Deux campagnes sophistiquées de surveillance des communications mises au jour par une enquête

 (techcrunch.com)
1 points par GN⁺ 5 일 전 | 1 commentaires | Partager sur WhatsApp
  • Deux campagnes de surveillance distinctes ont été identifiées pour avoir exploité des vulnérabilités bien connues du réseau téléphonique mondial afin de suivre les données de localisation de téléphones mobiles
  • Les fournisseurs de surveillance ont obtenu un accès au réseau sous la forme de sociétés écrans, en se faisant passer pour des opérateurs mobiles légitimes, puis ont suivi leurs cibles via SS7 et Diameter
  • Les deux campagnes ont en commun l’utilisation des accès liés à 019Mobile, Tango Networks U.K. et Airtel Jersey comme points de transit, opérant à couvert derrière l’infrastructure des opérateurs
  • La première campagne basculait vers Diameter lorsque les attaques SS7 échouaient, tandis que la seconde communiquait directement avec les cartes SIM au moyen de SMS spéciaux ne laissant aucune trace, transformant les téléphones en dispositifs de suivi de localisation
  • Des milliers d’attaques ont été observées sur plusieurs années, et cette enquête ne révèle qu’une partie des millions d’attaques menées dans le monde, ce qui montre que l’exploitation abusive de l’infrastructure télécom reste très étendue

Vue d’ensemble de l’enquête

  • Le rapport de Citizen Lab retrace deux campagnes de surveillance distinctes ayant exploité des vulnérabilités bien connues de l’infrastructure télécom mondiale pour suivre la position des téléphones de particuliers
  • Les fournisseurs de surveillance opèrent sous la forme de sociétés écrans, en se faisant passer pour des opérateurs mobiles légitimes, et utilisent les accès réseau ainsi obtenus pour interroger les données de localisation de leurs cibles
  • Cette découverte montre que l’exploitation de vulnérabilités structurelles se poursuit à travers les technologies qui soutiennent le réseau téléphonique mondial
  • Même si l’enquête s’est concentrée sur deux cas, les chercheurs y voient un simple aperçu d’un abus beaucoup plus vaste, mené par des fournisseurs de surveillance cherchant à accéder au réseau téléphonique mondial

Exploitation de SS7 et de Diameter

  • SS7 est un ensemble de protocoles pour les réseaux 2G et 3G, qui sert depuis longtemps de socle à l’interconnexion des réseaux cellulaires mondiaux et à l’acheminement des appels et SMS des abonnés
    • Un article précédent avertissait déjà que des gouvernements et des entreprises de surveillance peuvent exploiter les failles de SS7 pour déterminer la position géographique de téléphones personnels
    • SS7 n’exige ni authentification ni chiffrement, ce qui laisse la porte ouverte à des abus par des opérateurs malveillants
  • Diameter a été conçu pour les communications 4G et 5G, et constitue le protocole successeur intégrant des fonctions de sécurité absentes de SS7
    • Citizen Lab souligne toutefois que les opérateurs ne déploient pas toujours ces nouvelles protections, ce qui rend Diameter lui aussi exploitable
    • Dans certains cas, les attaquants reviennent même à l’exploitation de l’ancien protocole SS7

Des opérateurs utilisés comme points d’entrée communs

  • Les deux campagnes de surveillance ont toutes deux exploité des accès chez trois opérateurs précis, qui ont servi à plusieurs reprises de points d’entrée et de transit dans l’écosystème télécom
  • Grâce à ces accès, les fournisseurs de surveillance et leurs clients gouvernementaux ont pu agir à couvert derrière l’infrastructure de ces opérateurs
  • Selon le rapport, le premier opérateur concerné est l’opérateur israélien 019Mobile, qui aurait été utilisé dans plusieurs tentatives de surveillance
  • Tango Networks U.K. a également été mobilisé dans des activités de surveillance sur plusieurs années
  • Le troisième opérateur est Airtel Jersey, dans les îles Anglo-Normandes, aujourd’hui détenu par Sure

Réponse des opérateurs

  • Sure affirme qu’il ne loue pas directement, ni en connaissance de cause, l’accès à son réseau de signalisation à des organisations cherchant à suivre la position de personnes ou à intercepter leurs communications
  • Sure reconnaît que des services numériques peuvent être détournés et indique avoir mis en place plusieurs mesures de protection, notamment la surveillance et le blocage des flux de signalisation inappropriés
  • Sure déclare suspendre immédiatement le service lorsqu’il reçoit des preuves ou des signalements valides d’un mauvais usage du réseau, puis le résilier définitivement si l’enquête confirme une activité malveillante ou inappropriée
  • Tango Networks et 019Mobile n’ont pas répondu aux demandes de commentaire de TechCrunch
  • Dans une lettre adressée à Citizen Lab, Gil Nagar, responsable IT et sécurité de 019Mobile, a déclaré qu’il ne pouvait pas confirmer si l’infrastructure désignée par Citizen Lab comme utilisée par un fournisseur de surveillance appartenait à son entreprise

Première campagne de surveillance

  • Le premier fournisseur de surveillance a mené, sur plusieurs années, des campagnes visant différentes cibles dans le monde, en s’appuyant sur l’infrastructure de plusieurs opérateurs mobiles
  • Les chercheurs estiment, sur la base de ce schéma, que différents clients gouvernementaux se trouvaient derrière les différentes campagnes
  • L’enquête a mis au jour les signes d’une opération délibérée, bien financée et profondément intégrée à l’écosystème de signalisation mobile
  • Un chercheur ayant participé à l’enquête a indiqué que plusieurs indices pointaient vers une entreprise commerciale israélienne de geo-intelligence disposant de fortes compétences télécom, sans en révéler le nom
    • Parmi les entreprises israéliennes proposant des services similaires figurent Circles, Cognyte et Rayzone
  • Cette campagne reposait d’abord sur l’exploitation des failles de SS7, puis basculait vers Diameter en cas d’échec

Deuxième campagne de surveillance

  • La deuxième campagne a utilisé une méthode différente de la première et serait menée par un autre fournisseur de surveillance dont Citizen Lab n’a pas révélé le nom
  • Ce fournisseur a visé une cible de haut niveau précise en lui envoyant une forme particulière de message SMS
  • Ce message est conçu pour communiquer directement avec la carte SIM de la cible sans laisser de trace visible à l’utilisateur
    • Dans un cadre normal, les opérateurs utilisent ce mécanisme pour envoyer aux cartes SIM des commandes inoffensives qui permettent aux appareils de rester connectés au réseau
    • Dans ce cas, le fournisseur de surveillance envoyait des commandes transformant en pratique le téléphone ciblé en balise de localisation
  • Ce type d’attaque a été baptisé SIMjacker par l’entreprise de sécurité mobile Enea en 2019

Ampleur des attaques et difficulté de détection

  • Un chercheur ayant participé à l’enquête a déclaré avoir observé des milliers de ces attaques sur plusieurs années, les considérant comme assez fréquentes mais difficiles à détecter
  • Cette famille d’attaques SIMjacker semble toutefois présenter un ciblage géographique, et les acteurs qui l’utilisent savent probablement quels pays et quels réseaux sont les plus vulnérables
  • Les chercheurs estiment que ces deux campagnes ne représentent qu’une infime partie du phénomène
    • L’enquête ne s’est concentrée que sur deux campagnes de surveillance parmi les millions d’attaques existant dans le monde

À lire aussi

1 commentaires

 
GN⁺ 5 일 전
Commentaires sur Hacker News

  • Quand je suivais autrefois une formation de dispatcher 911, si la localisation ne remontait pas via les infos automatiques e911, il fallait rédiger une déclaration de situation d’urgence à destination de l’opérateur et l’envoyer par fax, puis attendre parfois des heures la fin de l’examen juridique.
    Si on se trompait dans son jugement, on pouvait aussi se retrouver au tribunal, donc la procédure était extrêmement stricte, mais on pouvait comprendre ça comme le prix de la vie privée.
    En revanche, voir ce genre d’entreprises exploiter des failles comme SS7 pour aspirer des positions n’importe quand pour faire du profit, ça paraît complètement dingue.

    • La procédure déclaration + fax + validation juridique dont tu parles me semble justement être la bonne structure.
      Ce genre de friction devrait être une fonctionnalité, pas un bug.
      Le problème, c’est que ces boîtes ont contourné toute la procédure avec des méthodes de type opérateur fantôme SS7, et là on dépasse l’échec de politique publique pour entrer dans l’échec d’architecture.
      L’écosystème télécom n’a jamais été conçu avec l’idée que des participants réseau « légitimes » puissent être hostiles.
    • Si on doit attendre des heures, la personne peut déjà être morte, donc ce genre de procédure peut aussi sembler totalement absurde.
    • Si on lance ici une critique de la cupidité, on voit assez bien d’avance quel genre de réaction ça va provoquer.
    • Ce n’est pas forcément uniquement une question de motif de profit ; à lire l’article, on a plutôt l’impression qu’il existe des entreprises louches qui abusent de protocoles vulnérables.
      C’est un peu comme le fait qu’il existe des prestataires de Bulletproof hosting pour spammeurs : difficile d’attribuer ça entièrement à une « cupidité normalisée ».

  • L’un des plus gros mensonges à propos de l’État de surveillance, c’est l’idée qu’il serait géré de manière professionnelle.
    Des employés de la NSA ont eux aussi espionné des femmes qui leur plaisaient avec des moyens de surveillance valant des milliards de dollars, au point que ça avait son propre nom : LOVEINT.
    https://www.nbcnews.com/news/world/loveint-nsa-letter-discloses-employee-eavesdropping-girlfriends-spouses-flna8C11271620
    https://www.yahoo.com/news/nsa-staff-used-spy-tools-spouses-ex-lovers-193227203.html
    Il y a même eu entre 1998 et 2003 des cas où ils ont fouillé les numéros de téléphone de neuf femmes étrangères ainsi que les communications d’une personne américaine.
    L’humanité n’a jamais connu dans son histoire une surveillance totale de cette ampleur, donc on n’en imagine même pas correctement les conséquences, et si on y ajoute les LLM, c’est encore pire.
    Si on n’arrive pas à maintenir une ligne extrêmement stricte sur la vie privée, on risque de voir pousser d’innombrables enfers personnalisés au-dessus des infrastructures de surveillance étatiques et d’entreprise.

    • Je ne sais même pas quoi faire s’il n’y a personne à l’intérieur du gouvernement à qui signaler ça.
      Ce genre de signalement peut très facilement être enterré.
    • Le marché noir du futur sera probablement rempli d’équipements de communication personnels illégaux destinés à récupérer un peu de vie privée.
      Il doit déjà exister quelque part de la SF avec ce type de décor.
    • Ce type de surveillance technologique devrait simplement être interdit par la loi.
      Même s’il apporte un léger gain de sécurité supplémentaire, le coût en atteinte à la vie privée et en effets secondaires imprévisibles est bien plus élevé.
    • J’ai l’impression qu’on vit déjà dans ce monde-là.
      La discussion ici est centrée sur les États-Unis, mais la majorité des gens dans le monde subissent une réalité plus dure.
      Les appels à l’aide circulent souvent désespérément sur WhatsApp, dans l’espoir que quelqu’un connaisse quelqu’un au sein de la plateforme.
      Si on subit une diffusion non consentie d’images intimes, surtout dans des sociétés plus conservatrices, sa vie peut en pratique être détruite.
      Des arnaques comme le Pig butchering sont des crimes flagrants, et quand on voit à quel point il est difficile ne serait-ce que de récupérer un compte ou d’obtenir un interlocuteur humain, on se demande si la valeur des plateformes tech n’existe pas surtout parce qu’elles n’assument pas vraiment les coûts de support qu’elles ont elles-mêmes créés.

  • Quelqu’un que je connais a déjà été traqué par un ex petit ami harceleur employé chez un opérateur télécom.
    Il semblait pouvoir retrouver la SIM à partir du nom et continuer à localiser la personne, si bien que même en changeant de SIM et de téléphone, il était extrêmement difficile d’y échapper.
    Quand on signale ce genre de choses à la police, on risque au contraire d’être perçu comme irrationnel et d’être ignoré.

    • Chez les opérateurs, le fait que des employés consultent en douce les informations des gens est assez connu.
      J’ai entendu dire qu’ils ne regardent et ne traitent le problème que lorsqu’une plainte est déposée pour savoir qui a consulté mes données.
      J’avais demandé autrefois à quelqu’un côté sécurité/enquête si, puisque tout est journalisé, il ne serait pas facile de détecter les consultations hors cadre professionnel ; il m’a répondu qu’il faudrait alors licencier plus de la moitié des employés.
      Il disait qu’ils consultaient en permanence les PII de célébrités, d’amis, d’ennemis, de n’importe qui, et que c’était presque considéré comme un avantage officieux ; il parlait d’un grand opérateur américain vers 2010.
    • En Australie au moins, c’est un crime, donc ça vaut la peine de le signaler.
      Avec suffisamment de preuves, la police peut enquêter et engager des poursuites.
    • Des opérateurs louches dans des pays pauvres vendent parfois des données SS7 pour peu d’argent, ce qui suffit pour obtenir toutes les informations de localisation nécessaires.
    • Si cette personne avait accès à une base de correspondance latitude/longitude ↔ SIM, alors même avec un nouveau téléphone elle pourrait retrouver la nouvelle SIM à partir des points de recoupement avec les anciens schémas de localisation.
      À moins de déménager en même temps qu’on change de téléphone et de ne jamais emmener le nouveau téléphone dans des endroits isolés où l’ancien avait été emmené, c’est presque impossible à éviter.
    • C’est pour ça que je me déplace avec un téléphone sans SIM, toujours en mode avion.
      La SIM reste dans un feature phone à la maison, que je n’allume qu’en cas de besoin ; ce n’est pas parfait, mais c’est bien mieux que d’être traqué via le réseau mobile.

  • En Russie, ce genre de chose est quasiment banal.
    Le gouvernement utilise les opérateurs pour suivre les gens, et ces données finissent aussi parfois sur le marché noir contre une somme raisonnable.
    Le gouvernement essaie récemment d’empêcher ces fuites, mais on ne sait pas à quel point il y parvient, d’autant que des journalistes d’opposition ou des enquêteurs ont souvent utilisé ces données pour remonter les activités douteuses du pouvoir.
    Ces informations sont recoupées avec d’autres bases de données, d’autres opérateurs, d’autres SIM, des hotspots Wi‑Fi, des caméras de rue, etc., ce qui rend pratiquement impossible d’échapper au pistage.
    Au final, ça risque fort de devenir un standard mondial.

    • Que le gouvernement utilise les opérateurs pour suivre les gens, oui, mais les bases de données du marché noir sont probablement fausses dans la plupart des cas.
    • Ce n’est pas seulement la Russie : on voit des choses semblables au Royaume-Uni, en Israël et en Australie.
    • Ça me donne envie de simplement laisser mon téléphone à la maison.
    • Ramener ça à la Russie ressemble un peu à un hors-sujet.
      L’article porte sur le Royaume-Uni, et il semble aussi mettre au centre des entreprises israéliennes de mobile et de surveillance.

  • Rien qu’avec les indices de l’enquête, il semble assez probable que les acteurs derrière tout ça soient des entreprises commerciales de geo-intelligence basées en Israël.
    Des sociétés comme Circles, Cognyte ou Rayzone viennent immédiatement à l’esprit.

  • Je me demande pourquoi ces pays sont si forts en sécurité, hacking, surveillance et 0-day.

    • Si l’objectif est d’influencer et de contrôler discrètement d’autres pays, ce genre de technologie est extrêmement utile.
    • Quand on a autour de soi beaucoup de pays hostiles à son existence, il est assez naturel que les services de renseignement et l’industrie de l’espionnage se développent fortement.
      Cela dit, vu le massacre en cours, je regarde désormais cette industrie d’une manière totalement différente.
    • À mon avis, c’est le résultat de la combinaison entre le soutien de l’État et le partage de renseignement avec les États-Unis.
      Dans les rouages plus larges, il y a aussi AMDOCS, qui fait tourner les systèmes mondiaux de facturation télécom, ce qui donne en pratique accès à presque toute l’activité de facturation.
      Je pense que l’UE devrait mettre de l’ordre dans cette architecture.
    • À force d’exploiter des systèmes de surveillance de masse, on finit apparemment par pouvoir cibler des individus jusque dans des choses comme des pagers explosifs.
      Ça ressemble à une facette de la longue guerre autour de l’Iran, d’Israël et du Hezbollah.

  • Dans le pays où je vis, environ 95 % des gens semblent se moquer du fait que Meta puisse suivre leur position via WhatsApp, donc l’intérêt du public pour ces questions a l’air d’avoir disparu depuis longtemps.
    Je fais exception : j’attache de l’importance à la vie privée, et après avoir testé Facebook et WhatsApp vers 2010, je les ai supprimés presque aussitôt.
    Je ne veux pas qu’un profil numérique destiné aux annonceurs se construise à partir de moi, et je n’ai pas non plus envie de livrer mes informations personnelles à Google.
    Il est même possible que pour des sociétés de surveillance, acheter des données de localisation à Meta ou Google soit beaucoup plus simple que de récupérer des données fragmentées opérateur par opérateur, ce qui m’inquiète encore davantage.

    • Je me demande s’il existe vraiment une base pour dire que 95 % des gens s’en moquent.
      Android et iOS gèrent séparément les autorisations de localisation et gardent aussi des traces d’usage ; un suivi sans consentement deviendrait probablement un énorme désastre médiatique s’il était découvert.
    • Quand des amis ou des proches peu à l’aise avec la technique me demandent conseil, l’une des premières choses que je leur dis est de désactiver l’accès à la localisation en arrière-plan pour toutes les apps.
      Pourtant, même parmi les gens qui s’y connaissent en technique, beaucoup n’y prêtent pas attention.

  • Même si le téléphone n’utilise que la 5G, la localisation peut toujours fuiter.
    L’ensemble du réseau mobile conserve une compatibilité fondée sur SS7 pour la 2G/3G, ce qui laisse cette voie ouverte quand quelqu’un essaie de vous joindre depuis un ancien réseau.
    Cela permet aussi des attaques par rétrogradation de protocole.
    Si on veut continuer à utiliser le réseau mobile tout en s’isolant un minimum, la seule solution est à peu près d’utiliser une SIM data only, de réserver appels et messages à des apps internet sécurisées de bout en bout, et de considérer le numéro de téléphone comme pratiquement jetable.
    Le contraste est frappant : le mobile a évolué dans un jardin clos fondé sur la confiance et la rétrocompatibilité, tandis qu’Internet a évolué dans un environnement non fiable avec de la sécurité de bout en bout.

    • C’est vraiment intéressant ; je veux bien des lectures supplémentaires sur le sujet.

  • SS7 ressemble vraiment au cas typique du problème connu mais jamais corrigé.
    L’industrie télécom sait depuis des décennies que c’est cassé, mais elle n’a pratiquement aucun incitatif à le réparer.
    Même en cas d’abus, les opérateurs ne portent pas la responsabilité, les attaques restent presque invisibles pour l’utilisateur final, et sortir complètement de SS7 exigerait une coordination mondiale entre des centaines d’acteurs, donc au final il ne se passe rien.
    C’est moins un échec technique qu’un échec de coordination sans mécanisme contraignant.
    Diameter était censé être la solution, mais quand on voit que les opérateurs n’implémentent même pas correctement ses fonctions de sécurité, le vrai problème n’est pas l’absence d’un meilleur protocole : c’est une structure dans laquelle personne n’a besoin de s’en soucier.

  • Le rapport de Citizen Lab renvoie un 404.
    https://citizenlab.ca/research/uncovering-global-telecom-exploitation-by-covert-surveillance-actors/