Les grands systèmes de communication sont-ils vulnérables ?

Aujourd’­hui, nous uti­li­sons nos télé­phones por­tables à de mul­tiples fins : pas­ser des appels, envoyer des SMS, échan­ger des images ou faire des achats en ligne. Pour ce faire, nous devons nous connec­ter au réseau de com­mu­ni­ca­tion (qui trans­met l’information entre dif­fé­rents dis­po­si­tifs et enti­tés) dont nous savons qu’il est vul­né­rable aux attaques. Les « fausses sta­tions de base » pro­fitent, par exemple, de la confiance en un nombre impor­tant d’acteurs pour fra­gi­li­ser le réseau.

« À l’arrivée de chaque nou­velle géné­ra­tion de com­mu­ni­ca­tions mobiles, des modi­fi­ca­tions sont appor­tées aux pro­to­coles de sécu­ri­té, explique Jan­nik Dreier. Le pro­blème est que la plu­part des pro­to­coles qui existent aujourd’­hui datent de l’in­tro­duc­tion des télé­phones numé­riques et n’ont que peu évo­lué, alors que les garan­ties de sécu­ri­té sou­hai­tées ont évi­dem­ment chan­gé depuis lors. »

L’un des chan­ge­ments appor­tés lors du pas­sage à la 5G concerne la pro­tec­tion de la vie pri­vée. Pour sécu­ri­ser les com­mu­ni­ca­tions, l’appareil et le réseau doivent pou­voir s’au­then­ti­fier mutuel­le­ment lors­qu’une connexion est éta­blie. Cepen­dant, pen­dant la connexion et l’é­change (de don­nées, de paroles ou d’i­mages), l’i­den­ti­té et la loca­li­sa­tion de l’u­ti­li­sa­teur ain­si que le conte­nu des échanges doivent res­ter confi­den­tiels. Pour ce faire, un pro­to­cole de com­mu­ni­ca­tion appe­lé Authen­ti­ca­tion and Key Agree­ment (AKA) est uti­li­sé depuis l’in­tro­duc­tion de la norme 3G. Cela signi­fie que les mes­sages sont chif­frés à l’aide d’une clé échan­gée lors de l’établissement de la connexion.

La norme actuelle de com­mu­ni­ca­tion 5G est donc basée sur le pro­to­cole 5G AKA¹. Ce nou­veau pro­to­cole a consi­dé­ra­ble­ment amé­lio­ré la pro­tec­tion de l’identifiant du télé­phone par rap­port à la tech­no­lo­gie 4G, et a notam­ment réso­lu un pro­blème pré­cé­dem­ment exploi­té par les inter­cep­teurs IMSI (Inter­na­tio­nal Mobile Sub­scri­ber Iden­ti­ty). Ces dis­po­si­tifs per­met­taient d’intercepter l’IM­SI d’une carte de télé­phone mobile afin de déter­mi­ner la loca­li­sa­tion d’un appa­reil mobile et donc de suivre un uti­li­sa­teur. Com­ment ? En écou­tant sim­ple­ment les trans­mis­sions entre le télé­phone mobile et l’an­tenne du réseau mobile, l’IMSI étant envoyé en clair. Heu­reu­se­ment, cela n’est plus pos­sible avec la 5G AKA.

« Bien que cette par­tie ait été amé­lio­rée, le pro­to­cole dans son ensemble est loin d’être par­fait, pré­vient Jan­nik Dreier. C’est comme si nous n’a­vions fait que ‘‘bou­cher un trou’’. Si nous devions refor­mu­ler ce pro­to­cole et repar­tir de zéro, pour ain­si dire, nous le construi­rions com­plè­te­ment dif­fé­rem­ment. C’est sou­vent le cas en matière de tech­no­lo­gie. Si la connexion entre un télé­phone et les antennes (sta­tions de base) est pro­té­gée, le pro­blème est que les don­nées ne sont plus pro­té­gées sur le réseau filaire ».

On fait confiance au réseau et à l’opérateur, ce qui crée un vec­teur poten­tiel pour une mise sous écoute et sous sur­veillance ou pour enga­ger une attaque directe. « L’u­ti­li­sa­tion d’é­qui­pe­ments chi­nois en par­ti­cu­lier a fait l’ob­jet de nom­breux débats, car une ‘‘porte déro­bée’’ pour­rait être uti­li­sée à des fins d’es­pion­nage ou car­ré­ment pour créer un ‘‘bou­ton rouge’’ : si l’on appuie des­sus, le réseau et tous les appa­reils com­mu­ni­cants ces­se­raient immé­dia­te­ment de fonc­tion­ner. »

En outre, les réseaux de télé­pho­nie mobile nous per­mettent d’u­ti­li­ser nos télé­phones en iti­né­rance, c’est-à-dire en nous connec­tant à un réseau dif­fé­rent de celui de notre opé­ra­teur prin­ci­pal (lorsque nous sommes à l’é­tran­ger, par exemple). Il existe ain­si un risque qu’un atta­quant fasse croire que nos télé­phones se trouvent en iti­né­rance et ins­talle une fausse sta­tion de base², c’est-à-dire un dis­po­si­tif mal­veillant uti­li­sé pour imi­ter une sta­tion de base légi­time d’un réseau mobile. Les com­mu­ni­ca­tions n’é­tant pro­té­gées que jus­qu’à la fausse sta­tion, l’attaquant est en prin­cipe en mesure d’intercepter et de sur­veiller tous les échanges qui tran­sitent par celle-ci. Mal­heu­reu­se­ment, les smart­phones actuels ne sont que peu équi­pés pour nous aver­tir de telles attaques – ils acceptent faci­le­ment de se connec­ter en iti­né­rance, ce qui n’est pas tou­jours clai­re­ment visible pour l’utilisateur (qui, de plus, ne se doute de rien parce qu’il n’est peut-être même pas à l’étranger).  

La mise en place de fausses sta­tions de base ne se limite pour­tant pas à ser­vir des inté­rêts mal­veillants. Avec l’appui des opé­ra­teurs de réseaux mobiles, elle peut être uti­li­sée, par exemple, par la police et les ser­vices de ren­sei­gne­ment à des fins de lutte contre la cri­mi­na­li­té ou de sur­veillance : outre les conver­sa­tions télé­pho­niques et les mes­sages, ces acteurs peuvent suivre tout conte­nu tran­si­tant par la fausse sta­tion de base.

La sécu­ri­té ne se limite pas au réseau, mais concerne éga­le­ment les télé­phones eux-mêmes, notam­ment avec l’utilisation des com­mu­ni­ca­tions chif­frées de bout en bout, comme celles uti­li­sées dans des appli­ca­tions telles que Signal et What­sApp. En effet, si l’on pro­tège les com­mu­ni­ca­tions de bout en bout, chaque extré­mi­té de la trans­mis­sion devient natu­rel­le­ment une cible d’at­taque, tant pour les cri­mi­nels que pour les ser­vices d’État qui cherchent à com­pen­ser la perte d’efficacité de la sur­veillance du réseau.

C’est pour cette rai­son que des pro­po­si­tions visant à ins­tau­rer une sur­veillance des appa­reils à dis­tance voient régu­liè­re­ment le jour, notam­ment dans le cadre de la lutte contre le ter­ro­risme ou la pédo­por­no­gra­phie³. « Il y a cepen­dant des pro­blèmes, explique Jan­nik Dreier. D’un point de vue tech­nique, cette approche devra néces­sai­re­ment por­ter atteinte à la sécu­ri­té des com­mu­ni­ca­tions et des sys­tèmes pour l’en­semble de la popu­la­tion car elle pré­voit que tous les appa­reils soient scan­nés, et non seule­ment en cas de sus­pi­cion. »  

Par ailleurs, les solu­tions pro­po­sées pour lut­ter contre la pédo­por­no­gra­phie reposent essen­tiel­le­ment sur la com­pa­rai­son des images avec une base de don­nées d’images connues, ou sur l’utilisation d’une intel­li­gence arti­fi­cielle entrai­née sur ces images. Cela implique néces­sai­re­ment l’existence de « faux néga­tifs », c’est-à-dire d’images pédo­por­no­gra­phiques non détec­tées, mais pire encore, un risque de « faux posi­tifs », ou « fausses alertes » : on pour­rait être accu­sé d’un crime que l’on n’a pas com­mis, parce qu’une image a été détec­tée à tort par l’intelligence artificielle.

Si toutes les images sur tous les appa­reils sont scan­nées, il y aura inévi­ta­ble­ment un grand nombre de ces erreurs de clas­si­fi­ca­tion. « Nous savons éga­le­ment que des modi­fi­ca­tions invi­sibles à l’œil nu peuvent être appli­quées à une image, mais qu’elles conduisent à une clas­si­fi­ca­tion erro­née par l’IA. On peut donc ima­gi­ner que des per­sonnes mal­veillantes modi­fient ain­si des images et les envoient à d’autres per­sonnes ciblées afin qu’elles soient détec­tées comme déten­trices des conte­nus pédo­por­no­gra­phiques. »

Il y a aus­si un dan­ger plus poli­tique. « Une fois qu’une telle infra­struc­ture est en place, elle peut être uti­li­sée à d’autres fins et, in fine, notam­ment dans les pays non-démo­cra­tiques, à la répres­sion. Il est éga­le­ment impor­tant de noter que nous ne savons pas exac­te­ment com­ment fonc­tionnent ces infra­struc­tures, car les algo­rithmes de détec­tion qui les sous-tendent ne sont pas dans le domaine public, ajoute-t-il. C’est un pro­blème, car nous ne sau­rions pas sur quelle base nous avons été incri­mi­nés. Il y aurait un manque de trans­pa­rence. Une telle stra­té­gie crée des capa­ci­tés sans pré­cé­dent de sur­veillance et de contrôle des uti­li­sa­teurs, avec des consé­quences poten­tiel­le­ment énormes pour la démo­cra­tie en Europe et dans le monde. »

« Dans les réseaux actuels, nous fai­sons beau­coup trop confiance aux opé­ra­teurs et à leurs équi­pe­ments, ce qui entraine des fai­blesses inhé­rentes. Mal­heu­reu­se­ment, cela ne risque pas de chan­ger de sitôt, car ce n’est pas finan­ciè­re­ment inté­res­sant pour les opé­ra­teurs », explique-t-il à Poly­tech­nique Insights. Par consé­quent, la situa­tion pour­rait même s’empirer à l’avenir : « S’il n’est pas pos­sible de recons­truire ces archi­tec­tures à par­tir de zéro, dans un modèle qui repose moins sur la confiance aux opé­ra­teurs, nous devons cor­ri­ger les lacunes connues. Cer­taines peuvent être faciles à répa­rer, notam­ment par l’utilisation de solu­tions de pro­tec­tion de bout en bout, mais pas d’autres. Il n’y aura jamais de solu­tions par­faites. »

Propos recueillis par Isabelle Dumé