Des chercheurs allemands et finlandais ont découvert que le protocole 4G/LTE pouvait être exploité pour découvrir la localisation d'une cible, en exploitant certaines applications qui y étaient installées. En particulier Facebook et WhatsApp.

Le protocole 4G/LTE est réputé mieux sécurisé que la 3G et a fortiori que la 2G (ce qui n’était pas difficile), mais il n’est toutefois pas exempt de défauts qui menacent la vie privée des utilisateurs. Des chercheurs de l’Université de Berlin et de l’Université d’Helsinki ont ainsi publié cette semaine (.pdf) ce qu’ils affirment être la première attaque concrète révélée publiquement contre les réseaux de quatrième génération.

Leur méthode rapportée par The Register s’appuie sur une faille du protocole pour révéler la localisation géographique d’un individu dans un périmètre moyen d’environ 2 kilomètres carrés, en exploitant également des applications qui peuvent générer des notifications à la demande de tiers. En l’espèce, ils ont choisi de réaliser leurs attaques de démonstration via Facebook Messenger et WhatsApp, mais le mécanisme doit être reproductible avec Snapchat, Skype, Twitter et de nombreuses autres applications de messagerie.

Montre moi ton Guti
et je te dirai où tu es

Le principe décrit consiste à exploiter le protocole qui permet de véhiculer les notifications jusqu’à l’abonné. En 4G/LTE, ces messages sont émis exclusivement par la cellule à laquelle l’appareil mobile de l’utilisateur est connectée, en utilisant comme identifiant anonymisé le Global Unique Temporary Identity (GUTI) généré par le réseau de l’opérateur. Chaque smartphone connecté obtient son propre GUTI, qui change régulièrement. En tout cas, en théorie.

En pratique, les GUTI peuvent rester les mêmes plusieurs jours. Or, les en-têtes des messages de notification qui contiennent les GUTI ne sont pas chiffrés. Les chercheurs ont donc compris qu’ils pouvaient connaître le GUTI d’une cible en collectant les messages émis depuis les antennes-relais 4G/LTE (ce qui demande d’avoir tout de même une idée d’où elle se trouve), et envoyer des notifications discrètes aux victimes pour les suivre à la trace dans leurs déplacements.

La méthode dépend des applications utilisées par les cibles. Par exemple si elles utilisent Facebook, il faut envoyer un message en utilisant un compte lambda. Celui-ci ne déclenchera pas de notification explicite affichée par l’application, mais le message sera tout de même envoyé au smartphone pour atterrir dans l’onglet « autres messages » que personne ne regarde jamais (ou presque).

Autres, l'onglet caché.
Autres, l’onglet caché.

Avec WhatsApp, le simple fait de commencer à rédiger un message vers un correspondant l’en avertit, et génère donc un message relayé jusqu’à sa cellule avec son GUTI. Si le message n’est jamais envoyé, il y a de bonnes chances qu’ils ne s’en aperçoive jamais. En utilisant ce type de communications discrètes, des espions peuvent donc s’assurer qu’une cible est toujours dans le périmètre d’action d’une cellule d’un opérateur mobile, ou la suivre avec plus ou moins de précisions dans ses déplacements.

Mais surtout, les chercheurs expliquent que lorsqu’une localisation approximative est connue grâce à la cellule, il devient possible d’exploiter d’autres méthodes pour obtenir une localisation beaucoup plus précise.

Il est ainsi possible de créer de fausses stations eNode B et de tenter de forcer la cible à s’y connecter. Le protocole 4G/LTE fait qu’une communication s’établit avec des échanges de messages, qui comprennent notamment un « rapport de mesure » sur la puissance d’émission des autres cellules alentours, permettant une triangulation, voire carrément d’obtenir une localisation précise par GPS, si le smartphone supporte la fonctionnalité optionnelle rlf-InfoAvailable-r10.

triangulation-4G

Partager sur les réseaux sociaux

Articles liés