Dans le monde d’aujourd’hui, la confidentialité et la cybersécurité font la une des journaux. Mis à part COVID-19, ils sont les gros titres. Qu’elles soient liées à l’espionnage d’État, à la manipulation électorale étrangère, au piratage de comptes financiers ou à la commercialisation de nos données sur les réseaux sociaux, ces histoires apparaissent régulièrement et régulièrement dans la presse.

Au fur et à mesure que l’Internet a mûri, les consommateurs ont appris à vivre avec le fait qu’il n’existe pas de service gratuit – lorsque quelque chose lié au Web est gratuit, c’est généralement le consommateur qui est le produit! Cependant, pour ceux d’entre nous qui travaillent dans les télécommunications, alors que la confidentialité et la sécurité peuvent faire la une des journaux, le thème de la sécurité de la signalisation est resté relativement obscure et surtout suivie par des spécialistes de l’industrie des télécommunications.

Cependant, décembre 2020 peut rester dans les mémoires comme le mois où cette relative obscurité a été mise de côté et les vulnérabilités SS7 ont frappé la presse dans le monde entier. Tout a commencé le 1er décembre avec un article publié par The Citizen Lab, basé à l’Université de Toronto. “Running in Circles Uncovering the Clients of Cyberespionage Firm Circles” est un long article qui explique comment au moins 25 pays, de l’Australie au Zimbabwe, utilisent le produit d’une société appelée Circles pour “espionner les appels, les SMS et l’emplacement des téléphones dans le monde entier». Cercles est lié au groupe NSO, un peu plus connu (voir ci-dessous). Leur solution exploite des vulnérabilités bien connues du protocole de signalisation SS7 (et de Diameter aussi). L’article regorge de recommandations que les opérateurs et les régulateurs feraient bien de suivre, que j’aborderai plus tard dans ce blog.

Deux semaines plus tard, des rapports du Royaume-Uni traitaient de deux autres histoires intéressantes. L’un d’eux a allégué que la Chine espionnait les Américains en exploitant SS7. La deuxième histoire expliquait le rôle des titres mondiaux et comment ceux-ci sont loués à des tiers. N’oubliez pas que ce sont ces titres mondiaux qui sont la porte d’entrée vers la manipulation et les abus SS7. L’article cite un réseau déclarant qu’il loue des titres mondiaux à des entreprises «Qui fournissent des« services légitimes »tels que la détection antifraude pour les banques et d’autres services». Cependant, l’article explique également qu’il s’agit d’un zone potentielle de grand risque. Une source de Whitehall (pour les lecteurs non britanniques, c’est un euphémisme pour le gouvernement britannique) est citée comme déclarant que «Le protocole SS7 est ‘toxique, horrible – mais sur lequel le monde compte’, ajoutant ‘il peut être abusé pour géolocaliser des personnes’ mais il est complexe à sécuriser car ‘si vous vous trompez, vous vous déconnectez du reste du monde. monde'”.

Alors, à quels risques cet article faisait-il référence? Quelques jours plus tard, le Bureau of Investigative Journalism «TBIJ» a publié un très long article intitulé «Les entreprises d’espionnage utilisant les îles anglo-normandes pour suivre les téléphones dans le monde». Il s’agit d’un autre article à succès qui a vraiment mis en lumière l’activité trouble de la location de titres mondiaux et comprend des études de cas réelles très bouleversantes. Certains d’entre vous connaissent peut-être l’histoire de l’enlèvement présumé de la princesse Latifa de Dubaï en 2018. Parmi les nombreux détails du document du TBIJ, il y a la preuve que des tentatives mondiales ont été faites pour localiser le capitaine du yacht transportant la princesse Latifa quelques minutes avant que le yacht ne soit attaqué par des commandos. Ces tentatives ont exploité les mêmes vulnérabilités bien connues dans le protocole SS7 mentionnées précédemment. Plus loin dans l’article, ils révèlent que les revenus associés à un contrat de location de titres mondiaux atteignaient 13 000 dollars par mois. Enfin, l’article révèle que Rayzone a ciblé des utilisateurs dans plus de 130 réseaux dans 60 pays et a loué des titres mondiaux à des opérateurs en Islande, en Suède et en Suisse, entre autres.

Pour la prochaine nouvelle, nous revenons au Citizen Lab. «The Great iPwn – Journalistes piratés avec un exploit présumé de NSO Group iMessage ‘Zero-Click’» traite des activités du NSO Group susmentionné et de sa solution de logiciel espion Pegasus. Apparemment, cela a été déployé contre une variété de journalistes axés sur le Moyen-Orient. Cette histoire n’est pas directement liée à la sécurité de signalisation ou au piratage, mais devrait néanmoins intéresser les lecteurs de ce blog. Il est parfaitement clair que même l’utilisation d’applications qui chiffrent les communications ne peut pas faire face aux adversaires les plus avancés.

J’avais terminé ce blog la veille de Noël, convaincu qu’il n’y aurait plus d’histoires pertinentes. En fait, je me suis trompé, et une autre histoire intéressante est apparue sur TechCrunch, juste avant le réveillon du Nouvel An. «NSO a utilisé les données de localisation de personnes réelles pour présenter sa technologie de traçage des contacts, disent les chercheurs». Cette histoire revient sur un incident antérieur dans lequel NSO n’a pas réussi à sécuriser une base de données contenant des informations sur les abonnés, utilisée dans le cadre d’une solution de suivi potentielle du COVID-19, prétendument liée à un grand nombre d’individus de plusieurs pays. Lorsque TechCrunch a signalé la fuite, NSO a rejeté ses préoccupations, déclarant que les données n’étaient «pas basées sur des données réelles et authentiques».

TechCrunch a partagé les données avec Forensic Architecture, une unité universitaire de Goldsmiths, Université de Londres, qui étudie et examine les violations des droits de l’homme. Ils ont évalué les données et ont déclaré qu’il s’agissait probablement de données réelles. Évidemment, il est important que nous puissions faire confiance aux fournisseurs qui traitent des données sensibles. Cependant, pour moi, les points d’intérêt ici étaient qu’ils décrivaient NSO Group. J’avais déjà remarqué divers rapports faisant référence au logiciel Pegasus de NSO Group comme étant un «logiciel espion». Forensic Architecture va beaucoup plus loin, décrivant NSO Group comme un «fabricant d’armes cybernétiques». Pour moi, cela montre clairement que les réseaux mobiles sont confrontés à un adversaire important lorsqu’ils abordent la protection du réseau. Il s’agit d’un adversaire bien plus sophistiqué que de simples fraudeurs ou hackers ad hoc.

Avec notre tournée des articles de presse de décembre, je pense qu’il convient de faire deux observations supplémentaires.

• Je n’ai énuméré qu’un petit échantillon d’histoires qui ont frappé la presse. Chacun de ces articles a déclenché des dizaines d’autres reportages et articles locaux à travers le monde.
• Mobileum accueille favorablement la couverture des vulnérabilités bien documentées de la signalisation des télécommunications. Il est juste et approprié que cette question importante soit portée à l’attention du public. Cependant, en tant que politique, Mobileum ne nommera jamais publiquement les acteurs de la menace ou les sources d’attaques.

Enfin, je reviendrai sur la toute première histoire – celle que The Citizen Lab a publiée le 1er décembre. J’ai fait circuler cette histoire sur une liste de diffusion de l’industrie et j’ai inclus des extraits de ce rapport dans mon courrier électronique. Je pense que les points de cet article sont absolument critiques, alors je les répète ci-dessous. L’accent est mien, mais les mots sont du Citizen Lab.

1. 1. «nous pensons que les vulnérabilités inhérentes iEt le Le système mondial de télécommunications nécessite une action urgente de la part des gouvernements et des fournisseurs de télécommunications. Le secteur mondial des télécommunications offre d’importantes opportunités d’abus de la part de l’industrie de la surveillance et ses clients à la lumière de l’incapacité persistante des opérateurs de télécommunications et des États à empêcher une telle exploitation. »
3. 2. “Les gouvernements du monde entier devraient prendre des mesures pour protéger leurs citoyens et leurs propres opérations. Les organismes de réglementation des télécommunications devraient effectuer des audits réguliers des réseaux nationaux et obliger les opérateurs à identifier, divulguer et corriger les vulnérabilités. »
5. 3. “Opérateurs sans fil: faites-le maintenant. Nous recommandons de toute urgence que les entreprises de télécommunications examinent le trafic SS7 et Diameter provenant de fournisseurs dans les pays où nous avons identifié un déploiement de Circles pour des modèles d’abus. “
7. 4. “tous les principaux opérateurs sans fil devraient recevoir un audit SS7 et Diameter indépendant tous les 12 à 18 mois, et doit remédier à toutes les vulnérabilités identifiées. »
9. 5. «Nous sommes conscients que certains fournisseurs, comme un certain nombre d’entreprises américaines, expérimentent des pare-feu SS7, qui semblent prometteurs pour réduire certains types d’attaques. Nous exhortons les fournisseurs à divulguer publiquement leurs feuilles de route pour remédier aux vulnérabilités SS7 et Diameter, et estiment que les informations sur les menaces SS7 devraient être incluses dans les rapports de transparence des sociétés de télécommunications à l’avenir. »
11. 6. “Sonner l’alarme: recommandations pour les utilisateurs à haut risque… nous vous encourageons vivement à abandonner immédiatement l’authentification à deux facteurs par SMS pour tous les comptes lorsque cela est possible. »

Si vous êtes peut-être dans un opérateur et que vous doutez encore de la gravité de ce problème, j’espère que ce blog vous incitera à reconsidérer. J’espère que cela vous convainc que les diverses recommandations de la GSMA concernant les vulnérabilités de signalisation doivent être prises très au sérieux. Ces vulnérabilités couvrent plusieurs protocoles, et si vous n’avez pas encore pris de mesures, vos clients restent à risque. Si vous louez des titres mondiaux à des tiers, il est impératif de mettre en œuvre des contrôles contractuels et technologiques pour limiter l’utilisation de ces titres mondiaux à des fins légitimes et autorisées uniquement.

Pour citer une fois de plus Forensic Architecture, vous protégez peut-être votre réseau, vos clients et votre réputation contre un «fabricant d’armes cybernétiques».