Open in app

Sign in

Write

Sign in

L’IMSI Catcher, des anciennes générations à la 5G

Wanting Du & Ghali Kabbadj
INSA TC
Published in
9 min readNov 2, 2020

Moins de 1500 euros, voici ce que peut coûter aujourd’hui un IMSI Catcher. Ce dispositif, permettant de se substituer à une station de base et donc, entre autres, d’écouter les conversations téléphoniques aux alentours, est à l’origine très utilisé des services de l’Etat. En effet, il est mis en place autant par la DGSI pour déjouer des attentats [1], que pour traquer des terroristes (comme en 2015, lors de la traque des frères Kouachi [2]), qu’également par la police lors de manifestations [3] ou même encore par l’armée sur les terrains d’intervention pour de la localisation de combattants ennemis [4]…

Aujourd’hui, c’est aussi et surtout principalement une grosse faille de sécurité des réseaux mobiles permettant, parfois un peu trop facilement (le prix évoqué ci-dessus en atteste, même si les versions les plus évoluées peuvent coûter jusqu’à 100000 euros…), aux hackers d’accéder à nos conversations et donc d’en faire un usage illégal. Ainsi, pour tenter de comprendre ces dispositifs, nous allons dans un premier temps voir quelques concepts de réseaux mobiles, expliquer le type d’attaque dont fait partie l’IMSI Catcher, pour ensuite détailler son fonctionnement, sa composition et finir par des pistes de solutions, autant pour les réseaux que pour les utilisateurs.

L’attaque Man-In-The-Middle

Pour comprendre l’idée de base de l’ISMI Catcher, il faut commencer par connaître le principe de l’attaque MITM.

La Man-in-the-middle Attack (MITM) est une attaque très souvent utilisée pour permettre à l’attaquant d’écouter illégalement le canal. L’objectif ici de l’attaquant est de se placer au milieu de la communication entre deux parties, pouvant ainsi intercepter les communications entre celles-ci sans que personne ne se doute que le canal de communication a été compromis. Étant l’homme au milieu, en se faisant passer pour l’une ou l’autre des deux parties, l’attaquant fait croire aux deux parties qu’il est la personne avec laquelle communiquer, et peut donc facilement écouter ou même modifier les messages passants.

Le principe de cette attaque, dont l’IMSI Catcher fait partie, exploite le fait que dans les réseaux mobiles de toutes générations, les stations de base doivent régulièrement diffuser des messages d’information (messages dits de broadcasting) à propos du réseau. Les appareils déjà connectés ou souhaitant se connecter au réseau écoutent ces messages et utilisent ces informations pour se connecter ou maintenir leur connexion en bon état. Le problème est qu’à l’heure actuelle, ces messages ne sont pas protégés et donc ne permettent pas de s’assurer de la confidentialité, authenticité ou intégrité des réponses reçues. Le même problème d’absence de sécurité existe d’ailleurs également pour certains messages adressés à un utilisateur unique (messages dit d’unicasting).

Illustration de la MITM attack de façon générale

(Source : https://www.thesslstore.com/blog/man-in-the-middle-attack-2/)

L’IMSI Catcher, principes et utilisations

Ainsi, dans le cas de l’IMSI Catcher (également connu sous le nom de FBS, ou False Base), la cible ici est d’identifier l’IMSI, ou International Mobile Subscriber Identity, du plus d’utilisateurs possibles. C’est un numéro unique, qui permet, bien plus que le numéro de téléphone que l’on connaît tous, à un réseau de téléphonie mobile de type GSM (2G) , UMTS (3G) ou LTE (4G) d’identifier de façon unique un usager. Un IMSI Catcher est un appareil de surveillance utilisé pour intercepter le trafic des communications mobiles.

Une fois l’IMSI obtenu, ces dispositifs agissent comme de fausses tours cellulaires, et trompent l’appareil d’une cible pour se connecter à celle-ci, puis relayer la communication à une tour cellulaire réelle de l’opérateur réseau. Ils sont capables de rechercher des informations sur un téléphone mobile appairé et situé dans un rayon déterminé. Une fois les équipements des utilisateurs entrés dans la zone de l’IMSI Catcher, ils peuvent être soumis à la fois à des attaques passives et actives.

Principe de base d’une FBS

(Source : https://pdfs.semanticscholar.org/e512/89ebcb855a4d3eb80f9d786cde11fd0c98f2.pdf)

Parmi les attaques passives, on peut citer de l’interception de conversations, de données sensibles pouvant être transmises à la station de base, tout en pouvant faire du vol d’identité ou de la géolocalisation d’utilisateurs… Ainsi, pour l’exemple des militaires donné en introduction, l’idée est qu’en montant des IMSI Catchers sur des drones, cela permet d’au mieux écouter les conversations et au pire de localiser les combattants ennemis, en comparant les différentes puissances de signal reçues durant le survol d’une zone connue comme étant hostile.

Ensuite, pour les attaques actives, on peut ainsi non seulement penser à une attaque avec un vrai rôle MITM, mais également une attaque de type MOTS, ou Man-On-The-Side. Différente de l’attaque MITM qui va plus chercher à modifier ou écouter des communications, l’attaque MOTS va alors plus souvent chercher à utiliser le moyen obtenu de contacter l’utilisateur (avec son IMSI tout juste obtenu) pour lui envoyer des messages malveillants [5]. Un cas d’utilisation assez courant est d’envoyer des messages publicitaires avec un faux numéro de téléphone, pouvant par exemple faire croire à un message de confiance venant de l’opérateur, menant à un lien de phishing où l’objectif sera de récupérer des informations confidentielles du client.

Dans la pratique, une exploitation des vulnérabilités antérieures

Bon, on en arrive à la question suivante : comment est-ce que dans la pratique les attaquants arrivent à se faire passer pour une BS et intercepter nos communications ?

En réalité, les IMSI Catchers visent surtout des téléphones connectés en GSM de 2G en raison d’une faille dans ce protocole. En effet, il faut savoir que les téléphones mobiles sont toujours à la recherche de la tour mobile avec le signal le plus fort pour fournir la meilleure commutation. Dans le même temps, lorsqu’un appareil se connecte à une tour cellulaire, il s’authentifie à elle via son numéro IMSI. Cependant, la tour n’a pas à s’authentifier en retour. C’est pourquoi qu’à chaque fois que quelqu’un place un appareil qui agit comme une tour cellulaire près de votre téléphone, il se connecte à elle et lui donne son IMSI, sans vérifier l’authenticité de cette tour. De plus, même si l’IMSI n’est pas transmis en clair, les algorithmes de cryptage utilisés en GSM sont de la famille A5, dont la faible longueur de la clé rend ce protocole, notamment au vu de l’amélioration des capacités de calcul, sujet aux attaques [6].

Pour exploiter cette faille existant en 2G dans les générations successives, l’idée sera de manipuler la connexion téléphonique d’une cible (en brouillant par exemple les fréquences liées à la 5G, ou en forçant un déni de service sur les générations ultérieures pour forcer un passage en 2G) pour la pousser à rétrograder vers les générations antérieures, sur lesquels les pirates pourraient utiliser des failles non résolues dans ces anciens réseaux pour mener des attaques.

Dans les générations suivantes, l’authentification devient bidirectionnelle, donc beaucoup moins vulnérable par rapport qu’en 2G. Ce n’est cependant pas la garantie d’une sécurité parfaite pour les autres générations. Une attaque MITM a ainsi pu être proposée en 3G, permettant à un attaquant d’usurper l’identité d’une station de base GSM valide à un abonné UMTS indépendamment du fait que l’authentification UMTS et l’accord de clé ont été utilisés[7].

Composition standard d’un IMSI Catcher

Présentons désormais comment quels équipements composent un IMSI Catcher. De façon assez simple, il peut être composé d’un émetteur-récepteur sans fil (avec des équipements tels RTL-SDR, Hackrf ou encore USRP), d’un ordinateur portable et d’un téléphone cellulaire [5]. De façon quelque peu simplifiée, l’émetteur-récepteur va envoyer des faux messages de diffusion dans l’air. Or, et comme on peut sur l’illustration précédente, dans une certaine aire autour de celui-ci (une aire généralement plus petite qu’une BS normale), le signal sera plus fort pour les téléphones. Ils voudront donc, pour optimiser leur signal comme indiqué dans le protocole, s’y connecter.

À partir de là, l’ordinateur lié à cet émetteur-récepteur (un simple lien USB suffit) va alors contrôler celui-ci, notamment sur les bandes de fréquences sur lesquelles il émet, ou encore la puissance du signal, tout ceci pour imiter au mieux une BS légitime. Le téléphone sera lui surtout utilisé pour capter les messages venant de BS légitimes, ce qui permettra à l’ordinateur de mieux contrôler l’émetteur-récepteur. On voit ainsi bien que cette technologie est, dans un premier temps, dangereuse de par sa simplicité (car pouvant être assez facilement caché dans un sac à dos, ou fixé sur un poteau de rue).

Un IMSI Catcher simple

(Source : https://arxiv.org/abs/1510.07563)

Pour résumer ce que l’on vient d’expliquer sur les IMSI Catcher, l’image suivante est assez parlante :

Résumé de l’usage d’un IMSI Catcher

(Source : https://www.lemonde.fr/pixels/article/2015/03/31/que-sont-les-imsi-catchers-ces-valises-qui-espionnent-les-telephones-portables_4605827_4408996.html)

Solutions technologiques et pistes

Nous allons finir cet article en vous présentant différentes solutions à cette attaque, en commençant par voir les pistes explorées par les précédentes générations, puis évoquer celles pour la 5G.

Lorsqu’on veut évoquer les solutions à cette attaque, deux axes principaux sont abordés. Dans un premier temps, il faut penser à améliorer les protocoles utilisés dans ce processus d’authentification au réseau mobile. On peut ainsi penser à une amélioration des algorithmes de cryptage dans les générations ultérieures, notamment au vu de la faiblesse d’algorithmes comme A5. Dans un second temps, on peut tout simplement faire une chasse aux IMSI Catchers, et ce travail est souvent pris en charge par des autorités telles que les services de police ou les opérateurs mobiles.

Pour la 5G, on peut principalement citer deux innovations :

  • On peut commencer par l’Increased Home Control. C’est une fonction permettant de vérifier qu’un utilisateur connecté au réseau en roaming (soit authentifié dans le réseau, mais se connectant depuis un autre réseau, généralement à l’étranger) est toujours connecté au bon réseau. En effet, en 3G/4G, un attaquant pouvait se faire passer également pour un réseau (pas simplement une station de base) légitime, et donc demander son IMSI à l’appareil. L’idée ici est que le réseau légitime détecte que les informations lui venant de l’utilisateur proviennent d’un réseau pirate, et fasse donc remonter cela à l’utilisateur.
  • Également, on a introduit en 5G un équivalent à l’IMSI actuel, le Subscriber Permanent Identifier (ou SUPI). Celui-ci n’est jamais transmis dans l’air durant l’établissement d’une connexion, contrairement aux réseaux 3G et 4G où l’IMSI était transmis avant même la fin de l’authentification avec le réseau. Ainsi, au lieu de transmettre le SUPI, et jusqu’à la confirmation de l’authentification (ce qui permettra à l’appareil d’être également sûr d’être connecté au bon réseau), on transmet ce qu’on nomme le Subscription Concealed Identifier (ou SUCI). On pourra alors ainsi après cela transmettre le SUPI et utiliser les services du réseau.

De façon plus générale, en tant qu’utilisateur lambda, si certains des éléments suivants sont observés, on peut penser que son équipement subit actuellement une attaque venant d’un IMSI Catcher [8] :

  • La puissance du signal de votre téléphone varie très rapidement, et de façon non régulière
  • Votre téléphone bascule inexplicablement au réseau 2G sans raison apparente
  • Votre téléphone reçoit beaucoup de SMS suspects censés venir de votre opérateur, mais inhabituels de la part de celui-ci, menant à des liens URL pouvant être louches
  • Malgré un signal fort, votre téléphone ne peut ni émettre ni recevoir d’appels, et n’a pas non plus d’accès Internet

Enfin, vous pouvez également installer sur votre téléphone certaines applications détectant des IMSI Catchers, tels Osmocom, SnoopSnitch, Cell Spy Catcher ou GSM Spy Finder [9].

Conclusion

Nous nous sommes ainsi concentrés, sur cet article, à l’IMSI Catcher, mais il faut évidemment savoir que de nombreuses autres failles subsistent encore, non seulement en 5G mais également dans les générations précédentes (avec toujours cette possibilité de rétrogradation tant que les réseaux antérieurs seront encore en service).

Avec les immenses enjeux économiques liés à la 5G que l’on connaît tous, on peut conclure en montrant que le travail de sécurité sur les réseaux mobiles est encore long (avec de nombreuses attaques encore possibles) comme en atteste l’image ci-dessous, et en citant un chercheur connu sous le nom de SwitHak, qui pense non seulement aux dangers d’un réseau tel que la 5G pour nos données, mais également à de futurs réseaux : “ Déjà, avec des débits de l’ordre de plusieurs gigabits/seconde, se prémunir d’une l’exfiltration de données ne sera pas une mince affaire, ironise-t-il. Mais avec des terabits/seconde [en pensant à une future 6G], comme le prévoient les comités de spécifications, très optimistes, je n’ose pas imaginer à quelle vitesse on pourrait vider un datacenter.[10].

Liste des failles de sécurité énumérées par les chercheurs pour la 5G

(Source : https://www.5gamericas.org/wp-content/uploads/2019/07/5G_Americas_5G_Security_White_Paper_Final.pdf)

Secu2020

--

--

Wanting Du & Ghali Kabbadj
INSA TC

Written by Wanting Du & Ghali Kabbadj

2 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams