16/04
Deux chercheurs dénoncent le Wi-Fi opérateur qui piste les abonnés
Deux chercheurs de l’université d’Oxord ont montré, lors d’une conférence, qu’il est possible d’utiliser l’accès Wi-Fi des opérateurs afin de pister les abonnés. Ils profitent des failles dans les protocoles télécoms afin d’intercepter les identifiants IMSI des abonnés et révéler leur présence dans une zone donnée, comme le rapporte 01net.
Dans la procédure logique, ce sont les agences de renseignements qui interceptent ces données en utilisant un IMSI Catcher, un équipement onéreux simulant une station de base d’opérateur et s’appuyant sur les vulnérabilités dans les protocoles de communications mobiles, surtout ceux de la 2G. Ceci leur permet alors de vérifier la présence d’une personne dans la zone de l’équipement en captant l’IMSI, qui est un identifiant unique de 15 chiffres donné par l’opérateur.
Connecter leurs abonnés sur leurs hotspots Wi-Fi, sans avoir à renseigner d’identifiants
Les chercheurs se sont donc servi de l’accès Wi-Fi des opérateurs, qui peuvent connecter leurs abonnés sur leurs hotspots Wi-Fi, sans avoir à renseigner d’identifiants, comme l’indique 01net. La technique s’appuie alors ici sur les protocoles d’authentification EAP-SIM ou EAP-AKA utilisés par un grand nombre d’opérateurs. Une fonction qui est proposée par exemple chez SFR et Free en prenant appui sur les hotspots générés par leurs box respectives.
Sur iPhone, les connexions se font également automatiquement, car le système mobile d’Apple embarque les identifiants des réseaux sans fil de la plupart des opérateurs dans un fichier spécifique.
Sur iOS 9, les deux chercheurs ont trouvé plus de cinquante opérateurs. Sur Android, la situation dépend des paramètres qui sont intégrés à l’avance. Parfois, une initialisation manuelle doit être faite afin d’avoir cette connexion automatique.
Ils n’ont besoin que d’un ordinateur avec une carte Wi-Fi pour agir
Les protocoles d’authentification n’étant pas chiffrés, les attaquants peuvent capter passivement les IMSI échangés pendant cette procédure dans une zone donnée. Et ils n’ont besoin que d’un ordinateur avec une carte Wi-Fi pour agir. Et pour relier l’identifiant IMSI à un numéro abonné, il suffit ensuite d’utiliser les services en ligne.
Les chercheurs d’Oxford parlent d’une seconde méthode qui utilise le Wi-Fi Calling, comme en fait part 01net, qui permet de passer des appels en Wi-Fi sans passer par une application. Le téléphone crée alors un tunnel IPSec vers une passerelle de l’opérateur qui va acheminer la communication. Une nouvelle procédure basée sur l’échange de l’IMSI et qui s’appuie sur le protocole Internet Key Exchange, qui est chiffré, mais non protégé par certificat.
Pour appuyer les mots, les deux chercheurs ont finalement démontré leurs attaques. Ils ne cachent pas que ces vulnérabilités sont difficiles à résoudre, et les opérateurs ne savent pas ce qui leur est possible de faire pour corriger le problème. Apple a toutefois réagi en apportant une petite amélioration sur la partie connexion automatique au Wi-Fi opérateur.
De leur côté, les utilisateurs peuvent désactiver le Wi-FI. Il leur est aussi possible de désactiver la connexion automatique au Wi-Fi et/ou le Wi-Fi Calling.