De la 4G à la 5G : des failles de sécurité en héritage

Le protocole 4G LTE n’est pas exempt de failles de sécurité et la 5G, dans ses spécifications actuelles, risque d’en hériter.

On doit ces conclusions à une équipe de chercheurs des universités de New York et de la Ruhr (Allemagne).

Dans la lignée d’études qui ont permis d’identifier des vulnérabilités au niveau des couches physique et réseau, ils ont concentré leurs travaux sur la couche intermédiaire : celle des données.

Cette couche data se compose de trois sous-couches.

Le MAC (Medium Access Control) assigne une « identité » à chaque terminal client et lui attribue des ressources radio. Le RLC (Radio Link Control) gère la segmentation et la concaténation des paquets, ainsi que la correction d’erreurs. Le PDCP (Packet Data Convergence Protocol) est censé assurer le chiffrement et l’intégrité des données.

Les chercheurs ont réalisé deux types d’attaques : passives (interception de métadonnées) et active (manipulation de données). La configuration exploitée dans ce cadre a coûté « environ 2 600 dollars ». Elle s’apparente aux intercepteurs d’IMSI qu’utilisent les forces de l’ordre.

Quel est votre trafic ?

La première attaque, réalisée sur un réseau LTE commercial, s’appuie sur la sous-couche MAC. Elle est réalisable à chaque envoi ou réception de données. Par un jeu de correspondances, elle permet de localiser un utilisateur et d’identifier son terminal.

La deuxième attaque se base en partie sur la première. Elle consiste à intercepter des métadonnées qui permettent, dans le cas étudié, d’analyser la navigation web sur l’appareil ciblé.

Les chercheurs sont notamment parvenus à récupérer des informations sur les volumes de trafic envoyés et reçus. Ils ont tiré parti du fait que ces informations ne sont pas chiffrées jusqu’à ce qu’elles atteignent la sous-couche PDCP.

La comparaison avec des données collectées au préalable sur les sites internet les plus fréquentés (top 50 Alexa) a permis d’obtenir un taux de réussite proche de 90 %. Les essais ont néanmoins été réalisés sur un réseau expérimental, dans un environnement sous contrôle. Il est beaucoup plus difficile de les mettre en œuvre sur les réseaux commerciaux.

La troisième attaque, elle, a bien été réalisée sur un réseau commercial. Le surnom « aLTEr » qui lui a été donné reflète son principe : modifier des données.

Les chercheurs n’ont pas exploité de faille à proprement parler. Ils ont mis à profit la « malléabilité » de l’algorithme de chiffrement (AES-CTR, basé sur un compteur) de la couche data.

Ils ont intercepté les paquets dans lesquels étaient encapsulées les requêtes DNS et ont modifié les IP de destination pour rediriger vers des serveurs malveillants.

L’attaque requiert d’être proche du terminal ciblé et d’avoir une antenne suffisamment puissante pour que ledit terminal s’y connecte. D’autres défis se posent. Il faut notamment maintenir l’intégrité de l’en-tête du « paquet DNS » afin que celui-ci soit bien transmis.

La 5G est également concernée dans ses spécifications actuelles, si on considère que le chiffrement renforcé qu’elle comporte est… optionnel.

Crédit photo : mikecogh via Visualhunt / CC BY-SA