La vulnérabilité de SS7 permet un espionnage massif à travers des mobiles

0

Tout dont quelqu’un a besoin pour espionner vos communications est votre numéro de téléphone. Car il y a une vulnérabilité qui permet aux pirates de lire des messages texte, écouter vos appels ou savoir où est l’appareil d’un utilisateur. Eh non, la NSA n’est pas derrière dans ce cas. Cette fois, il s’agit d’une vulnérabilité qui réside dans l’infrastructure du réseau téléphonique du monde entier. Un système mondial qui relie les réseaux des téléphonies mobiles, mais que, exploité par les cybercriminels ou les gouvernements pourront donner le pouvoir presque total, comme il a été expliqué dans The Guardian.

ss7-sms

Qu’est-ce que SS7?

Le système de signalisation 7 au Signalling System Number 7 est un ensemble de protocoles de signaux téléphoniques, qui sont utilisés par la plupart des réseaux de téléphonie dans le monde entier. Fondamentalement, c’est un système qui connecte des réseaux de téléphonie mobile.

Il a été développé en 1975, et maintenant il y a a plusieurs variantes. Ce protocole est utilisé par plus de 800 opérateurs de télécommunications pour échanger des informations, permettre l’itinérance, et fondamentalement, permette les réseaux téléphoniques d’échanger les informations dont ils ont besoin pour faire des appels ou envoyer des messages entre eux.

Quelle est la vulnérabilité et comment vous pouvez exploiter?

Cette vulnérabilité est déjà connue depuis des années. En 2014, il a été découvert pour la première fois lors de la conférence de piratage allemand Chaos Communication Congress, une série de conférences qui a révélé le problème est survenu. Dans l’un d’eux, le chercheur allemand Kardsten Nohl, a démontré comment les cybercriminels pourraient exploiter la vulnérabilité.

Implications pour les utilisateurs

Dans le cas où un attaquant a accès au système SS7, il pourrait avoir accès aux mêmes informations et les capacités d’espionnage des services secrets: espionner les appels, l’écoute ou l’enregistrement d’eux, ou lire les SMS, et aussi détecter l’emplacement de l’appareil en utilisant le même système que le réseau téléphonique. Par conséquent, toute personne ayant un téléphone mobile peut être vulnérable. De toute évidence, tous les utilisateurs n’ont pas la même chance d’être épiés … il y a des millions d’utilisateurs de téléphones mobiles dans le monde.

ss7-antenas-vigilancia

Que peut-on faire à ce sujet et pourquoi nous parlons maintenant de ce sujet?

Depuis l’exposition des trous de sécurité SS7 certains agents, tels que la GSMA (l’organisation des opérateurs de téléphonie mobile) ont développé certains services qui surveillent les réseaux pour les intrusions ou les abus du système possible. Certains réseaux de téléphonie mobile ont également contracté des services de sécurité.

Que peuvent faire les petits utilisateurs dans ce cas pour se défendre?

Ne pas avoir un téléphone mobile serait le plus évident. Sinon, il suffit de demander à Gabriella Coleman, auteur du livre Les mille visages d’Anonymous, qui a cessé l’utilisation du mobile pendant des années, juste pour ne pas être espionné.

Dans le cas d’appels, une option pourrait être d’utiliser les services voIP. Et dans le cas des messages texte, il est facile de les remplacer pour des applications de messagerie instantanée, d’autant plus que beaucoup ont déjà des systèmes de cryptage. Pour éviter que l’emplacement est détecté, la seule option serait de le mettre en mode avion ou désactiver l’emplacement.

S’il y a deux ans que cette vulnérabilité est connue, pourquoi il revient à parler maintenant? Nohls a fait une nouvelle démonstration menée pour CBS dans laquelle il est en mesure d’espionner à distance un membre du Congrès de la Californie.

privacidad-internet

Il n’est pas facile, mais …

Les choses claires, exploiter cette vulnérabilité ne sont pas une tâche simple. Il est nécessaire d’avoir des compétences techniques et d’argent. Une combinaison qui a priori n’est pas si facile à obtenir, mais si nous parlons des agences ou gouvernements, ahem …

Si vous voulez connaître les détails techniques, voici les trois conférences sur les vulnérabilités SS7 qui étaient dans la CCC 2014:

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply