État des lieux de la sécurité des communications cellulaires

  • View
    220

  • Download
    7

Embed Size (px)

Transcript

  • tat des lieux de la scurit des communicationscellulaires

    Chaouki Kasmi et Benjamin Morin

    ANSSI 51 bd. de la Tour Maubourg 75700 Paris Cedex 07 France

    Rsum Le GSM fte cette anne ses 20 ans dexistence. Le nombredutilisateurs est estim 80% de la population mondiale, soit 5 milliardsdindividus dans plus de 200 pays [22]. La prolifration des terminauxmobiles et la multiplication de leurs usages (y compris dans des secteurso ils sont utiliss pour des communications entre machines) imposentla satisfaction dexigences de scurit fortes.Le thme de la scurit des communications mobiles est vaste car il en-globe celui de laccs radio, de linfrastructure des rseaux, des terminauxet des applications qui sy excutent. Cet article se focalise sur les deuxpremiers thmes.Depuis 2002, diffrents projets indpendants sintressent aux principesde scurit mis en uvre dans les rseaux de tlphonie mobile de 2meet 3me gnration. Cette prsentation dresse un panorama des objectifset des impacts de ces projets sur la scurit des rseaux de tlphoniemobile. Les principes de scurit sont voqus, ainsi que les problmesde golocalisation.

    1 Introduction

    Le thme de la scurit des communications mobiles est vaste car il englobecelui de laccs radio, de linfrastructure des rseaux, des terminaux et des ap-plications qui sy excutent.

    De nombreux articles ont t publis ces dernires annes sur le thme de lascurit des smartphones, en se focalisant essentiellement sur le domaine appli-catif. Certains travaux rcents portant sur les tlcommunications cellulaires ontnanmoins fait des avances significatives et ont dmontr le ralisme dattaquesjusqualors rputes thoriques. Ces travaux pointent du doigt une certaine in-ertie dans la prise en compte des menaces, inertie qui tranche avec les mutationsdu secteur des terminaux dits intelligents. Cet article sintresse essentiellement ces derniers travaux et prsente un tat des lieux de la scurit des communi-cations cellulaires et des projets indpendants qui sy rapportent.

    La premire section situe le sujet de cet article dans le paysage actuel des tl-communications mobiles. Larticle se poursuit par une description succincte deslments qui composent un rseau de tlphonie mobile. Ces lments sont nces-saires la comprhension de la section 4, consacre aux principes sur lesquelsrepose la scurit des rseaux mobiles et leurs vulnrabilits, et de la section 5,consacre aux projets indpendants visant analyser la scurit de ces rseaux.

  • La section 6 aborde les problmes de golocalisation et la dernire conclue lar-ticle.

    2 Contexte technique et conomique

    Le secteur de la tlphonie mobile a connu de profondes mutations en lespacede quelques annes. Le phnomne dit de convergence a progressivementtransform des tlphones portables simples ( feature phones ) en terminauxmulti-fonctions beaucoup plus sophistiqus ( smart phones ).

    Pour accompagner cette transformation, ce secteur initialement rserv un nombre limit dacteurs (fabricants de terminaux et oprateurs de rseauxde tlcommunications 1) sest ouvert dautres, tels que les dveloppeurs desystmes dexploitation ou dapplications, les fournisseurs de contenus, les util-isateurs professionnels, etc. Avec un support adquat du matriel, les systmesdexploitation doivent apporter des garanties dintgrit et disolation afin parexemple dempcher une application malveillante de perturber le rseau de tl-communication (que cette application soit installe de faon dlibre ou non parle porteur du terminal). Les utilisateurs nont alors pas la possibilit de contrlerintgralement leur terminal. Ce dernier point est un exemple de diffrence no-table entre le modle de scurit des terminaux mobiles et celui des ordinateurs,qui illustre la difficult concilier les exigences de scurit des diffrents acteursde la tlphonie mobile.

    Le besoin de sparer les domaines dexcution des diffrentes parties se traduitau niveau de larchitecture logique et physique des plateformes mobiles. Commenous le verrons dans la section suivante, les plateformes matrielles distinguentgnralement le domaine applicatif, au sein duquel sont excutes les applicationsde lutilisateur, du domaine radio, qui gre les communications avec le rseau.

    Comme voqu prcdemment, le secteur de la tlphonie mobile est restclos pendant longtemps. Son ouverture relativement rcente est a priori posi-tive sur le plan de la scurit car elle concourt une meilleure confiance dansles terminaux, en permettant aux utilisateurs de mieux matriser leur fonc-tionnement. Cette ouverture demeure cependant partielle, et ce pour plusieursraisons. Elle lest parce que certains acteurs majeurs (Apple et RIM en partic-ulier) matrisent intgralement la chaine de conception des terminaux, depuis laplateforme matrielle jusqu la distribution des applications. Le rachat rcentde Motorola par Google semble dailleurs indiquer que cette verticalisation du march saccentue. Louverture est aussi et surtout partielle parce quelle selimite au domaine applicatif des terminaux ; le domaine radio demeure quant lui relativement opaque.

    1. Les fabricants de cartes puce sont aussi des acteurs du secteur via les cartesSIM, mais ils ninterviennent pas directement sur la conception des terminaux et leslments du rseau de tlcommunication.

  • Rseau IP (donnes)

    Rseau circuit (voix)BSC

    BTS

    BSS

    MSC

    HLR AuC

    VLR

    Rseau visit Rseau d'origine

    Figure 1. Architecture type dun rseau cellulaire GSM

    3 lments darchitecture

    Cette section propose un survol des principaux lments qui composent unrseau cellulaire. Nous sparons cette description en deux parties : la premire estconsacre linfrastructure du rseau cellulaire et la seconde larchitecture desterminaux mobiles (galement appels stations mobiles, ou mobile equipement,ME).

    3.1 Architecture dun rseau cellulaire

    Les lments qui composent un rseau cellulaire et la faon de les dsigneront volu avec les diffrentes gnrations de systmes de tlcommunications(GSM, EDGE, UMTS, etc.). La description qui suit est dlibrment simple.Nous ne rentrons pas dans les dtails afin de faciliter la comprhension dessections suivantes. Nous renvoyons le lecteur intress aux ouvrages spcialisssur ce sujet [24].

    Comme lillustre la figure 1, une infrastructure de tlcommunication cellu-laire distingue deux types rseaux : le rseau dorigine, cest--dire le rseau deloprateur avec lequel lusager souscrit un abonnement, et le rseau visit, qui

  • peut appartenir un oprateur diffrent du prcdent. Le rseau visit achemineles communications voix et/ou donnes de lusager une fois que le terminal dece dernier sest correctement authentifi auprs de son rseau dorigine.

    On peut distinguer deux principaux sous-systmes : Le sous-systme radio (Base Station Subsystem, BSS ) assure les trans-

    missions radio-lectriques et gre les ressources radio. Il est constitu destations de base (Base Transciever Station, BTS 2) qui communiquent avecles stations mobiles par un lien radiofrquence, communment appel in-terface air . Des quipements appels Base Station Controler (BSC) con-trlent les stations de base ;

    Le sous-systme rseau comprend des fonctions ncessaires ltablisse-ment des appels et la mobilit. Il est notamment constitu de bases dedonnes et de commutateurs : Le centre de commutation des services mobiles (Mobile Switching Center,MSC) relie des contrleurs de station de base au rseau tlphoniquepublic (liaison voix) et Internet (liaison de donnes) ;

    Le HLR (Home Location Register) est une base de donnes de locali-sation et de caractrisation des abonns. Pour les besoins ditinrance,certaines donnes sont transmises la base de donnes de la cellule vis-ite (Visitor Location Register, VLR).

    Un lment important de larchitecture est le centre dauthentification (Au-thentication Center, AuC), qui dispose des lments ncessaires la scurisationdes communications, notamment les cls cryptographiques associes aux usagers.Ces cls servent notamment driver des cls temporaires qui sont transmisespar lAuC au MSC. La section 4 prcise les changes correspondants.

    3.2 Architecture des terminaux

    Larchitecture logique type des smartphones actuels distingue gnralementdeux environnements dexcution distincts. Le premier correspond au systmedexploitation applicatif, qui assure notamment lexcution des applications delutilisateur. Le second correspond la pile logicielle responsable des commu-nications rseau (GSM, 3G, etc.). Ce dernier environnement est gnralementappel le baseband. Cette architecture logique peut se dcliner sous diffrentesarchitectures physiques. Certains terminaux utilisent deux processeurs distincts,physiquement spars et relis par un bus de communication. Ces deux pro-cesseurs peuvent galement tre inclus dans une mme puce (system-on-chip,SOC ). Dautres solutions consistent utiliser des machines virtuelles pour raliserla sparation des deux environnements dexcution sur un seul et mme pro-cesseur.

    Dans tous les cas, les principes de conception des environnements dexcutiondes basebands ont peu volu depuis les dbuts de la tlphonie mobile : ils sontgnralement exempts des protections standards disponibles sur les processeursde plus haute gamme (unit de gestion de la mmoire ou MMU, par exemple) et

    2. On trouve aussi lappellation BST, Base Station Tranciever.

  • leur code obit souvent aux pratiques de dveloppement en vigueur au dbut desannes 90, pratiques qui ne mettaient pas ncessairement laccent sur la scurit.La prsence de failles logicielles au sein de ces environnements dexcution estdonc craindre, et leur exploitation pourrait avoir des consquences importantesen labsence de mcanisme disolation entre les tches.

    La carte SIM (Subscriber Identity Module) [12,11] peut galement tre con-sidre comme un environnement dexcution distinct, mme si celui-ci est beau-coup plus restreint que les deux prcdents. L