Espionnage – Détournement possible du Wi-Fi en IMSI Catcher ?

3
307

Dans une présentation à l’occasion du BlackHat Europe, les chercheurs Piers O’Hanlon et Ravishankar Borgaonkar de l’Université d’Oxford ont démontré un nouveau type d’attaque via IMSI catcher basé sur le Wi-Fi, permettant à quiconque de capturer le numéro IMSI d’un smartphone passant à proximité en une seconde.

Voici un nouveau danger potentiel pour la sécurité des smartphones face à l’espionnage. L’outil d’espionnage de téléphone cellulaire, également connu sous le nom de “IMSI Catcher“, a longtemps été utilisé par les autorités pour suivre et surveiller les utilisateurs mobiles ciblés en en simulant un relais de téléphone cellulaire afin de tromper les appareils mobiles lors de la connexion. Certains sont plus sophistiqués que d’autres et permettent d’intercepter les appels et le trafic Internet, ou même d’envoyer des faux SMS et d’installer des logiciels espions sur le téléphone d’une cible.

La mise en place de tels dispositifs de surveillance est actuellement coûteuse et nécessite beaucoup d’efforts, mais des chercheurs ont découvert un nouveau moyen, plus simple et moins cher, pour faire la même chose en exploitant les hotspots Wi-Fi.

Il s’avère donc que les réseaux Wi-Fi peuvent capturer les numéros IMSI de smartphones situés à proximité, ce qui permet à quiconque de suivre quasi en temps réel et de surveiller les personnes munies d’un appareil sans fil. L’identité IMSI est un numéro international d’abonné mobile constitué de 15 chiffres unique utilisé pour l’authentification d’une personne lors de son déplacement d’un réseau à un autre. Le numéro est mémorisé dans la section mémoire en lecture seule de chaque carte SIM et chez l’opérateur mobile.

Attention, ne pas confondre IMSI et IMEI : l’IMSI est lié à un utilisateur, alors que l’IMEI est lié à un périphérique (numéro de série unique d’un appareil).

blackhat-europe-2016

C’est dans une présentation à l’occasion du BlackHat Europe que les chercheurs Piers O’Hanlon et Ravishankar Borgaonkar de l’Université d’Oxford ont démontré un nouveau type d’attaque IMSI catcher entièrement basé sur le Wi-Fi, permettant à quiconque de capturer le numéro IMSI d’un smartphone passant dans la zone de couverture du réseau.

L’attaque utiliserait alors ce numéro IMSI pour espionner chaque mouvement de l’utilisateur. Le problème réside dans la façon dont la plupart des smartphones modernes, y compris les appareils sous Android et iOS, se connectent aux réseaux Wi-Fi à leur portée. Il existe deux protocoles largement implémentés dans la plupart des systèmes d’exploitation mobiles modernes :

  • Extensible Authentication Protocol (EAP)
  • Authentication and Key Agreement (AKA) protocols

Ces protocoles permettent aux smartphones de se connecter automatiquement aux hotspots Wi-Fi publics. En effet, les smartphones modernes sont tous programmés pour se connecter automatiquement à des réseaux Wi-Fi connus  à leur portée d’onde en transmettant leurs numéros IMSI pour se connecter au dit réseau, sans interaction avec le propriétaire. Ainsi, les attaquants qui exploitent les protocoles d’authentification WiFi pourraient mettre en place un « point d’accès malveillant » déguisé en réseau WiFi bien connu et attendre que les smartphones des passants s’y connectent. Une fois connecté, le point d’accès malveillant extrait immédiatement leurs numéros IMSI. Cet identifiant unique capturé permettrait ensuite aux attaquants de suivre à la traces les personnes ainsi “captées”.

Les chercheurs a également démontrés un autre vecteur d’attaque par lequel les attaquants peuvent détourner la fonction d’appel WiFi offerte par les opérateurs mobiles. Cette technologie est différente de l’appel vocal sur WhatsApp ou via l’application Skype qui utilise la VoIP : les appels Wi-Fi, qui sont pris en charge sur les appareils iOS et Android, permettent aux utilisateurs d’effectuer des appels vocaux via le Wi-Fi en se connectant à la passerelle de données Edge Packet (EPDG) de l’opérateur en utilisant le protocole de sécurité IP chiffré (IPSec). Comme pour la fonction de connexion automatique Wi-Fi, le protocole Internet Key Exchange (IKEv2) est utilisé pour authentifier les appels Wi-Fi et est également basé sur le numéro IMSI, échangé via EAP-AKA.

Les échanges EAP-AKA sont chiffrés, mais le problème est qu’ils ne sont pas protégés par un certificat. Du coup, cela expose la fonctionnalité aux attaques de type man-in-the-middle (MITM), permettant aux attaquants d’intercepter le trafic à partir d’un smartphone essayant de passer l’appel sur Wi-Fi et d’extraire rapidement le numéro IMSI en quelques secondes.

La bonne nouvelle est que chacun peut désactiver la fonction d’appel Wi-Fi sur son smartphone, mais par contre, la connexion automatique Wi-Fi ne peut être désactivée. Les chercheurs ont signalé les problèmes de sécurité découverts à la fois aux sociétés d’OS mobiles (Apple, Google, Microsoft et Blackberry), ainsi qu’aux opérateurs, et ont travaillé avec eux pour assurer la protection future du numéro IMSI.

Apple, à la suite de conversations avec les chercheurs, a mis en œuvre une nouvelle technologie dans iOS 10 permettant d’échanger des pseudonymes et non des identificateurs, mesure visant à atténuer la menace.
Le duo a terminé ses recherches et les a publiées dans un document PDF en montrant une preuve de concept (PoC) qui démontre que leur IMSI Catcher peut utiliser des techniques passives comme actives.

Les commentaires sont fermés.