SS7 : les chercheurs décident de publier les détails sur la faille
La brèche aurait été utilisée par des hackers russes pour espionner l'Ukraine

Le , par Amine Horseman

5PARTAGES

0  1 
Tobias Engel, l’un des chercheurs qui ont découvert la faille de sécurité dans SS7 (Signaling System #7), va présenter le 27 décembre 2014, les détails de ces vulnérabilités durant le Chaos Communication Congres qui se tiendra à Hamburg.

Pour rappel, SS7 fournit une signalisation universelle dans les réseaux téléphoniques permettant de gérer l’établissement d’appels et leur routage, ainsi que la facturation, l’envoi de messages et l’interconnexion de l’appareil de l’utilisateur avec une tour téléphonique.

Ces failles de sécurité pourraient permettre à des pirates d’écouter des appels téléphoniques privés et intercepter des messages, « même lorsque ces réseaux cellulaires utilisent les techniques de chiffrement les plus avancées connues jusqu’à présent ». Selon l’équipe de recherche, ces vulnérabilités continuent d'exister même si les opérateurs de téléphonie mobile investissent des milliards de dollars pour mettre à niveau la technologie pour la sécurisation des communications contre les écoutes non autorisées. Le point faible de la chaine serait que ces opérateurs doivent encore communiquer les uns avec les autres en utilisant SS7. « C’est comme sécuriser la porte d'entrée de sa maison, mais laisser la porte arrière grande ouverte », déclare Tobias Engel, fondateur de Sternraute, qui compte parmi les plus grandes sociétés de sécurité de réseaux téléphoniques.

En parallèle à Sternraute, l’équipe de Security Research Labs qui avait réussi à craquer le chiffrement GSM A5/1 avait elle aussi découvert la faille du SS7. Karsten Nohl, responsable de cette équipe, a déclaré qu’ils peuvent enregistrer et déchiffrer des données de n’importe quel réseau avec cette faille. Durant leurs essais ils ont réussi à exploiter la vulnérabilité sur plus de 20 opérateurs téléphoniques à travers le monde, y compris T-Mobile aux États-Unis. Ils ont aussi fait une démonstration pour intercepter et déchiffrer un message texte envoyé en utilisant le téléphone d'un sénateur allemand qui avait participé à l'expérience. Ceci aurait été possible en combinant une attaque du type Man in the Middle (homme du milieu) avec une attaque de force brute.

Aussi, il semblerait, selon un rapport publié par le régulateur des télécommunications en Ukraine, que la faille avait été utilisée en avril dernier pour intercepter des appels d’utilisateurs ukrainiens et les transférer à un autre réseau à St Petersburg en Russie.

Le sénateur allemand qui avait coopéré à la démonstration de Nohl déclare qu’ « après tout ce que nous avons entendu de la NSA grâce à Snowden, je suppose que personne ne croit qu'il est possible d'avoir une conversation vraiment privée sur un téléphone mobile [..] Quand j’ai vraiment besoin d’avoir une conversation confidentielle, j’utilise une ligne fixe ».

Source : Washington Post, Adaptative Mobile

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 29/12/2014 à 11:06
J'en pense que le BND allemand devrait aller voir ce monsieur pour lui demander de bien vouloir lui communiquer tous les détails techniques, avec interdiction de les transmettre à un tiers sous peine d'inculpation d'espionnage. Car de ce que j'ai pu suivre dans la presse d'outre Rhin, ce pays a un problème avec un de ses oncles qui écoute aux portes.

En ce qui concerne l'Ukraine, cela ne réclame pas de compétences techniques particulières, mais juste un petit pot de vin. Le pays souffre de pauvreté endémique depuis la chute de l'URSS, ainsi que de corruption (mais c'est sans doute plus vieux). Un petit billet est toujours le bienvenu pour les techniciens des télécoms.
De plus les services secrets locaux (le SBU) soit sans doute largement infiltrés par les russes et ce depuis des dizaines d'années.
0  0 
Avatar de thermo_nono
Membre à l'essai https://www.developpez.com
Le 19/04/2016 à 10:25
moi lorsque je dois avoir une conversation confidentielle je me déplace pour la faire de vive voix et je laisse mon mobile chez moi.
0  0 
Avatar de Official boy
Nouveau Candidat au Club https://www.developpez.com
Le 05/10/2017 à 19:40
Bonjour
Avec quel logiciel pouvons nous exploiter la faille ss7 ? ?
0  0 

 
Google avertit que des dizaines de millions de téléphones Android sont préchargés avec des logiciels malveillants dangereux
L'immobilisation du 737 MAX est un tel désastre que les compagnies aériennes louent des 737-200 de 30 ans d'âge
Voitures autonomes : « Tous ceux qui comptent sur le lidar sont condamnés »
Mise à jour de la page Cours et Tutoriels pour apprendre la programmation avec Delphi, dix nouveaux tutoriels sur FireMonkey (FMX)
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web