Des malfaiteurs ont été arrêtés il y a quelques jours, après avoir mené une cyberattaque d'envergure visant des utilisateurs mobiles, à Paris. L’attaque se distingue par l’emploi inattendu d’un outil d'espionnage généralement réservé aux services de renseignements, appelé IMSI catcher.
Un IMSI catcher est un dispositif électronique capable d’intercepter toutes les communications mobiles via le réseau de téléphonie. En agissant en tant qu’antenne relais, l’outil est capable de siphonner toutes les informations en transit des utilisateurs : SMS, appels et données.
Cette attaque de type Man-In-The-Middle n’est pas visible des utilisateurs et sa prévention nécessite une application de sécurité mobile telle que Pradeo Security.
Régulièrement, notre solution neutralise des tentatives d’attaques similaires sur les mobiles qu’elle protège. On les observe particulièrement dans les grandes villes et lors de conférences rassemblant de hauts profils.
Un dispositif accessible et particulièrement intrusif
L’IMSI catcher, pour International Mobile Subscriber Identity, n’a rien de nouveau puisque la première implémentation de ce type d’outil remonte à 1993. De nombreuses entreprises en fournissent aux gouvernements. Ces dispositifs sont notamment utilisés pour assurer la sécurité lors de grands rassemblements ou de célébrations.
L’IMSI catcher permet d’espionner les communications des utilisateurs mobiles situés dans sa zone de proximité, en se substituant aux antennes relais classiques tout en assurant le maintien du service. Dans la récente attaque découverte, l’équipement était disposé dans un véhicule qui a sillonné les rues de Paris. Les appareils mobiles étant constamment à la recherche du signal le plus fort pour se connecter sur un relais, près de 16000 smartphones s’y seraient connectés selon Les Numériques. Bien qu'une partie du trafic soit chiffrée, de nombreuses données personnelles peuvent tout de même être exploitées.
En l’occurrence, l’IMSI catcher a été utilisé pour récolter des numéros de téléphone pour enrichir une vaste campagne de smishing, hameçonnage via SMS, se faisant passer pour l’Assurance Maladie. Cette attaque illustre encore une fois la convergence des techniques de piratage utilisées par les criminels pour parvenir à leurs fins.
Finalement, cet outil particulièrement intrusif n’est pas l’apanage des Etats, le chercheur en sécurité Chris Paget en a fait la démonstration à la DEF CON de 2010 en perpétrant l’attaque en direct. Il a déclaré avoir mis en place l’IMSI catcher à base de matériel générique pour la somme de 1 500 $.
Mesures de sécurité prisent par les opérateurs mobiles
La détection des antennes relais malveillantes n’est pas prise en charge par les systèmes d’exploitation des smartphones. Les réseaux 3G et 4G sont particulièrement vulnérables à l’attaque. Le réseau 5G l’est également, mais dans une moindre mesure, car il comporte deux innovations :
- Le Increased Home Control, une fonctionnalité qui permet de détecter les faux réseaux téléphonique lorsqu’un mobile est connecté au réseau en roaming (généralement à l’étranger)
- Le SUPI, un substitue de l’IMSI, qui lui n’est jamais transmis via le réseau.
Malgré ces avancées, la grande majorité des utilisateurs mobiles est toujours exposée à cette menace. Cependant, il existe des solutions qui permettent de les contrecarrer.
Comment sécuriser les données de vos utilisateurs mobiles ?
L’application de sécurité mobile Pradeo Security, disponible sur Android et iOS et à destination des entreprises et organisations, détecte et empêche les attaques utilisant un IMSI catcher. Elle détecte régulièrement des tentatives de connexion à des réseaux cellulaires malveillants, particulièrement dans les grandes villes ainsi que lors de salons et conférences rassemblant de hauts profils, politiques et privés.
Nous encourageons les équipes en charge de flottes de terminaux mobiles sur lesquels des informations sensibles sont manipulées à mettre en place des mesures de sécurité adaptées.
Discutons de vos projets de sécurité mobile, contactez-nous.
