Création : @smoytoo for @servicesmobiles
Des malfaiteurs ont été arrêtés il y a quelques jours après avoir mené une cyberattaque d’envergure visant des utilisateurs mobiles, à Paris. L’attaque se distingue par l’emploi inattendu d’un outil d’espionnage généralement réservé aux services de renseignements, appelé IMSI catcher.
Un IMSI catcher est un dispositif électronique capable d’intercepter toutes les communications mobiles via le réseau de téléphonie. En agissant en tant qu’antenne relais, l’outil est capable de siphonner toutes les informations en transit des utilisateurs : SMS, appels et données. Cette attaque de type Man-In-The-Middle n’est pas détectable manuellement et sa prévention nécessite une application de sécurité mobile. Régulièrement, ce type de solution neutralise des tentatives d’attaques similaires sur les mobiles qu’elle protège. On les observe particulièrement dans les grandes villes et lors de conférences rassemblant de hauts profils.
L’IMSI catcher n’a rien de nouveau puisque la première implémentation de ce type d’outil remonte à 1993. De nombreuses entreprises en fournissent aux gouvernements. Ces dispositifs sont notamment utilisés pour assurer la sécurité lors de grands rassemblements ou de célébrations. L’IMSI catcher permet d’espionner les communications des utilisateurs mobiles situés dans sa zone de proximité, en se substituant aux antennes relais classiques tout en assurant le maintien du service. Aux US, on utilise des drones pour rechercher et localiser efficacement les personnes disparues ou enterrées (téléphones portables) dans une grande zone visible et aussi des cibles invisibles. Il est aussi utilisé par la police pour aider les agents à localiser l’emplacement exact d’un suspect !
Dans la récente attaque découverte, l’équipement était disposé dans un véhicule qui a sillonné les rues de Paris. Les appareils mobiles étant constamment à la recherche du signal le plus fort pour se connecter sur un relais, près de 16 000 smartphones s’y seraient connectés, selon Les Numériques. Bien qu’une partie du trafic soit chiffrée, de nombreuses données personnelles peuvent tout de même être exploitées.
En l’occurrence, l’IMSI catcher a été utilisé pour récolter des numéros de téléphone pour enrichir une vaste campagne de smishing, hameçonnage via SMS, se faisant passer pour l’Assurance Maladie. Cette attaque illustre encore une fois la convergence des techniques de piratage utilisées par les criminels pour parvenir à leurs fins. Finalement, cet outil particulièrement intrusif n’est pas l’apanage des États. Le chercheur en sécurité Chris Paget en a fait la démonstration à la DEF CON de 2010 en perpétrant l’attaque en direct. Il a déclaré avoir mis en place l’IMSI catcher à base de matériel générique pour la somme de 1 500 $.
La détection des antennes relais malveillantes n’est pas prise en charge par les systèmes d’exploitation des smartphones. Ainsi, tous les utilisateurs mobiles sont exposés à cette menace. Cependant, il existe des solutions qui permettent de les contrecarrer. Par exemple, l’application de sécurité mobile Pradeo Security, disponible sur Android et iOS et à destination des entreprises et organisations, qui détecte et empêche les attaques utilisant un IMSI catcher. Elle détecte régulièrement des tentatives de connexion à des réseaux cellulaires malveillants, particulièrement dans les grandes villes ainsi que lors de salons et conférences rassemblant de hauts profils, politiques et privés. Nous encourageons les équipes en charge de flottes de terminaux mobiles sur lesquels des informations sensibles sont manipulées à mettre en place des mesures de sécurité adaptées.