilégier la simplicité.
Une solution consiste donc à utilise une technique d'attaque appelée "l'homme du milieu" ou "Man In The Middle" en anglais. Lorsqu'une communication est émise entre un téléphone GSM et un relai, des échanges d'informations sont faits afin que le relai détermine quel est le mode de chiffrement maximum utilisable par le téléphone. En Europe lors d'une conversation normale, ce mode de chiffrement s'établira sur A5/1. Mais que se passe-t-il si un appareil spécial venait à se substituer au relai ? Il suffirait à l'attaquant d'annoncer à votre téléphone que seul le mode A5/0 en clair est supporté pour que la communication soit établie en clair. L'attaquant n'a plus dès lors qu'à relayer votre communication vers le véritable relai afin que tout fonctionne de façon transparente. C'est le principe de l'IMSI Catcher, un appareil d'interception GSM vendu sur le marché environ $150000 et normalement réservé à l'usage des gouvernements. Des rumeurs font état de présence de tels appareils hors des circuits institutionnels, ce qui est toujours possible, mais reste à vérifier.
Toujours plus étonnant, nous avons découvert lors de nos recherches un projet intitulé "The GSM Software Project". Lancé à l'initiative du groupe The Hacker Choice, THC, bien connu des milieux de la sécurité informatique, ce projet a pour but de créer un appareil d'interception GSM pour moins de $1000 estimant que les $150000 demandés par les vendeurs d'IMSI Catcher n'étaient pas justifiés. Leur autre motivation est de démontrer que la sécurisation des conversations GSM n'est pas suffisante.
Ce projet en est encore à ses débuts, la réception et le décodage d'un signal GSM n'étant une chose triviale à faire. Mais une informations issue de ce projet nous a marquée. Il a été demandé aux utilisateurs équipés d'un téléphone et d'un logiciel spécial, de vérifier quel était le mode de chiffrement utilisé dans leur pays lors de leurs conversations ou lors de l'envoi/réception de message SMS. S'il est connu que des pays comme l'Inde n'utilisent pas le chiffrement, les résultats concernant la France sont plus étonnants: alors que tous les pays d'Europe utilisent le mode A5/1 (chiffrement le plus fort) pour la voix et les SMS, un test montre que le mode A5/1 est bien utilisé en France pour la voix mais que les SMS utilisent le mode A5/0 (pas de chiffement). Ces résultats ont été remontés par un utilisateur sur le réseau SFR le 25 Mai 2007 à Grenoble.
Des messages postés en 2005 sur le site Cryptome.org mentionnait déjà l'utilisation du mode A5/0 (en clair) en France. Et baptisait ironiquement ce mode A5/0 du nom de "French Mode". L'utilisation de ce mode étant apparement fait à la demande de la DST pour faciliter ses écoutes sans avoir à recourir à une procédure judiciaire.
Nous avons entrepris de nous procurer le téléphone et le logiciel permettant de vérifier quel était le mode de cryptage utilisé lors d'une conversation. Nous ne manquerons pas de publier nos résultats surtout s'ils sont, disons, amusant!
Commentaires
Réponse
En fait effectivement. Encore une fois, je ne suis pas assez précis (et à vrai dire le format "commentaire" n'est pas vraiment adapté à cette conversation particulièrement intéressante). Il faut effectivement coupler le banc de test à un emetteur, et ce n'est pas vraiment la partie la plus facile, j'en conviens. Pas besoin de déranger Rohde et Schwartz, leur produit est juste devant moi en ce moment même.
En tout les cas, j'appréçie vos réponses qui montrent que vous vous êtes réellement penchés sur le sujet. Encore une fois, je vous prie d'excuser mon premier commentaire que je n'aurai pas du poster.
Réponse à la réponse
Le fonctionnement d'un banc de test n'est PAS le même qu'un IMSI Catcher. Le banc de test permet de simuler une base, c'est exact, mais il ne sait pas réemettre l'appel vers une base légitime, ça c'est justement le principe de l'IMSI Catcher. Rohde et Schwartz vous le confirmeront car ils vendent aussi des IMSI Catcher, mais pas au grand public et pas au même prix que les appareils de test!
Voilà donc une démonstration que ces sujets sont très compliqués, mais je suis d'accord avec vous pour dire que compliqué ne veut pas dire impossible!
Les progrès du projet GSM Software Project sont donc à surveiller de très près, ils risquent de nous étonner.
----
Nicolas Denis
knowckers.org
Réponse
En fait, le fonctionnement d'un banc de test est le même que celui d'un IMSI Catcher, en beaucoup plus simple, et plus limité.
Pour le test, l'appareil émet un réseau GSM (configurable ou non selon les appareils) capable de gérer 1 à 5 téléphones (en général un seul) sur une distance de quelques mètres (souvent un seul) dans le but d'effectuer toutes les mesures nécéssaires. Ce n'est pas certe pas comparable à un appareil dont la fonction première est celle d'un IMSI Catcher, mais placé dans une pièce cela peut parfaitement suffir. Tout dépend de l'utilisation et je ne pense pas qu'un particulier ai pour but d'espionner plus d'une ou deux personnes.
En ce qui concerne le cryptage, je n'ai pas encore testé et il est clair que la durée d'1s n'est autre qu'un résultat mathématique qui ne tient compte que des conditions physiques parfaites. C'est exactement la même chose pour le wifi : durée théorique 10 minutes pour du WEP 128 bits, dans la pratique, ca peut aller à 20 minutes si le wifi est actif (beaucoup plus s'il ne l'est pas, mais dans ce cas, ce n'est plus comparable au GSM). Cela dit, si une machine grosse comme le cartable d'un écolier le fait en direct en plus de toutes les autres fonctionnalités qu'elle possède, je pense que c'est réalisable avec un PC d'aujourd'hui. Mais vous avez raison d'être sceptique, je m'avance peut-être de trop.
Oublions le reste, fruit de la mauvaise humeur accumulée pendant une (trop) longue journée de travail.
Mon propos sur l'IE ne doit pas être interprété dans le cadre de cet article.
Pierre-Olivier Dybman
http://blog.cr0vax.be/
Merci pour votre
Merci pour votre commentaire, très intéressant. Il est bien entendu que le terme IMSI-catcher désigne un type d'appareil et n'est pas la marque d'une machine en particulier. Par contre les références que vous citez (CTS55 de chez Rohde et Schwartz) cela n'a rien à voir avec un IMSI Catcher. Ce sont des appareils de tests pour vérifier le bon fonctionnement d'un appareil GSM (utilisé par les fabricants d'appareils par exemple). Ils ne permettent en aucun cas d'intercepter une communications à l'insu d'un utilisateur comme le permet un IMSI Catcher. Heureusement, cela me ferait peur si n'importe qui pouvait acheter un intercepteur de GSM pour moins de 15000€ sans aucun contrôle!
Sur les précisions des faiblesses des algorithmes A5/1 et A5/2 je suis tout à fait d'accord avec vous. Encore que j'attende encore de voir une démonstration en conditions réelles du cassage de A5/1 en quasi temps réel (avec un simple PC)! Les conditions de tests que vous évoquez sont des attaques basées sur du clair connu. Cela fait une très grosse différence.
Quant à votre remarque sur l'IE (Intelligence économique je suppose), je ne comprends pas le rapport avec cet article. Et dire que le grand public est déconnecté de la réalité technique, c'est justement pour sensibiliser que nous rédigeons de tels articles. Et excusons les citoyens de ne pas tous être Dr en cryptographie!
Bref en conclusion, vous vouliez souligner que les interceptions GSM sont une réalité, je suis 100% d'accord avec vous, et si l'article vous semble minimiser ce risque, ce n'était pas le but, au contraire.
Par contre vous faîtes quelques raccourcis. Avez-vous vu une communication A5/1 cassez en temps réel avec un PC de 1999? J'en doute...
----
Nicolas Denis
knowckers.org
cr0vax
pfiou ...
D'abord IMSI-Catcher n'est pas le nom d'une machine mais d'un type de machines ...
Et il y a des appareils qui coutent bien moins cher :
CTS55 (Rohde & Schwarz) à moins de 15 000€ (donc 10x moins que ce que vous annoncez ...)
GA900, trouvable d'occasion pour pas grand chose ...
Enfin en matière de cryptage, il y a encore des choses à revoir sur votre article car :
# en août 1998, le mécanisme A5/2 est mis en défaut par le groupe de Berkeley en 216 opérations ;
# en mai 1999, A5/1 est réduit à 240 opérations, permettant de casser le chiffrement en temps réel en utilisant des composants dédiés ;
# enfin en décembre 1999 une méthode est publiée (3) (21) dans laquelle un PC grand public équipé de 128 Mo de mémoire et de disques durs de 73 Go est capable de casser A5/1
En clair, il faut à peu près 1s pour casser les deux types de cryptage utilisés par la norme GSM. Il y a même des entreprises qui vendent du matériel qui fait tout ça de façon automatique :
http://www.global-security-solutions.com/ProA-GSMInterceptandTracking.ht... Bon 420 000$ et vente contrôllée, mais si une entreprise privée le fait, n'importe quel ingénieur est capable de le faire.
Votre wifi est mieux protégé.
Voilà ce que j'ai tendance à reprocher à l'IE tel qu'elle est présentée aujorud'hui : déconnectée de la réalité technique.
Pierre-Olivier Dybman
http://blog.cr0vax.be
Poster un nouveau commentaire