IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 104
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 104
    Points : 148 635
    Points
    148 635
    Par défaut Des chercheurs allemands découvrent une faille qui permet d'écouter des conversations téléphoniques
    Des chercheurs allemands découvrent une faille dans le réseau mobile qui permet d'écouter des conversations téléphoniques
    et d'intercepter des SMS

    Des chercheurs allemands ont trouvé une faille dans la sécurité du système de signalisation #7 (SS7- un ensemble de protocoles de signalisation téléphonique qui sont utilisés dans la grande majorité des réseaux téléphoniques mondiaux. Ses principales applications sont l'établissement et la libération d'appels) qui pourrait permettre à des pirates d’espionner les appels privés et même d’intercepter des messages textes sur une échelle potentiellement grande, et ce, même si les réseaux utilisent les chiffrements les plus avancés.

    Pour rappel, SS7 fournit, dans le réseau téléphonique, une structure universelle pour la signalisation, l'envoi de messages, l'interconnexion et la maintenance réseau. Il gère l'établissement d'appels, l'échange d'informations utilisateur, le routage d'appels, la facturation et supporte les services du réseau intelligent. Même si son utilisation principale est de délivrer un appel téléphonique à travers le réseau téléphonique commuté (RTC), les failles découvertes concernent en réalité d’autres fonctions intégrées dans SS7, comme le maintien des appels connectés et le passage d’une tour téléphonique à une autre, que les pirates peuvent réutiliser pour pouvoir effectuer leur surveillance.

    Les chercheurs expliquent qu’ils peuvent alors localiser les appelants n’importe où dans le monde, écouter des appels en direct et enregistrer des centaines d’appels et messages textes chiffrés qu’ils déchiffreront plus tard.

    Cependant, la surveillance non autorisée des communications privées n’est pas le seul risque auquel expose cette faille ; les chercheurs indiquent que les utilisateurs peuvent alors devenir la cible d’opérations de fraudes et d’escroqueries.

    Une information qui arrive alors que de récentes révélations ont été faites sur les mesures prises par des gouvernements, parmi lesquels les gouvernements américain et anglais, pour balayer les communications des diplomates étrangers ainsi que de leurs propres citoyens. D’ailleurs le remue-ménage provoqué par les révélations d’Edward Snowden en 2013 a poussé les utilisateurs de téléphones cellulaires à exiger des entreprises privées une meilleure protection de leur vie privée. Pourtant, selon les chercheurs, même ces efforts ne suffisent pas.

    Et le Washington Post l’explique : « ces vulnérabilités continuent d’exister malgré le fait que les opérateurs téléphoniques dépensent des milliards de dollars afin de mettre à niveau la technologie 3G, d’une part, et de sécuriser les communications face aux écoutes non autorisées d’autre part. Pourtant, même si les opérateurs endurcissent leurs systèmes, ils doivent toujours communiquer les uns avec les autres par SS7, exposant ainsi l’ouverture de leur réseau à des milliers d’entreprises dans le monde. Ce qui signifie qu’un seul opérateur au Congo ou au Kazakhstan, par exemple, pourrait être utilisé pour pénétrer les réseaux cellulaires aux États-Unis, en Europe ou partout ailleurs ». « C’est comme sécuriser votre porte d’entrée alors que la porte arrière est grande ouverte », a avancé Tobias Engel, l’un des chercheurs allemands.

    Eigel et son équipe ont trouvé deux méthodes pour espionner les communications en utilisant la faille sur SS7. Dans la première, des commandes envoyées sur SS7 pourraient permettre de pirater la fonction pour ‘faire suivre’ un appel, un service que de nombreux opérateurs offrent et qui est bien pratique lorsque vous avez plusieurs téléphones et que vous ne vous êtes déplacé qu’avec un seul. Si votre correspondant vous appelle sur le téléphone A et que vous avez activé cette option, vous recevrez alors l’appel sur le téléphone B. C’est ce principe que les hackers pourraient utiliser en redirigeant les appels vers eux-mêmes afin de les écouter, voire de les enregistrer. Une fois que le système est mis sur pied, les hackers peuvent écouter indéfiniment les appels entrants et sortants.

    La seconde technique, quant à elle, requiert une proximité physique mais peut être déployée à grande échelle. Les hackers se servent des antennes radio pour intercepter les messages et appels passant par les ondes dans la zone. Pour les appels et les messages textes utilisant un chiffrement fort, les hackers peuvent demander, par une requête via SS7, que l’opérateur téléphonique de chaque expéditeur laisse une clé temporaire de déchiffrement afin de l’appliquer aux communications une fois qu’elles ont été enregistrées.

    Ils ont démontré cette possibilité d’intercepter et de déchiffrer les messages textes en utilisant le téléphone d’un sénateur allemand, qui a bien voulu se prêter à l’expérience. Ils ont par la suite expliqué que ce processus peut être automatisé afin de permettre un déchiffrement massif des appels et des messages de toute une ville ou même d’une grande partie d’un pays, en se servant de plusieurs antennes.

    Ces tests ont été menés sur plus de 20 réseaux dans le monde, parmi lesquels T-Mobile aux États-Unis. « Je doute que nous soyons les premiers dans le monde à avoir réalisé combien le réseau SS7 est ouvert », a dit Engel. Les chercheurs présenteront la faille dans le détail à la conférence des hackers qui aura lieu dans les prochains jours à Hambourg.

    Source : Washington Post

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Profil pro
    Concepteur/Développeur
    Inscrit en
    mai 2007
    Messages
    88
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Concepteur/Développeur

    Informations forums :
    Inscription : mai 2007
    Messages : 88
    Points : 241
    Points
    241
    Par défaut
    Peut-être que la faille n'en ai pas une

  3. #3
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 551
    Points
    551
    Par défaut
    Ce n'est pas la première fois que des failles sont découvertes dans les réseaux mobiles. Une bonne raison de ne transmettre aucune donnée sensible directement par téléphone. À part en ajoutant une couche de chiffrement au niveau de la transaction. Et encore, il ne faut pas qu'il y ai de backdoor au niveau des téléphones eux-mêmes. Ce qui est loin d'être sûr .

  4. #4
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 341
    Points : 1 474
    Points
    1 474
    Par défaut
    Bon bah pour la confidentialité des appels, c'est dead. Même crypté, les messages peuvent être récupérés et décryptés.
    C'est le contenu des messages qu'il va falloir codé. Une fois le contenu codé, on code le contenant, ainsi on restreint la divulgation du contenu réel du message.

    Bref, quand on a des choses réellement importante à dire, ce n'est ni par internet ni par le réseau téléphonique classique qu'on peut le faire.

    Au fait, qu'en est-il de la téléphonie par satellite? Je suppose que là aussi il doit y avoir des failles de sécurité? Ceci dit, la communication n'ayant qu'un seul relais (le satellite lui même), les failles doivent être moins nombreuses. Qu'en pensez-vous?
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  5. #5
    Membre éprouvé

    Homme Profil pro
    Développeur PHP/Symfony // Mentor OpenClassrooms
    Inscrit en
    octobre 2014
    Messages
    203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hautes Alpes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur PHP/Symfony // Mentor OpenClassrooms
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2014
    Messages : 203
    Points : 1 267
    Points
    1 267
    Billets dans le blog
    3
    Par défaut
    < Eldran64 : Tu serais surpris de la qualité médiocre de la sécurité de la téléphonie par satelite ...

    On connaît ces failles, on sait comment les détecter et personne n'arrive à faire bouger les choses ? Il n'y a que moi que cela choque ?

  6. #6
    Membre extrêmement actif Avatar de eldran64
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2008
    Messages
    341
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2008
    Messages : 341
    Points : 1 474
    Points
    1 474
    Par défaut
    Et on retombe sur ce que disait "Dasoft": les failles sont probablement voulues pour mieux contrôler ce qui se passe sur le réseau.
    Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci

  7. #7
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2014
    Messages : 194
    Points : 12 283
    Points
    12 283
    Par défaut SS7 : les chercheurs décident de publier les détails de la faille
    SS7 : les chercheurs décident de publier les détails de la faille
    La brèche aurait été utilisée par des hackers russes pour espionner l’Ukraine

    Tobias Engel, l’un des chercheurs qui ont découvert la faille de sécurité dans SS7 (Signaling System #7), va présenter le 27 décembre 2014, les détails de ces vulnérabilités durant le Chaos Communication Congres qui se tiendra à Hamburg.

    Pour rappel, SS7 fournit une signalisation universelle dans les réseaux téléphoniques permettant de gérer l’établissement d’appels et leur routage, ainsi que la facturation, l’envoi de messages et l’interconnexion de l’appareil de l’utilisateur avec une tour téléphonique.

    Ces failles de sécurité pourraient permettre à des pirates d’écouter des appels téléphoniques privés et intercepter des messages, « même lorsque ces réseaux cellulaires utilisent les techniques de chiffrement les plus avancées connues jusqu’à présent ». Selon l’équipe de recherche, ces vulnérabilités continuent d'exister même si les opérateurs de téléphonie mobile investissent des milliards de dollars pour mettre à niveau la technologie pour la sécurisation des communications contre les écoutes non autorisées. Le point faible de la chaine serait que ces opérateurs doivent encore communiquer les uns avec les autres en utilisant SS7. « C’est comme sécuriser la porte d'entrée de sa maison, mais laisser la porte arrière grande ouverte », déclare Tobias Engel, fondateur de Sternraute, qui compte parmi les plus grandes sociétés de sécurité de réseaux téléphoniques.

    En parallèle à Sternraute, l’équipe de Security Research Labs qui avait réussi à craquer le chiffrement GSM A5/1 avait elle aussi découvert la faille du SS7. Karsten Nohl, responsable de cette équipe, a déclaré qu’ils peuvent enregistrer et déchiffrer des données de n’importe quel réseau avec cette faille. Durant leurs essais ils ont réussi à exploiter la vulnérabilité sur plus de 20 opérateurs téléphoniques à travers le monde, y compris T-Mobile aux États-Unis. Ils ont aussi fait une démonstration pour intercepter et déchiffrer un message texte envoyé en utilisant le téléphone d'un sénateur allemand qui avait participé à l'expérience. Ceci aurait été possible en combinant une attaque du type Man in the Middle (homme du milieu) avec une attaque de force brute.

    Aussi, il semblerait, selon un rapport publié par le régulateur des télécommunications en Ukraine, que la faille avait été utilisée en avril dernier pour intercepter des appels d’utilisateurs ukrainiens et les transférer à un autre réseau à St Petersburg en Russie.


    Le sénateur allemand qui avait coopéré à la démonstration de Nohl déclare qu’ « après tout ce que nous avons entendu de la NSA grâce à Snowden, je suppose que personne ne croit qu'il est possible d'avoir une conversation vraiment privée sur un téléphone mobile [..] Quand j’ai vraiment besoin d’avoir une conversation confidentielle, j’utilise une ligne fixe ».

    Source : Washington Post, Adaptative Mobile

    Et vous ?

    Qu’en pensez-vous ?

  8. #8
    Membre extrêmement actif Avatar de ddoumeche
    Homme Profil pro
    Ingénieur recherche et développement
    Inscrit en
    octobre 2007
    Messages
    1 421
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Singapour

    Informations professionnelles :
    Activité : Ingénieur recherche et développement

    Informations forums :
    Inscription : octobre 2007
    Messages : 1 421
    Points : 2 486
    Points
    2 486
    Par défaut
    J'en pense que le BND allemand devrait aller voir ce monsieur pour lui demander de bien vouloir lui communiquer tous les détails techniques, avec interdiction de les transmettre à un tiers sous peine d'inculpation d'espionnage. Car de ce que j'ai pu suivre dans la presse d'outre Rhin, ce pays a un problème avec un de ses oncles qui écoute aux portes.

    En ce qui concerne l'Ukraine, cela ne réclame pas de compétences techniques particulières, mais juste un petit pot de vin. Le pays souffre de pauvreté endémique depuis la chute de l'URSS, ainsi que de corruption (mais c'est sans doute plus vieux). Un petit billet est toujours le bienvenu pour les techniciens des télécoms.
    De plus les services secrets locaux (le SBU) soit sans doute largement infiltrés par les russes et ce depuis des dizaines d'années.
    La joie de l'âme est dans la planification -- Louis Hubert Liautey

  9. #9
    Membre à l'essai
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2015
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Marne (Champagne Ardenne)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : mai 2015
    Messages : 6
    Points : 14
    Points
    14
    Par défaut
    moi lorsque je dois avoir une conversation confidentielle je me déplace pour la faire de vive voix et je laisse mon mobile chez moi.

  10. #10
    Nouveau Candidat au Club
    Homme Profil pro
    Chercheur en informatique
    Inscrit en
    octobre 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : Bénin

    Informations professionnelles :
    Activité : Chercheur en informatique

    Informations forums :
    Inscription : octobre 2017
    Messages : 1
    Points : 1
    Points
    1
    Par défaut Question
    Bonjour
    Avec quel logiciel pouvons nous exploiter la faille ss7 ? ?

Discussions similaires

  1. Des chercheurs découvrent une faille dans la mémoire cache
    Par Olivier Famien dans le forum Actualités
    Réponses: 35
    Dernier message: 02/05/2015, 19h34
  2. Application Java web qui permet d'intégrer des données XML dans une base Oracle
    Par honesttrick dans le forum Développement Web en Java
    Réponses: 3
    Dernier message: 22/10/2014, 10h50
  3. Réponses: 1
    Dernier message: 14/01/2014, 11h31
  4. Existe-il une macro qui permet de différencier des cellules identiques ?
    Par marion1857 dans le forum Macros et VBA Excel
    Réponses: 1
    Dernier message: 22/04/2013, 16h57
  5. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo