Grâce à quelques lignes de code informatique, il est facile de localiser en temps réel votre téléphone portable, d’intercepter vos appels ou vos SMS, et ce depuis n’importe quel point du globe. C’est le constat pour le moins alarmiste de deux chercheurs en sécurité qui ont présenté leurs travaux, samedi 27 décembre, au Chaos Communication Congress, à Hambourg (Allemagne).
Cette possibilité est offerte aux agences de renseignement, à des entreprises ou à de simples individus grâce au réseau SS7. C’est ce réseau, interne aux opérateurs de téléphonie mobile, qui permet à ces derniers de diriger appels et SMS vers leurs clients, même quand ceux-ci se trouvent dans un autre pays. C’est en effet par le biais du SS7 que les opérateurs des deux pays échangent les informations nécessaires, notamment pour localiser l'abonné.
En théorie, l’accès au réseau SS7 est réservé aux opérateurs de téléphonie. Dans les faits, de nombreuses entreprises et individus peuvent s’y connecter : même si l'exploitation des failles de SS7 n'est pas à la portée du premier venu, elle ne présente pas de difficultés techniques majeures, ce qui inquiète beaucoup les experts.
« A partir du moment où vous avez accès au réseau, il n'y a quasiment plus aucun mécanisme de sécurité » explique Tobias Engel, l’un des deux chercheurs s’exprimant sur le sujet à Hambourg. Résultat : il est possible de se faire « passer » pour un opérateur et accéder à des informations concernant une majorité de détenteurs de téléphone mobile dans le monde.
La localisation est « très facile »
Pour Karsten Nohl, le deuxième chercheur, qui travaille au sein de l'entreprise allemande Security Research Lab, les principaux risques pour l’utilisateur sont sa localisation, qui peut être « très précise » et l’interception de ses appels et de ses SMS. « La localisation, par exemple, est très facile à mettre en œuvre » explique-t-il.
Lors de sa conférence à Hambourg, Tobias Engel a présenté les résultats d'une (...)