Le piratage du protocole SS7 révélé – Comment un pirate peut accéder à vos appels et à vos textes

Le système de signalisation No 7 (SS7), également connu sous le nom de Common Channel Signaling System 7 (CCSS7) ou Common Channel Interoffice Signaling 7 (CCIS7), est un ensemble de protocoles développés en 1975 qui permet les connexions d’un réseau de téléphonie mobile à un autre. Les informations transmises d’un réseau à un autre sont nécessaires au routage des appels et des messages texte entre plusieurs réseaux.
Le SS7 effectue une signalisation hors bande à l’appui des fonctions d’établissement d’appels, de facturation, de routage et d’échange d’informations du réseau téléphonique public commuté (RTPC).
Lorsque des utilisateurs accèdent à un RTPC, il échange constamment de la signalisation avec des éléments de réseau, par exemple, des informations de signalisation sont échangées entre un utilisateur mobile et le réseau téléphonique.
Les informations comprennent la composition des chiffres, la fourniture d’une tonalité, l’envoi d’une tonalité d’appel en attente, l’accès à une boîte vocale, etc.
Le terme Signalisation hors bande est utilisé pour spécifier cette signalisation qui n’a pas lieu sur le même chemin que la conversation. Le canal numérique utilisé pour l’échange d’une information de signalisation est appelé lien de signalisation, lorsqu’un appel est passé, les chiffres composés, le joncteur réseau sélectionné et d’autres informations sont envoyés entre les commutateurs en utilisant leurs liens de signalisation, plutôt que les joncteurs réseau utilisés pour transporter la conversation.
La signalisation hors bande présente les avantages suivants :
• Elle permet le transport de plus de données à un niveau supérieur.
• Il permet de signaler à tout moment pendant toute la durée de la conversation, pas seulement au début de l’appel.
• Il permet la signalisation aux éléments du réseau auxquels il n’y a pas de connexion directe au joncteur réseau.

Le SS7 est également utilisé pour implémenter l’itinérance réseau lorsque les utilisateurs doivent utiliser différents fournisseurs de réseau.
Un pirate accédant au système SS7 peut espionner les utilisateurs cibles, les localiser et transférer des appels de manière transparente.
L’accès au système SS7 est possible en utilisant un nombre illimité de réseaux.
En réponse à la divulgation des problèmes de sécurité liés au protocole SS7, les organismes de télécommunications et les opérateurs, y compris la GSMA, ont mis en place des services de surveillance pour prévenir les intrusions ou les abus.
Récemment, un groupe de pirates informatiques a démontré comment espionner les utilisateurs mobiles en utilisant simplement leurs numéros de téléphone; ils ont choisi comme cible un membre du Congrès américain complaisant.
Le groupe est dirigé par le populaire expert en sécurité allemand Karsten Nohl; les chercheurs ont démontré qu’ils étaient capables d’écouter et de suivre géographiquement le politicien en connaissant simplement son numéro de téléphone.
Il n’y a rien de nouveau dans la révélation car la communauté des opérateurs télécoms était au courant de la technique adoptée par les experts en sécurité, la même équipe a illustré par le passé la technique qui exploite les failles de sécurité du Système de Signalisation n ° 7, également connu sous le nom de protocole SS7.
Un attaquant peut exploiter la sécurité émise dans le protocole SS7 pour espionner les appels téléphoniques privés, les enregistrer et surveiller les mouvements de la cible.
Il y a exactement un an, les 60 Minutes de Channel Nine rapportaient l’existence d’une faille de sécurité dans les systèmes de télécommunications modernes qui pourrait être exploitée par des cybercriminels pour écouter des conversations téléphoniques et lire des messages texte.
Karsten Nohl et son équipe ont enquêté sur la présence de failles de sécurité dans le système SS7 en 2014.
À cette occasion, Nohl et ses collègues ont pu intercepter des données et géolocaliser chaque utilisateur mobile en exploitant une faille du système de signalisation SS7.

En décembre 2014, un groupe de chercheurs allemands au Chaos Communication Hacker Congress a révélé l’existence de graves problèmes de sécurité dans le protocole utilisé par un grand nombre de opérateurs de téléphonie mobile. Malgré les énormes investissements dans la sécurité réalisés par les compagnies de téléphone, l’adoption de protocoles défectueux expose les clients à de graves risques en matière de confidentialité et de sécurité.
« C’est comme si vous sécurisiez la porte d’entrée de la maison, mais la porte arrière est grande ouverte”, a déclaré Tobias Engel, l’un des chercheurs allemands.

Figure 1– Diapositives de Tobias Engel présentées au CCC Berlin

Que sait le réseau de votre localisation ?
Tobias a expliqué que le réseau connaît l’emplacement de la tour cellulaire qui pourrait être utilisée pour avoir une assez bonne approximation de l’emplacement d’un utilisateur. Bien que l’accès aux informations gérées par les opérateurs soit limité au fonctionnement technique du réseau, des appels vocaux et des messages courts peuvent être lancés vers votre numéro de téléphone à partir de presque n’importe où dans le réseau SS7 mondial.

Figure 2 – Diapositives de Tobias Engel présentées au CCC Berlin

Ci-dessous la présentation faite par l’expert Tobias Engel:

Des attaques reposant sur ces problèmes de sécurité se sont déjà produites dans le passé, l’un des incidents majeurs a été enregistré par la NKRZI (qui est la Commission Nationale pour la Régulation Étatique des Communications et de l’Informatisation en Ukraine) et concernait des adresses russes en avril 2014.
L’expert a remarqué que de nombreux détenteurs de téléphones portables ukrainiens ont été ciblés par des paquets SS7 envoyés de Russie pour les suivre et voler des informations sur les appareils mobiles.
Selon la société de sécurité AdaptiveMobile qui a analysé l’affaire, un certain nombre d’abonnés mobiles ukrainiens « ont été affectés par des paquets SS7 suspects / personnalisés d’éléments de réseau de télécommunications avec des adresses russes sur une période de trois jours en avril 2014. Les paquets révélaient l’emplacement des abonnés et potentiellement le contenu de leurs appels téléphoniques à obtenir. »
Une série de paquets SS7 ont été envoyés au réseau SS7 de MTS Ukraine, ce qui a entraîné la modification des informations de contrôle stockées dans les commutateurs réseau pour plusieurs utilisateurs mobiles de MTS Ukraine. L’effet était que l’un des MTS affectés utilisés essayait d’appeler quelqu’un d’autre, leur appel serait transmis à un numéro de ligne terrestre physique à Saint-Pétersbourg, en Russie, permettant l’interception de la communication.
« Dans le document, l’enquête indiquait que les paquets SS7 personnalisés provenaient eux-mêmes de liens attribués à MTS Russia, la société mère de MTS Ukraine. Le régulateur ukrainien a ensuite attribué la responsabilité des nœuds qui ont généré le SS7 en fonction des adresses d’origine dans les paquets SS7 reçus. Selon le rapport, certaines des adresses sources SS7 à l’origine de l’attaque ont été attribuées à MTS Russia, tandis que d’autres ont été attribuées aux communications cellulaires de Rostov. » a déclaré l’AdaptiveMobile.
L’incident n’a pas été isolé, d’autres cas ont été observés dans différents pays, considérons par exemple que le même protocole est utilisé par les principaux fournisseurs australiens, cela signifie que les données australiennes pourraient être exposées à des pirates informatiques. Noms, adresses, coordonnées bancaires et données médicales volés en raison d’une faille de sécurité qui pourrait donner aux pirates l’accès à leurs appareils mobiles.
Un autre cas a été rapporté par le Guardian qui a révélé que des tests de sécurité menés par un opérateur au Luxembourg ont mis hors ligne le plus grand opérateur de réseau norvégien Norway pendant plus de trois heures en raison d’un « événement externe SS7 inattendu. »
Un rapport préliminaire publié par Telenor indique que le problème a été causé par la réception d’une ”signalisation inhabituelle » d’un autre opérateur international dans leurs réseaux. Le logiciel d’Ericsson a mal interprété ces messages de signalisation très rares arrêtant une partie du trafic mobile.
Ericsson a identifié comment la perception erronée de la signalisation s’est produite et a appliqué la correction nécessaire pour résoudre le problème.
La réalité est que les protocoles anciens et non sécurisés pourraient nuire à notre vie privée en élargissant considérablement notre surface d’attaque.