Concernant les attaques sur SS7, notre ressource avait déjà plusieurs articles techniques détaillés:
Mais dans cet article, ce qui se passe est expliqué en termes plus simples, et peut intéresser des personnes éloignées de la structure interne des réseaux mobiles.En février 2014, l'ambassadeur américain en Ukraine a été victime d'une fuite honteuse. Une conversation secrète entre lui et la secrétaire d'État adjointe aux Affaires européennes et eurasiennes, Victoria Nuland, dans laquelle elle a parlé de l'UE en termes grossiers , a été publiée sur YouTube.La conversation a été menée sur une connexion non sécuriséeet des représentants du gouvernement américain ont fait part aux journalistes de leurs soupçons quant à l'interception d'un appel en Ukraine, mais pas de la méthodologie de cette interception. Certains pensent que cela est dû à l'exploitation des vulnérabilités du réseau de données mobiles SS7, qui fait partie du cadre d'infrastructure utilisé par les fournisseurs de téléphonie du monde entier pour la communication inter-fournisseurs, le transfert d'appel et la messagerie texte.Le rapport du gouvernement ukrainien qui est passé presque inaperçu, rendu public quelques mois après l'incident, a donné de la crédibilité à cette théorie. Bien que l'ambassadeur n'ait pas été mentionné dans le rapport, il a déclaré que dans les trois jours d'avril, des données sur la localisation d'une douzaine d'utilisateurs de téléphones mobiles inconnus en Ukraine avaient été envoyées au fournisseur russe via l'exploitation de vulnérabilités dans SS7. Des SMS et des appels téléphoniques de certains d'entre eux ont également été redirigés vers la Russie, où quelqu'un pouvait les écouter et les enregistrer.Les fournisseurs savent depuis de nombreuses années que la SS7 est vulnérable aux écoutes téléphoniques, mais ils n'y ont pas fait grand-chose, car on pensait que ces risques étaient plus théoriques. Tout a changé depuis l'incident en Ukraine, explique Katal McDaid, chef du département de renseignement sur les menaces d'AdaptiveMobile, une société de sécurité mobile. Certaines entreprises, dont la sienne, ont développé des méthodes de détection des attaques sur SS7, et depuis lors, elles ont déjà détecté une activité suspecte dans les réseaux de différents fournisseurs, ce qui prouve non seulement la réalité des attaques contre SS7, mais aussi qu'elles se produisent périodiquement. AdaptiveMobile a publié un rapport en février qui décrivait en détail certaines des attaques.SS7 n'apparaît que maintenant aux yeux du public, par exemple, à cause d'une histoire dans le programme de 60 minutes la semaine dernière dans laquelle deux chercheurs allemands ont espionné le membre du Congrès américain Ted Lew avec SS7 avec sa permission. Lew a organisé des audiences du Congrès pour enquêter sur les vulnérabilités de la SS7, et la Commission des communications de l'État (FCC) prévoit également d'enquêter sur elles.Alors, qu'est-ce que SS7 et pourquoi est-il si vulnérable?
Le graphique montre comment un système en Europe de l'Est a utilisé SS7 pour suivre un abonné pendant deux minutes, envoyant des demandes de localisation au fournisseur de l'abonné. Une minute plus tard, une cascade de demandes provenant du même abonné provenait de nombreux systèmes de différents pays.Alphabet SS7
SS7, ou système de signalisation n ° 7 (système de signalisation n ° 7) est un réseau numérique et un ensemble de protocoles techniques ou règles régissant l'échange de données sur ce réseau. Il a été développé dans les années 1970 pour suivre et connecter les appels téléphoniques fixes entre différents réseaux, et maintenant il est utilisé pour calculer les factures des appels mobiles et des SMS, en plus de l'itinérance et des appels entre les lignes fixes et les centraux régionaux. SS7 fait partie de la base des télécommunications, mais ce n'est pas le réseau par lequel vos conversations passent - c'est un réseau administratif distinct qui effectue d'autres tâches. Si vous imaginez un système de trains de voyageurs, alors SS7 est les tunnels techniques que les travailleurs utilisent au lieu des tunnels principaux où circulent les trains de voyageurs.Désormais, le SS7 est souvent utilisé pour l'itinérance. Ainsi, lorsque vous voyagez, vous pouvez recevoir et passer des appels et envoyer des SMS même lorsque votre opérateur domestique ne fonctionne pas. Un fournisseur externe via SS7 vous envoie une demande afin d'obtenir un identifiant unique pour votre téléphone afin de le suivre, et de demander que vos communications soient transférées sur son réseau afin qu'il puisse transférer des appels et des messages.Le problème
Le problème est que le réseau SS7 fonctionne sur la confiance. Toute demande reçue par le réseau est considérée comme légitime. Par conséquent, toute personne ayant accès à un serveur ou à une passerelle sur le réseau SS7 peut envoyer une demande de localisation ou de redirection à des fins d'itinérance, et le fournisseur y répondra très probablement même si la demande vient de Saint-Pétersbourg à Bombay et que vous êtes en New York. Un attaquant peut ainsi espionner des responsables, chefs d'entreprise, militaires, militants et autres. Il est à noter que l'interception de vos messages et appels signifie que l'attaquant pourra également intercepter les codes d'authentification à deux facteurs qui sont envoyés via SMS Gmail et d'autres services pour accéder à vos comptes. L'attaquant, connaissant le nom d'utilisateur et le mot de passe du compte, peut intercepter ces codes avant de les recevoir.Des centaines de fournisseurs à travers le monde ont accès à SS7. Diverses agences gouvernementales de renseignement peuvent également accéder aux réseaux, avec ou sans l'autorisation du fournisseur. Les sociétés commerciales vendent également des services de piratage SS7 aux gouvernements et à d'autres clients. Les criminels peuvent acheter l'accès au réseau auprès d'employés malhonnêtes des fournisseurs, et les pirates peuvent s'introduire dans un équipement dangereux desservant SS7.Mais les fournisseurs ont commencé à utiliser des méthodes pour empêcher les attaques au plus tôt en décembre 2014. C'est alors que Karsten Nohl de la société allemande Security Research Labs et le chercheur indépendant Tobias Engel ont fait une présentationsur SS7 au Chaos Communication Congress en Allemagne. Elle a eu lieu plusieurs mois après l'ouverture des incidents ukrainiens. Engel a montré une méthode pour suivre les téléphones via SS7 en 2008, mais ce n'était pas aussi pratique que ceux que lui et Nol ont décrits en 2014. En conséquence, les régulateurs de l'Europe du Nord ont exigé que les fournisseurs introduisent des mesures pour empêcher les attaques SS7 d'ici la fin de 2015.«La plupart des attaques SS7 peuvent être évitées avec la technologie existante», a déclaré Nol. «Il existe plusieurs cas où la création d'une protection contre laquelle prendra quelques années ... mais au moins la principale forme de protection se trouve dans la plupart des réseaux d'Europe du Nord et d'autres réseaux du monde.»Mais ces corrections n'ont évidemment pas été apportées par deux fournisseurs américains - T-Mobile et AT&T. Nol et un collègue ont montré dans le programme 60 Minutes qu'ils étaient tous deux vulnérables aux attaques. Verizon et Sprint utilisent d'autres protocoles pour l'échange de données et, en théorie, ils sont moins vulnérables. Mais McDade a noté que tous les réseaux mobiles finiront par passer à un autre système de signalisation appelé Diameter. Ce système "répète bon nombre des concepts et de la conception des réseaux SS7 précédents", note-t-il, y compris l'hypothèse que toutes les demandes peuvent être approuvées - ce qui tue SS7.Et comment pouvez-vous utiliser SS7 pour vous suivre personnellement?
«Anytime Interrogation» (AI), ID , (mobile switching center (MSC) . MSC . , . AI- GPS-, .
, AI-, ,- . , SS7, .
Et ce n'est pas une opportunité hypothétique. Nous savons que cette méthode a été utilisée dans la pratique. Un rapport d'AdaptiveMobile décrit une opération dans laquelle un attaquant a envoyé des demandes de localisation de plusieurs systèmes. Les demandes de suivi des mêmes clients provenaient des systèmes SS7 du monde entier, et non d'un seul - peut-être afin de ne pas éveiller les soupçons, car de nombreuses demandes provenant d'un seul système seraient plus faciles à remarquer. Ces systèmes envoyaient plusieurs centaines de demandes par jour, traquant certains abonnés, tout en envoyant une ou deux demandes par jour aux numéros que les pirates tentaient de pirater.«De toute évidence, plus vous utilisez le système pour envoyer des demandes, plus vous avez de chances de vous trahir. Mais ces objectifs étaient précieux et leur nombre était faible », explique McDade. "Tant que vous envoyez quelques demandes, il est possible qu'elles ne soient pas remarquées."Une autre opération dans l'un des pays européens a été de suivre les téléphones au Moyen-Orient et en Europe à partir des systèmes installés par chacun des quatre fournisseurs européens, ce qui suggère qu'ils étaient impliqués. "C'est notre hypothèse ... S'il s'agit d'un système d'espionnage ou d'un système gouvernemental, les fournisseurs ont peu de choix."Interception
Nol décrit trois technologies pour intercepter des appels et des SMS via SS7. Une opération a été diffusée dans le programme "60 Minutes Australia" en envoyant une demande de l'Allemagne à un fournisseur australien et en modifiant les paramètres de messagerie vocale du politicien afin que ses appels soient transférés vers le téléphone de Nola. Cela pourrait être facilement évité en répondant uniquement aux demandes provenant de la région où se trouve le téléphone - mais peu de gens le vérifient.Une autre méthode utilise la possibilité de modifier les numéros que vous appelez. Si vous êtes allé à l'étranger et composez un numéro à partir de contacts, la fonction de changement de numéro comprend que l'appel est international et ajoute l'indicatif du pays.«L'ajout d'un code de pays se fait en remplaçant le« mauvais »numéro par le« bon », avec le code ajouté, et en le renvoyant», explique Nol. - Pratique, non? Mais un attaquant peut forcer le système à remplacer n'importe quel numéro par un autre. Lorsque l'appel arrive, il est transféré au numéro souhaité et l'attaquant reste au milieu, avec la possibilité d'écouter et d'enregistrer l'appel.La troisième méthode utilise le fait que les téléphones mobiles sont généralement en mode veille jusqu'à ce qu'ils reçoivent un appel ou un SMS et ne communiquent pas avec le réseau. À ce moment, l'attaquant informe votre fournisseur que vous êtes en Allemagne et que toutes les communications doivent y être redirigées. Un jour, votre téléphone aux États-Unis se réveillera et vous dira où il se trouve. Mais l'attaquant peut envoyer un autre message réfutant cela.«Si vous le faites une fois toutes les cinq minutes, vous pourrez très rarement recevoir exclusivement des appels et des SMS - nous les recevrons la plupart du temps», explique Nol. Vous remarquerez alors la facture pour l'itinérance, mais d'ici là, votre vie privée sera déjà affectée.«Ce n'est pas la méthode d'interception la plus élégante, car il faut payer pour l'itinérance. Mais cela fonctionne bien », dit-il.Que faire
Une telle attaque est facilement empêchée à l'aide d'un algorithme qui comprend que l'utilisateur ne peut pas rapidement sauter entre les États-Unis et l'Allemagne. "Mais personne n'introduit de tels contrôles", explique Nol.Personnellement, vous pouvez faire peu. Vous pouvez protéger votre communication avec des services tels que Signal, WhatsApp ou Skype, mais McDade dit qu'un attaquant peut envoyer à votre fournisseur une demande de déconnexion des services de données. "Par conséquent, vous ne recevrez de SMS et d'appels que si vous n'avez pas accès au Wi-Fi", dit-il. Et vous resterez vulnérable aux attaques SS7.McDade affirme que les fournisseurs s'efforcent de prévenir de telles attaques, mais jusqu'à présent, la plupart d'entre eux sont limités aux méthodes les plus simples. «Maintenant, ils sont au stade où ils doivent installer des pare-feu et des algorithmes beaucoup plus complexes qui tentent de détecter et de prévenir les attaques plus complexes», dit-il. «Il est plus difficile pour les attaquants de les exécuter, mais il est également plus difficile pour la défense de les arrêter. Croyez-moi, le travail sur ces attaques est en cours. »