Protéger vos appareils contre les intercepteurs d’IMSI (ITSAP.00.106)

Un intercepteur d’identité internationale d’abonnement mobile (IMSI pour International Mobile Subscriber Identity) est un type de simulateur de site cellulaire (CSS pour Cell Site Simulator) qui usurpe l’identité d’une tour cellulaire légitime pour exploiter les appareils mobiles connectés. Les intercepteurs d’IMSI exploitent le processus par lequel les appareils mobiles recherchent un signal réseau fort disponible dans un rayon physique afin de s’y connecter. La disponibilité de la technologie peu coûteuse utilisée pour les intercepteurs d’IMSI l’a rendue facilement accessible à un large éventail d’auteurs de menace. Il est important de comprendre comment fonctionnent les intercepteurs d’IMSI afin de les détecter et de protéger vos renseignements sensibles contre toute compromission.

Sur cette page

• Pourquoi les auteurs de menace utilisent des intercepteurs d’IMSI
• Intercepteurs actifs et passifs
• L’attaque par message texte silencieux
• Les différents identifiants d’appareils mobiles
• Comment se protéger contre les intercepteurs d’IMSI
• Pour en savoir plus

Pourquoi les auteurs de menace utilisent des intercepteurs d’IMSI

Les auteurs de menace se servent d’intercepteurs d’IMSI pour modifier certaines configurations et collecter de l’information sensible provenant des utilisatrices et utilisateurs d’appareils mobiles. Voici certains des types de données qu’ils tentent de recueillir :

• identification de l’appareil et de l’utilisatrice ou utilisateur, par exemple, le numéro d’IMSI;
• métadonnées recueillies à partir d’appels vocaux, y compris les contacts et la durée de l’appel;
• contenu des messages texte (SMS) et des appels;
• contenu et utilisation des données, comme les sites Web visités.

Les auteurs de menace utilisent des intercepteurs d’IMSI pour cibler des personnes à forte visibilité, y compris le personnel clé, les cadres ou toute personne effectuant des activités opérationnelles sensibles, afin de suivre leur emplacement et leurs déplacements, de surveiller les activités opérationnelles et de coordonner le crime organisé. Ils se servent également d’intercepteurs d’IMSI pour la surveillance ciblée afin d’établir le lien entre l’identité réelle d’une personne et l’IMSI d’un appareil et de suivre les individus ou de recueillir du renseignement lors d’événements importants.

Intercepteurs d’IMSI actifs et passifs

Les intercepteurs d’IMSI peuvent être utilisés en mode actif ou passif, selon le cas d’utilisation des auteurs de menace et le réseau utilisé.

Intercepteurs actifs

Un intercepteur d’IMSI actif émet des signaux réseau qui sont plus puissants que ceux des antennes cellulaires légitimes, ou qui semblent l’être. Les appareils se déconnectent alors du réseau légitime de leur fournisseur de services pour établir une connexion avec l’intercepteur d’IMSI. L’intercepteur peut également tenter de rétrograder l’appareil vers une connexion réseau de deuxième génération (2G).

Intercepteurs passifs

Un intercepteur d’IMSI passif ne diffuse pas de signaux réseau. Il sert plutôt à exploiter un réseau auquel des appareils sont déjà connectés en interceptant et en retraçant les communications cellulaires en transit. Les auteurs de menace ont recours à cette méthode pour recueillir discrètement de l’information sur les identifiants sans être détectés.

L’attaque par message texte silencieux

Les auteurs de menace peuvent lancer des attaques par message texte silencieux pour accéder aux renseignements permettant d’identifier les utilisatrices et utilisateurs. Cette technique repose sur un type de message texte qui est traité par l’appareil mobile sans aviser l’utilisatrice ou l’utilisateur ni stocker le message dans la boîte de réception de messagerie. Elle est généralement utilisée pour localiser l’emplacement de l’appareil mobile ou lui envoyer des instructions de configuration.

Lorsque les auteurs de menace passent par des intercepteurs d’IMSI pour envoyer un message texte silencieux, l’appareil accuse réception du message au niveau du protocole sans alerter l’utilisatrice ou l’utilisateur. Cette opération force l’appareil à transmettre ses métadonnées et identifiants actuels, ce qui permet à l’intercepteur d’IMSI de confirmer la présence ou l’emplacement de la cible. Le message texte silencieux peut également être utilisé pour acheminer discrètement des services et envoyer des messages de configuration aux appareils afin de reconfigurer les profils du module d’identité d’abonné (SIM pour Subscriber Identity Module) pour l’écoute clandestine et la collecte d’informations sur les appels et les messages texte.

Les différents identifiants d’appareils mobiles

Les réseaux mobiles utilisent plusieurs identifiants pour gérer les personnes abonnées. Certains identifiants sont temporaires, tandis que d’autres, comme l’IMSI, sont permanents et identifient de façon unique un téléphone cellulaire. Ces identifiants doivent être protégés pour assurer le respect de la vie privée des personnes abonnées.

Identifiant permanent

L’IMSI est l’identifiant unique permanent de votre carte SIM. Dans les connexions réseau de deuxième génération (2G), de troisième génération (3G) et de quatrième génération (4G), le numéro d’IMSI est fréquemment envoyé lors du processus d’enregistrement initial, ce qui en fait une cible facile lorsque votre téléphone se connecte au réseau mobile.

Identifiants temporaires

Une identité temporaire d’abonné mobile (TMSI pour Temporary Mobile Subscriber Identity) et un identifiant temporaire unique global (GUTI pour Globally Unique Temporary Identifier) sont des identificateurs temporaires attribués par les réseaux pour masquer l’IMSI. Cependant, si un opérateur de réseau mobile (ORM) ne procède pas assez fréquemment à la rotation de ces identifiants ou s’il utilise une numérotation prévisible, les auteurs de menace peuvent réussir à les attribuer à un seul utilisateur.

Solutions 5G

Un identifiant permanent d’abonné (SUPI pour Subscriber Permanent Identifier) et un identifiant d’abonnement dissimulé (SUCI pour Subscription Concealed Identifier) ont été introduits en tant que solution 5G. Le SUCI est la version chiffrée du SUPI, conçu pour éviter la fuite de l’identifiant. Cependant, le chiffrement nul (absence de chiffrement) constitue une exigence standard pour les réseaux 5G, ce qui affaiblit les caractéristiques de protection définies par le SUCI. Les intercepteurs d’IMSI peuvent tenter de rétrograder la connexion établie avec un appareil vers un signal 2G ou 4G dans lequel le SUCI n’existe pas.

Comment se protéger contre les intercepteurs d’IMSI

Les ORM, les organisations à forte visibilité et les utilisatrices et utilisateurs finaux doivent tenir compte des mesures de sécurité suivantes pour réduire les risques associés aux intercepteurs d’IMSI.

Mesures d’atténuation pour les opérateurs de réseaux mobiles

• Détecter et signaler : Utilisez de l’équipement de surveillance spécialisé pour faire le suivi des appareils CSS et signaler les résultats aux autorités.
• Mettre à niveau les réseaux : Configurez les réseaux pour prendre en charge les SUPI et SUCI et activez un chiffrement fort.
• Mettre en œuvre la rotation rapide des identifiants : Assurez-vous que la TMSI et le GUTI sont constamment modifiés et que la numérotation n’est pas prévisible.
• Appliquer des stratégies d’antirétrogradation : Mettez en œuvre des contrôles côté réseau qui empêchent les appareils de se connecter à des protocoles patrimoniaux, comme la connexion aux réseaux 2G.
• Partager le renseignement :
  • Enregistrez les données réseau en temps réel dans des systèmes de gestion de la fraude, mettez à jour les listes de blocage ou d’adresses URL malveillantes et partagez le renseignement sur les menaces avec d’autres opérateurs et autorités gouvernementales.
  • Utilisez de l’équipement spécialisé de localisation par direction afin de déterminer l’emplacement des intercepteurs d’IMSI actifs et de le signaler aux organismes d’application de la loi.
• Coordonner à l’échelle de l’industrie : Collaborez avec les fabricants d’appareils et les organismes de réglementation pour renforcer les mécanismes de défense.

Organisations à forte visibilité

Les organisations qui gèrent des renseignements et des services très sensibles, y compris les responsables d’édifices gouvernementaux et d’infrastructures essentielles, peuvent utiliser de l’équipement de surveillance spécialisé pour détecter les signaux non autorisés ou atypiques des stations de base. La mise en œuvre de mécanismes de détection peut permettre d’alerter les équipes de sécurité et de dissuader les auteurs de menace.

Utilisatrices et utilisateurs finaux

Les utilisatrices et utilisateurs finaux disposent de peu d’options pour atténuer l’interception d’IMSI, car les appareils mobiles sont conçus pour communiquer avec les tours cellulaires. Cependant, il convient d’envisager les mesures de sécurité suivantes pour mieux atténuer le risque :

• Désactiver la technologie 2G :
  • Désactivez les connexions du réseau 2G dans les paramètres de votre téléphone, si l’option est disponible.
  • Communiquez avec votre fournisseur de services mobiles si cette option ne vous est pas offerte.
• Utiliser des applications de messagerie chiffrée : Protégez le contenu des communications de messagerie et des transferts de données au moyen d’applications qui prennent en charge le chiffrement de bout en bout.
• Remplacer la carte SIM et l’appareil : Dans les cas extrêmes, si vous êtes très en vue, pensez à remplacer régulièrement votre carte SIM et votre appareil.

Pour en savoir plus

• Simulateurs de site cellulaire (ITSM.00.108)
• Protégez vos appareils contre les dispositifs SMS Blaster (ITSAP.00.104)
• Hameçonnage par message texte : Se protéger contre les attaques par message texte (ITSAP.00.103)
• Utiliser son dispositif mobile en toute sécurité (ITSAP.00.001)
• Considérations liées à la cybersécurité pour les réseaux 5G (ITSAP.80.116)
• Utiliser le chiffrement pour assurer la sécurité des données sensibles (ITSAP.40.016)