GSM

Qui peut couter mon portable?

Reinhard Wobst

L'article est disponible sous la forme lctronique seulement pour les abonnes du magazine Hakin9. Magazine Hakin9, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, piotr@software.com.pl

Article publi dans le numro 1/2004 du magazine Hakin9.

Tous droits rservs. La diffusion sans l'accord de l'diteur est interdite.

Qui peut couter mon tlphone mobile ?

Reinhard Wobst

Cet article traite de la scurit des tlphones mobiles dans le sens gnral. Est-ce possible d'couter votre conversation ? Quels appareils sont ncessaires pour cela ? Une personne malintentionne peut-elle se servir de votre numro de tlphone ? Quelles donnes prives peuvent tre rvles pendant l'utilisation d'un tlphone mobile ?

es tlphones mobiles bass sur le standard GSM (appel aussi tlphones numriques cellulaires) sont utiliss par environ 800 millions de personnes dans le monde (ce nombre augmente trs vite et peut tre bientt dpass). Presque chaque tlphone mobile ordinaire que vous pouvez trouver dans l'Europe de l'Est ou d'Ouest est bas sur ce standard. Alors, chaque trou de scurit dans ces tlphones est critique car il est trs difficile rparer : les algorithmes et les protocoles sont assigns au matriel et, de cela, il est impossible de mettre jour un billion d'appareils tlphoniques (c'est--dire : changer) comme un programme de scurit quelconque. Nous pouvons croire que l'algorithme de chiffrement A5 qui est utilis pour chiffrer le trafic radio dans les tlphones GSM est un algorithme de chiffrement le plus utilis dans le monde. Une faille de scurit dans cet algorithme peut tre lourde de consquences. Est-ce vrai ? A5 est faible ! Mais pas de panique, il n'est pas du tout facile d'couter vos conversations tlphoniques par les amateurs. Au moins, pas dans les cinq prochaines annes.

La scurit ne signifie pas seulement de rendre difficile l'coute de nos conversations. L'authentification est aussi importante, comme la preuve d'identit. Si cela n'est pas sr, les autres peuvent tlphoner vos frais. Mais y peuvent-ils ? Oui, ils peuvent bien ! Mais ce n'est pas si facile que a et vous pouvez le prvenir. Enfin, votre tlphone peut tre localis. Cela signifie que votre fournisseur de services mobiles peut localiser votre tlphone avec, thoriquement, une assez grande prcision. Cette possibilit rsulte de la topologie du rseau. Ce n'est pas question de scurit dans le sens plein du mot. Pourtant, du point

Attaque

Auteur
Lauteur tudiait les mathmatiques et il a soutenu sa thse de doctorat en processus stochastiques. Maintenant, il soccupe de la cryptographie, de la scurit des donnes et de la programmation en C/C++ et en langages script sous UNIX. Il cre les programmes scientifiques et industriels et est connu comme auteur de plus de 150 articles et livres sur la cryptologie.

58

www.hakin9.org

Hakin9 N O 1/2004

Scurit GSM

Figure 1. Dans chaque cellule, vous pouvez trouver exactement une station de base (B), ventuellement les rpteurs (R) et, quelque part, des tlphones de vue de votre scurit, il est trs important avec quelle prcision la localisation est effectue et, avant tout, qui se servira de cette information. Vous ne pouvez rien changer mais vous devez connatre diffrents trucs et astuces. La localisation est l'une des plusieurs possibilits offertes par l'ge de l'information venir. Alors, ne vous attendez pas pouvoir pirater les tlphones GSM aprs avoir lu cet article. Les personnes qui travaillent dans les services secrets peuvent vous fournir des moyens ncessaires, mais je crois qu'elles ne sont pas autorises le faire. Pourtant, vous comprendrez mieux comment les tlphones GSM fonctionnent et quels dangers sont rels ou seulement hypothtiques. base prsent sur la figure 1 est probablement bien connu : le rseau constitu des postes appels stations de base divise le territoire en cellules virtuelles ; une seule station de base se connecte tous les tlphones mobiles l'intrieur de la cellule. Dans les valles, grands btiments, voies sousterraines, etc., vous trouverez souvent les rpteurs. Ce sont des stations relais et aident rmettre le signal reu plus loin. Thoriquement, chaque station de base peut recevoir et mettre simultanment sur environ 140 canaux. C'est une limite technique. La bande de frquences pour les tlphones GSM est dtermine dans la spcification, les frquences des cellules adjacentes sont diffrentes et chaque canal doit disposer d'une bande passante minimale. En pratique, on utilise moins de canaux. Mais vous comprenez pourquoi les cellules dans les villes combles sont petites parfois, elles ont le diamtre d'environ 100 mtres

et peuvent tre trs grandes (d'environ 20 km) dans les endroits ruraux. Un exemple extrme d'une cellule est la foire CeBIT Hannover o sur une surface de quelques kilomtres carrs le nombre de tlphones utiliss simultanment est comparable celui utilis dans une ville d'un million d'habitants comme Colonia. Les explications sont encore insuffisantes. Chaque canal est divis en huit sous-canaux suivant le temps partag. Cela signifie que huit tlphones peuvent utiliser la mme frquence ; la station de base affecte un intervalle de temps chaque tlphone. Chaque intervalle dure 4.6 millisecondes. Thoriquement, environ 1000 personnes peuvent tlphoner dans une cellule de la base en mme temps. Et ce n'est pas toutes les complications : la frquence peut changer pendant la communication ce qui est appel saut de frquence. Cela rend le travail des pirates plus difficile et, en mme temps, a une application pratique. Si les ondes radio sont brouilles par certaines obstacles (comme un pont ou un btiment en verre et acier), une autre frquence peut mieux convenir. Le systme entier est constamment optimis la puissance du signal de votre tlphone est ajuste la qualit de rception de la station de base ou d'un rpteur, la frquence change et mme la station de base et le dbit peuvent changer. Vous comprenez maintenant qu'il n'est pas possible de capturer le trafic radio l'aide des dispositifs amateurs.

Authentication

Comment fonctionne le systme GSM ?

GSM est un standard trs complexe. La documentation respective compte plus de 7000 pages. Le principe de

Nous avons vu approximativement comment fonctionne l'interface radio. Et quant au traitement des donnes ? Votre voix est numrise, compresse de faon trs efficace, chiffre et envoye en paquets de 114 bits chacun. Avant cela, les deux parties (le tlphone et la station de base) doivent dterminer une cl de chiffrement, de plus l'authentification de votre tlphone est effectue. Le

Hakin9 N O 1/2004

www.hakin9.org

59

Figure 2. Lauthentification et la gnration de la cl (voir les explications dans le texte) processus entier est prsent sur la Figure 2. Un lment critique de la scurit est votre petite carte SIM. Le tlphone seul n'est qu'un type de fournisseur de services (afficheur, clavier, interface radio...). Votre carte SIM possde un numro de srie unique et une cl secrte de 64 bits gravs. De plus, deux algorithmes cryptographiques ont t implments : A3 et A8. Le numro de srie est votre vrai numro de tlphone. Votre fournisseur le transcrit de faon logique en numro pouvant tre lu par les humains (pourtant, vous pouvez garder votre numro quand vous changer votre carte SIM). La relation est similaire celle entre les numros inode et les noms des fichiers sous UNIX/ Linux. Aussi la protection via PIN constitue un petit ordinateur l'intrieur de la carte SIM. La cl secrte est physiquement protge contre la lecture de l'extrieur. Je ne sais pas quelles astuces ont t utilises pour atteindre ce but (et elles peuvent changer), mais elle est conu de faon trs robuste. Probablement, il faudrait dtruire la carte SIM pour extraire directement la cl secrte. Cette cl secrte est la base du systme de protection GSM. Vous l'obtenez de votre fournisseur avec la carte au moment o vous l'achetez. Votre fournisseur sauvegarde aussi les cls sur les disques durs de ses ordinateurs et j'espre qu'elles sont bien protges. Les cartes SIM sont un simple moyen de distribution des cls. La cl de chiffrement publique (voir [5]) pourrait tre trop lente, trop chre et inutile dans notre cas. Quand vous allumez votre tlphone, celui-ci envoie le numro de srie de votre carte vers la station de base la plus proche. Cette station de base l'envoie ensuite vers les ordinateurs centraux de votre fournisseur qui connat le numro de la cl secrte correspondant et vous renvoie un numro alatoire RAND. Votre carte SIM calcule la signature SRES = A8(RAND, cl) et l'envoie vers la station de base. Entre temps, la station de base reoit SRES de la part des ordinateurs centraux. Si le rsultat est conforme votre SRES, vous tes authentifis. Vous devez seulement connatre la cl, outre le fournisseur lui-mme. Celui qui ne connat pas

Attaque

60

www.hakin9.org

Hakin9 N O 1/2004

Scurit GSM

Figure 3. Algorithme de chiffrement A5 la cl, ne sera pas capable de calculer SRES. En mme temps, votre carte SIM et les ordinateurs centraux calculent aussi la cl de chiffrement Kc = A3(RAND, cl). C'est un numro cod sur 64 bits qui sert comme code de dchiffrement. La cl Kc est envoye ensemble avec SRES vers la station de base. Dsormais, toute la communication est dchiffre par l'algorithme A5 (qui est implment dans l'appareil tlphonique pour raison de performance), l'aide de la cl Kc.

Aspects de la scurit

Vous voyez comme dans le chiffrement de la cl publique, aucune information secrte n'est transfre en texte clair sur le canal radio non scuris et votre cl secrte ne quitte mme pas les ordinateurs centraux du fournisseur. Et qu'est-ce qui se passe dans le cas o vous appelez

de l'tranger, au sein des rseaux des fournisseurs trangers qui ne connaissent pas votre cl secrte ? Si vous allumez votre tlphone dans le rseau d'une socit qui a le contrat de roaming avec votre fournisseur, ce rseau reconnat qui le tlphone appartient et demande le triplet appropri [RAND, A3(RAND, cl), A8(RAND, cl)] dans votre pays d'origine. Cela explique pourquoi la premire connexion un rseau tranger peut durer quelque temps et la seconde fois, elle est si rapide comme une connexion ordinaire (si le rseau tranger n'a plus de triplets, de nouveaux numros sont requis temps). Remarquez : encore une fois votre cl secrte n'est pas rvle, mme au fournisseur de confiance. Nous avons montr que A3, A8 et A5 sont srs, alors tout le systme est presque sr. Il n'existe que quelques points faibles : Votre tlphone est authentifi dans votre station de base, mais pas inversement. Le tlphone n'est pas capable de notifier qu'il se connecte une fausse station de base. Pour cela, on utilise le numro d'abonn IMSI (voir dan sla suite de l'article). Cette fausse station de base ne connat pas votre cl mais elle peut extraire les informations de la phase initiale de la conversation et contraindre votre tlphone faire des choses que vous ne voulez pas, p. ex. dsactiver le chiffrement. Les paquets de donnes n'ont pas de sommes de contrle cryptographiquement fortes. Le numro d'abonn IMSI peut les falsifier (nous allons en parler dans la suite) et renvoyer vers la station de base. C'est l'attaque man-in-the-middle typique. Les paquets de donnes possdent des numros de squences non protgs. Cela permet l'attaquant de renvoyer vos paquets encore une fois (on ne sait pas pourquoi).

Algorithme de chiffrement A5
La figure prsente le registre LSFR (en anglais linear feedback shift register) qui se traduit en franais comme registre dcalage rtroaction linaire dont la longueur est de 19 bits. Au dbut, ce registre a une cl (dans cette exemple, elle est longue de 19 bits). Le dchiffrement dun bit se fait comme suit : dans la boucle, les bits 12, 17, 18 et 19 sont soumis lopration or exclusif et le rsultat est mis dans le bit de position 1 aprs tous les bits 1...18 qui ont t dplacs dune position vers la droite. Lun peut utiliser ce produit XOR de quatre bits, appel rtroaction, comme bit-cl ou bit suprieur. Cette cl-bit est soumise lopration XOR avec un bit de texte, et en rsultat, on obtient le bit chiffr. Toute cette procdure est ensuite rpte pour le bit de texte suivant, et ainsi de suite. La scurit dpend de la longueur du registre et des positions du bit qui est appele squence de drivation (en anglais : tap sequence). Mais un simple chiffrement LSFR est assez faible (les informations plus dtailles sont disponibles dans [13]). Les algorithmes modernes utilisent les nonlinarits. Dans le cas de lalgorithme A5, nous avons trois LFSRs de longueur 19, 22 et 23 bits (ensemble, il constituent la cl de 64 bits) avec diffrentes squences de drivation. A la sortie, on obtient le produit XOR des bits moyens, p. ex. ceux des positions 10, 12 et 12. Le bit de seuil est mis 1, si au moins un bit moyen est mis, autrement, il est mis 0. Chacun de ces trois LFSR est trait, si son bit moyen est diffrent du bit de seuil. Cest de la non-linarit et tout cela constitue justement lalgorithme A5 (le mlange initial na pas t dcrit dans cet article). videmment, cet algorithme est bon dans le cas des appareils, et de plus, fonctionne trs rapidement dans vos tlphones. Vous pouvez aussi trouver une simple implmentation en C dans la bible [13] de Schneier ou sur le CD disponible sur le Web [5].

Hakin9 N O 1/2004

www.hakin9.org

61

Comment cracker l'authentification ?

L'attitude scurit par obscurit, p. ex. laisser les algorithmes en cachette, n'a jamais t utile pour la scurit (outre quelques services secrets expriments comme NSA). C'tait le destin des algorithmes A3 et A8. Ils n'taient jamais publis dans les spcifications GSM ni rendus public. videmment, les algorithmes trs frquemment utiliss ne pouvaient pas rester trop longtemps secrets, et enfin, ils ont t rvls. prsent, les jeunes cryptologistes Goldberg et Wagner de Berkeley ont eu besoin d'un seul jour (notamment April 13th, 1998) pour y trouver des faiblesses [1]. Ils soulignaient que leur approche n'tait pas si novatrice et que chaque bon cryptanalyste pourrait trouver des trous de scurit. L'attaque de Goldberg et Wagner exigeait accs la carte SIM qui, quant elle, reoit les arguments dentre RAND. En fonction des rponses SRES obtenues, les numros RAND ont t envoys de nouveau, et ainsi de suite. Aprs environ 150.000 cycles similaires, la cl secrte a t rvle et toute la scurit du tlphone s'en est alle. Le pirate est capable d'muler la carte SIM l'aide d'un ordinateur PC connect un tlphone quelconque et peut utiliser votre tlphone pour appeler les lignes roses surtaxes. Ou bien, commander 50 pizzas et 74 livres de Harry Potter qui seront livrs chez vous. Ou encore, faire quelques mchants appels tlphoniques votre nom. L'attaque dcrite fonctionne en pratique ce qui a t montr par German Chaos Computer Club. Est-ce vraiment si facile ? Non. La carte SIM n'est pas un superordinateur et pour effectuer environ 150.000 appels, il faut peu prs 8 heures. L'attaquant doit prendre votre tlphone pendant ce temps sans que vous vous en rendiez compte (mais vous pouvez appeler votre fournisseur

Quest-ce que cest quun capteur IMSI ?

IMSI se traduit comme International Mobile Subscriber Identity et cest simplement le numro de srie de votre tlphone, ce qui a t dj mentionn dans cet article. Dautre part, lIMSI-catcher nest pas un quipement despionnage typique, malgr son nom. Il est utilis pour effectuer les mesures et plutt inoffensif sans lantenne externe. Les ingnieurs sen servent pour simuler la station de base afin de tester les tlphones mobiles. prsent, vous pouvez acheter ces appareils aux dimensions dune valise chez Rohde & Schwarz au prix de 10000 EUR. En tant qu appareil de mesure, il peut tre export. Cet IMSI-catcher connat la plupart (ou bien tous) des protocoles GSM, ainsi que linterface radio, y compris les bonds de frquence. Pourtant, il peut tre utilis de faon impropre, sil est quip dun amplificateur et dune antenne. Alors, il peut devenir une station de base pour tous les tlphones mobiles dans un rayon de 300m, et il peut devenir un tlphone pour une station de base successive. Dans la cryptographie, ces attaques sont appeles attaques manin-the-middle. La premire possibilit : en donnant le numro dun tlphone quelconque ce dispositif, vous tes capables de capturer les numros IMSI de tous les tlphones dans le voisinage. Cela exige une intervention active parce que normalement, pour des raisons de scurit, les tlphones utilisent lidentit temporaire appele TMSI (Temporary Mobile Subscriber Identities). Alors, la police qui se sert dIMSI-catcher peut savoir qui a le tlphone allum dans le voisinage, sans quil soit suspect ou pas (pour se faire, elle doit connatre la relation entre IMSI et le numro de tlphone). videmment, une telle utilisation peut troubler de faon importante le trafic GSM, et beaucoup de personnes non concernes peuvent tre observes. Officiellement, en Allemagne cet usage est interdit (mais probablement pratiqu malgr tout). Lautre possibilit envisage dans larticle consiste forcer les tlphones utiliser le chiffrement faible A5/2 la place de A5/1. Il est galement possible de dsactiver totalement le chiffrement. Un de mes amis, plusieurs fois a vu un point dexclamation sur lafficheur dun tlphone Siemens. Conformment la documentation, cela signifie que le chiffrement a t dsactiv. Un expert a t trs tonn quand il a appris a. Nous ne savons pas exactement quest-ce qui sest pass en ralit, mais nous vous conseillons de rester vigilant en voyant des choses pareilles. Certes, les IMSI-catchers peuvent tre aussi utiliss pour lcoute passive. Cela a du sens, si vous pouvez cracker A5/1 comme dcrit dans larticle. Nous pouvez deviner que les personnes ingnieuses sont capables de construire des dispositifs moins chers pour lcoute passive. Enfin, officiellement, vous ne pouvez pas les acheter. Et si quelquun apprend que vous possdez un IMSI-catcher, vous pouvez avoir des problmes pour expliquer pourquoi vous en avez besoin. A propos, il y a quelques annes, on disait que les gars de NSA ont eu les cartes PCMCIA qui permettaient dcouter tous les numros de tlphones rels dans les environs. Probablement, ce ntait pas pour les tlphones GSM, mais je parie quils lont dj.

pour d r votre mobile). L'obstacle suivant est le code PIN. Il a seulement de 4 jusqu' 8 chiffres, mais aprs 3 checs, la carte SIM est arrte, et vous devez entrer le code Super PIN. Si celui-ci est erron, aprs le 10me essai, la carte est dsactive. Mais en pratique, c'est encore pire. Si vous louez une voiture, vous prenez parfois aussi le tlphone avec ou mme sans code PIN. Alors l, c'est une belle occasion pour les attaquants professionnels !

L'attaque la plus dangereuse mais plutt thorique peut tre effectue par voie arienne en envoyant les requtes aux tlphones allums. Pour cela, vous avez besoin d'un quipement spcial (similaire IMSI- catcher). Vous devez aussi avoir beaucoup de temps et un abonn qui ne rflchit pas trop pourquoi son tlphone est tout le temps en marche et consomme de l'nergie, jour aprs jour. Enfin, la combinaison A3/A8 tudie (appele aussi COMP128)

Attaque

62

www.hakin9.org

Hakin9 N O 1/2004

Scurit GSM

n'est qu'une proposition. La question de modification de ces algorithmes dpend des fournisseurs. En Allemagne, seul Mannesmann (maintenant Vodafone D2) utilisait la forme originale. Pourtant, j'ai des doutes que les autres algorithmes, encore plus secrets soient plus srs. On dit que l'industrie a labor son successeur, COMP128-2. Mais il n'est pas encore publi. Cette attaque a produit un effet secondaire trs intressant. Notamment, dans toutes les cartes SIM testes, le code de dchiffrage Kc gnr n'tait long que de 54 bits, et pas de 64. Cette rduction a t explique par les fournisseurs comme une raction plus souple aux dangers lis la scurit. Il serait trs intressant de savoir quoi ou qui a caus cette rduction de la longueur de la cl. Probablement, nous n'obtiendront aucune rponse. En tout cas, ce n'est pas tellement important veuillez bien lire le paragraphe suivant.

L'algorithme de dchiffrement A5 (plus prcisment A5/1) est prsent sur la figure 3. Il est aussi appel chiffrement de flux : la trame de bits dpendante de la cl est gnre indpendamment du texte en clair (p. ex. les donnes qui doivent tre chiffres), et soumise l'opration xor. Le destinataire doit faire de mme pour obtenir de nouveau du texte en clair. Pourtant, si un pirate change un bit dans le flot de donnes chiffres en chemin vers la station de base, le mme bit sera chang aprs le dchiffrement. C'est pourquoi, les chiffres continus doivent tre utiliss ensemble avec les sommes de contrle scurises. Ce n'est pas une solution pour GSM. Alors, l'attaquant avec un IMSI-catcher et assez intelligent est capable de modifier vos donnes... s'il sait o modifier. C'est un danger potentiel pour la transmission des donnes, mais pas pour les appels vocaux.

Comment cracker le chiffrage ?

Cracker A5 directement

Pour viter des malentendus : seul le trafic au travers un canal radio est crypt parce que, thoriquement, chacun, quip d'un IMSI-catcher peut l'couter. Le trafic entre la station de base et les passerelles au rseau tlphonique cbl n'est pas chiffr. Au moment o les connexions sont de prfrences ralises par cbles en fibre optique, il est plus difficile de faire l'coute. Bien sr, pour les amateurs. Toutes les agences de scurit de votre pays ont certainement accs ces connexions. En Allemagne, cela est exig par la loi. L'accs doit tre anonyme (p. ex. le fournisseur ne doit pas savoir quand ni quoi est cout). C'est trange, mais cette possibilit a t compltement oubli au moment o les tlphones cellulaires ont t introduits sur le march au dbut des annes 90. Les mises jour ont cot dizaines de millions de marks que les fournisseurs ont d payer.

Les deux (!) algorithmes A5 restaient secrets et ils furent rvls en 1994 ; le projet entier fut reconstitu en 1999 par Briceno. Les cryptoanalystes sont d'accord que A5 est faible bien qu'aucune attaque pratique ne soit pas encore connue (parfois vous savez par exprience et du projet mme qu'un algorithme n'est pas sr, mais vous ne savez pas exactement comment s'y attaquer). On disait que l'Allemagne s'obstinait un algorithme fort (parce que la situation avait lieu pendant la phase de planification en 1988 directement derrire le rideau de fer), pendant que la France voulait un algorithme faible. La France a longtemps interdit l'usage gnral de la cryptographie forte et l'avait soumise au contrle des exportations face aux pays avec beaucoup d'argent et beaucoup de ptrole. Si c'tait comme a, la France en gagnerait et nous aurions perdus. Il y a dix ans, c'tait encore dangereux de parler de ces choses-l. Dr Shepherd de l'Universit de Bradford voulait prsenter la cryp-

toanalyse de l'algorithme A5 pendant le colloque d'IEEE Londres, le 3 Juin 1994, mais son cours a t arrt la dernire minute (qui l'a arrt ? et comment ? Je n'en sais rien). Maintenant, la situation est diffrente. En 2000, deux clbres cryptoanalystes Biryukov et Shamir ont craqu A5 de faon trs tonnante. Pour ce faire, vous avez besoin d'un PC avec deux disques durs de 73 Go chacun dans cinq ans, votre frigo les aura par dfaut remplis de certaines donnes (un mathmaticien qualifi peut vous aider les gnrer). Ensuite, vous avez besoin d'une sortie d'A5/1 pour deux minutes et une seconde (!) pour les calculs. Et voil, vous avez la cl et vous pouvez couter les conversations. Lisez ce fragment trs attentivement : la sortie d'A5/1, et pas le texte chiffr. Autrement dit : vous avez besoin du texte en clair, ainsi que du texte chiffr intercept. Ce n'est pas une attaque pratique, elle n'est mme pas dangereuse pour la transmission des donnes (cette dclaration dans mon livre [3,5.7.2], est fausse elle a t corrig sur la page de l'errata). La solution alternative peut tre de deux secondes pour les donnes, quelques minutes pour les calculs. Je ne sais pas si cela pourrait tre utilis pour les attaques pratiques. Les auteurs ne se plaignent pas ouvertement de la scurit GSM. Dans l'attaque, mme les 10 bits ne sont pas utiliss. Les dtails sont prsent dans [3], mais vous devez avoir une comprhension mathmatique pour tout comprendre. Et comme c'est dans les habitudes des cryptoanalystes aucun programmes n'est accessible.

A5/2 joie de l'attaquant

videmment, dans les annes '90, les politiciens avaient encore peur que A5 pourrait devenir trop fort et aider les terroristes et criminels. De cela, dans presque tous les tlphones, on a implment une version d'exportation d'A5 appele A5/2 (pourtant, l'algorithme complet A5

Hakin9 N O 1/2004

www.hakin9.org

63

trafic dchiffr de faon beaucoup plus confortable directement du fournisseur, comme je l'ai dj mentionn. Son apptit de donnes est norme et augmente constamment, toujours plus grande que celle d'un citoyen ordinaire. Le nouveau nom officiel pour cet apptit faim est maintenant lutte contre le terrorisme. Le chiffrement arien est une protection contre les petits services secrets trangers et les detectives manqus. Dans les annes qui viendront, la base technique sera de plus en plus dveloppe et j'espre que le protocole UMTS aura une chance de passer dans l'usage gnral. Figure 4. La localisation par mesurage des diffrences de la dure du signal dans une station de base ; le rsultat est envoy dans la station de base suivante est galement appel A5/1). Une nouvelle attaque rvle en 2003 [4] a une rfrence pratique. Les auteurs ont profit du fait que les codes de correction des erreurs ont t ajouts aux paquets de donnes et tous crypts ensemble. C'est une sorte de dpendance algbrique l'intrieur d'un texte chiffr et peut tre utilise pour effectuer une attaque triviale. Quelques dizaines de milisecondes d'coute d'une communication crypte et une seconde de calculs suffisent pour le dcryptage. Ce dont vous avez besoin, c'est un IMSI-catcher plac prs du tlphone qui simule une station de base. Cet IMSI-catcher exige de passer de l'algorithme de chiffrement A5/1 A5/2. Et ensuite, il coute et envoie toutes les donnes un PC quelconque. Vous pouvez lire les informations plus dtailles dans [4]. Et encore, une connaissance mathmatique est ncessaire pour comprendre les informations de cet article. Il ne prsente pas un programme tout prt, mais vous y trouverez assez d'informations pour l'crire vous-mmes. Il est trs drle de lire dans l'article : Les mthodes et les ides (...) sont brevetes, et leur utilisation sans l'autorisation crite est interdite. Alors, chers detectives privs, organes de polices et services secrets : veuillez bien acheter une licence !

Services bass sur la localisation

Qu'est-ce qui est ncessaire pour couter ?

Comme vous avez pu voir, le piratage d'un rseau WLAN est un jeu d'enfant en comparaison avec le branchement clandestin au rseau GSM. Probablement, un IMSI-catcher modifi est une premire condition pour le faire (cf. l'encadr). C'est pourquoi, vous avez besoin de personnes qui connaissent la cryptoanalyse aussi bien que la structure de GSM et qui sont capables d'implmenter l'algorithme A5/ 2 dans un programme. Alors, votre voisin ne peut pas couter vos appels, moins qu'il n'ait accs l'argent, aux dispositifs ncessaires et aux personnes qualifies. Je vous conseille de baisser les jalousies en fermant toutes vos fentres pendant que vous parlez des affaires importantes les microphones laser sont moins chers et il est plus facile de les acqurir. Ne vous proccupez pas de la police. Elle peut recevoir tout le

Quand nous parlons de l'apptit de donnes du ct des organes de pouvoir public, il ne faut jamais oublier que ce n'est pas seulement le contenu des appels tlphoniques qui est important. L'analyse de trafic offre beaucoup plus de donnes qu'on ne se rend pas compte. L'analyse de trafic signifie : quand vous avez tlphon, combien de temps cela vous a pris et qui a t votre destinataire ? Cela signifie aussi : qui vous a envoy des emails ? Quand ? Quelle est leur taille ? Quel appel tlphonique correspond quel e-mail ? Les services secrets utilisent ces mthodes depuis longtemps. Il existe des programmes qui avertissent automatiquement quand quelqu'un suspect (comme le lecteur de Hakin9) change ses coutumes. Si cela vous intresse, vous trouverez les informations plus dtailles sur l'analyse de trafic dans [5] ou mieux encore sur le projet TIA, futuristique et suspect, dans [8] et [9]. Les tlphones mobiles fournissent une information supplmentaire ils permettent de vous localiser. La faon la plus primitive consiste localiser la cellule (appartenant une station de base) dans laquelle votre tlphone se trouve. Mais vous pouvez dire que la prcision qui oscille entre 100 m et 10 km

Attaque

64

www.hakin9.org

Hakin9 N O 1/2004

Scurit GSM

ne vous intresse pas. Vous vous trompez ! Imaginez que vous tes dans un train de longue distance ou sur la gare. Ce voyage peut tre facilement reconstitu partir de la squence radio cellule/temps. On peut dterminer sans problme quel train vous avez pris, quelle vitesse vous vous tes dplacs et quelle distance vous avez faite. Et tout cela peut tre fait de faon automatique et sauvegard pour plusieurs annes, mme si vous avez compltement oubli cet vnement. Beaucoup de donnes inoffensives peuvent tre transformes en donnes nocives. Lisez [5, 8.2] pour en savoir plus. Est-ce une paranoa ? Non, c'est de la pratique. On disait que la socit Swisscom avait localis les tlphones mobiles d'environ d'un million d'habitants pendant six mois, dans chaque minute (!), et ces donnes sont accessibles pour la police [12]. Aux tats-Unis, les rglements concernant les services bass sur la localisation ont t dtermins par FCC [11]. Suivant ces rglements, depuis 2001, chaque tlphone mobile doit tre localis l'intrieur de la zone de 125m pour 2/3 de temps (maintenant c'est plus prcis). Et pourquoi ? Pour vous indiquer un magasin intressant de l'autre ct de la rue, pour satisfaire vos prfrences personnelles. Nous en croyons. Mais srieusement, ce n'est pas seulement une simple surveillance.

En GB, le service de localisation au moyen des tlphones mobiles peut tre utilis pour localiser les enfants ; en Allemagne, le service similaire est prpar et discut [6]. Et encore, les services bass sur la localisation peuvent aider ranimer les consommateurs. Les tlphones mobiles peuvent tre localiss avec plus de prcision que par cellule. Si vous vous dplacez d'une cellule vers une autre, votre tlphone doit passer aisment dans une nouvelle cellule. Cela exige qu'on doit savoir quand vous vous approchez du bord de la cellule. son extrmit, la diffrence de la dure d'excution entre les signals provenant des stations de base diffrentes est mesure avec une grande prcision pour chaque tlphone, et celui-ci envoie le rsultat la station de base actuelle (Figure 4). C'est une possibilit trs importante. Si une cellule est trop sollicite, une partie prslectionne des tlphones peut tre transfre vers les cellules voisines. Comme j'ai dj mentionn le systme est constamment optimis ! Les erreurs sont dues la rflexion du signal (comme sur les faades) et limites grce au contact de plusieurs stations de base dans une ville. Certes, il existe des donnes stockes concernant vos dplacements. Une question se pose : qui aura accs ces donnes, et si ces

donnes sont vraiment supprimes aprs un certain temps (comme cela est prvue par la loi) et qui contrlera tout cela ? Personnellement, je crois que dans la plupart des pays europens, les organes de polices ont un accs illimit aux donnes de localisation. Mais n'oubliez pas ce qui a t chang au nom de 2001.09.11. En GB, la protection des donnes prives est minimale, aux tats-Unis, les donnes appartiennent celui qui les a collectes (et il peut les vendre volont). Une toute nouvelle astuce s'appelle silent SMS. La fonction nomme stealth ping est utilise pour envoyer un SMS pour savoir si le tlphone est allum et prt pour roaming. Ce SMS n'est pas enregistr comme message dans votre tlphone, vous ne pouvez pas le voir. Mais il gnre les donnes de connexion qui sont immdiatement rcupres par la police auprs de votre fournisseur. Comme a, vous tes localiss. Il est interdit aux detectives de suivre vos tlphones tout le temps, except les cas de graves dlits. Mais ils peuvent vous envoyer un SMS silencieux et demander les donnes de connexion. Encore une fois, en Allemagne, a eu lieu une lutte contre ces mthodes. Du point de vue technique, beaucoup d'autres choses sont possibles. La navigation GPS utilise les stations de base distantes

Rfrences
[1] [2] [3] [4] [5] [6] [7] http://www.isaac.cs.berkeley.edu/isaac/gsm.html http://www.ccc.de/gsm http://cryptome.org/a5.ps http://cryptome.org/gsm-crack-bbk.pdf R.Wobst, Abenteuer Kryptologie, 3.Auflage, Addison-Wesley 2001 http://www.childlocate.co.uk, http://www.trackyourkid.de R.Wobst, Datenschutz: Komplexer, als es scheinen mag, LanLine 4/2003, S.70-75 (AWi Verlag Mnchen) sur le Web (en allemande seulement) : http://www.lanline.de/O/148/Y/82692/VI/10042982/VS/Datenschutz/default.aspx [8] http://www.darpa.mil/iao/index.htm [9] http://online.securityfocus.com/columnists/126 [10] http://www.research.att.com/~janos/3gpp.html [11] http://www.fcc.gov/e911/enhanced [12] http://www.fitug.de/debate/9712/msg00042.html, http://www.sonntagszeitung.ch/sz52/93419.HTM [13] B.Schneier, Applied Cryptography, 2nd ed., Wiley 1996

Hakin9 N O 1/2004

www.hakin9.org

65

de centaines de kilomtres qui se mouvent une vitesse de 8 km/s. Pourtant, cela permet de dterminer votre position dans la zone de quelques mtres. Les systmes de navigation stationnaire l'utilisent pour localiser les bateaux et les avions depuis des dizaines d'annes. Alors, deux de trois stations de base GSM peuvent, thoriquement, fixer le coin de votre bureau sur lequel se trouve votre tlphone moins que votre tlphone soit quip pour ce type de tche. Il faut prendre en considration la possibilit que ce type d'quipement peut devenir trs populaire dans les annes prochaines et du point de vue pratique rien ne changera. Il est donc vident que votre fournisseur peut vous localiser, mais un detective amateur n'en est pas encore capable. Il doit tre clair que vous n'avez que deux choix : utiliser le tlphone et devenir localisable ou l'teindre compltement. Pourtant, la localisation n'est pas si dramatique que a. Il faut seulement que vous vous en rendez compte. N'oubliez pas cette possibilit peut s'avrer trs utile dans un cas urgent.

phone. L'utilisation des dispositifs comme IMSI-catchers n'est plus possible. Les paquets de donnes possdent les sommes de contrle cryptographiques et comme a, elles ne sont pas vulnrables aux attaques sur son chemin vers la station de base. Aussi les attaques rptes, p. ex. renvoi des paquets dj envoys la station de base, peuvent tre vites car les paquets contiennent maintenant le numro de squence scuris. Le dchiffrement ne se fait pas toujours dans la station de base mais dans ce qu'on appelle radio network controllers (RNC). Cela permet de se connecter aux stations de base via la radio avec moins de risque. Une rauthentification rapide et sre est possible, si la station de base ne doit pas envoyer des requtes l'ordinateur central. Cela permet les interruptions correctes de la connexion.

Le futur : UMTS et A5/3

Probablement, GSM tait la premire application de masse utilisant les techniques cryptographiques. Pour cette tche, le projet n'tait pas si mauvais. Mais les concepteurs l'ont appris partir des erreurs. La gnration suivante des tlphones mobiles, connue en tant qu'UMTS, corrige les failles dans le projet GSM (cf. [5] et [10]).

Du point de vue de la scurit, la technologie UMTS constitue un grand progrs. L'unique problme est qu'elle n'est pas utilise. D'une part, c'est cause des problmes financiers bien connus, et de l'autre part, il manque d'applications phares et de dispositifs appropris. On dit que KASUMI sera aussi appliqu GSM en tant que A5/3. L'change des tlphones sera alors ncessaires dans quelques annes. Bien sr, mme un tlphone UMTS ne vous protge pas ni contre la localisation ni contre l'coute de la part des autorits.

lement par la police et certains services secrets et, ventuellement, par la mafia car ce sont eux qui achtent de meilleurs spcialistes et dispositifs de services secrets mondiaux, comme cela montre l'exemple des trafiquants de drogue colombiens [7]. Une large surveillance au moyen de ces mthodes parat impossible et ineffective. Mais l'espionnage industriel est bien possible. C'est la localisation qui est plus dangereuse pour votre scurit,. Mais n'oubliez pas que le scannage automatique des plaques d'immatriculation (comme un anneau d'acier en GB et Toll Collect system en Allemagne) est maintenant trs populaire. De mme, les cartes-client dans les supermarchs permettent d'extraire les donnes dtaills concernant le client, ainsi que chaque e-mail et chaque activit sur Internet gnrent les donnes qui peuvent ensuite tre collectes et traites. Mais je crois que les avantages de la tlphonie GSM sont plus nombreux que les failles de scurit.

Attaque

L'algorithme utilis, KASUMI, a t rvis par plusieurs experts, il a t publi, il a rsist jusqu'alors la cryptoanalyse, et il a la cl de 128 bits la place de 64 bits. Les attaques comme sur A5/2 paraissent impossibles. De mme, la station de base doit s'identifier auprs de votre tl-

Conclusion

Les personnes qui peuvent couter vos appels tlphoniques GSM n'utilisent pas de dispositifs achets dans un supermarch, et de plus, il doivent tre hautement qualifis pour ce faire. C'est une technique d'espionnage trs chre qui est probablement utilise seu-

66

www.hakin9.org

Hakin9 N O 1/2004