Are you being pursued by a stingray?

Êtes-vous poursuivi par une Stingray ?

Cette fois-ci, vous pourriez bien être plus en sécurité en eaux profondes

Des intercepteurs ont été observés dans plusieurs endroits, Londres, Washington D.C. et Hambourg, pour n’en citer que trois. Pour le moment, l’on ne sait pas très bien qui espionne les activités en ligne des gens.

Les intercepteurs ou « Stingray » (raie) sont de fausses antennes de communication. Ils viennent s’interposer dans un échange en ligne, trompent le téléphone qui redirige alors le message via l’intercepteur, puis transfèrent alors le message vers une antenne officielle de télécommunication toute proche. Au moment où ils redirigent la communication, ils sont en mesure d’identifier le téléphone précis, son emplacement, de lire les SMS et d’écouter les conversations dans leur intégralité.

Si ces activités étaient effectuées par des cybercriminels, nous les appellerions tout simplement des attaques de type man-in-the-middle. Mais parce que ces appareils sont généralement utilisés par des agences de sécurité gouvernementales, et que leur utilisation est généralement – mais pas toujours – légale et approuvée par la justice, nous n’irons pas jusque là.

Votre intercepteur d’IMSI, vous le voulez plutôt intrusif ou pas du tout ?

Ces appareils sont souvent appelés Stingray car c’est le nom d’une des marques les plus courantes sur le marché. Vous retrouverez aussi le nom d’intercepteur d’IMSI. IMSI est l’acronyme en anglais de International Mobile Subscriber Identity. Ce numéro unique est situé sur la carte SIM de votre appareil et permet au réseau de télécommunication d’identifier votre appareil lorsqu’il dirige votre appel vers l’antenne la plus proche puis jusqu’à sa destination finale.

Are you being pursued by a stingray? - in-post
Un intercepteur Stingray prêt à devenir mobile

Les intercepteurs d’IMSI sont disponibles en deux versions, la version passive et la version active. En version passive, l’appareil enregistre principalement le trafic qui le traverse et n’essaie pas de déchiffrer ni d’en modifier le contenu. Les appareils actifs peuvent en faire beaucoup, beaucoup plus. Notamment bloquer des numéros sélectionnés, modifier les contenus du message et rediriger le trafic du téléphone vers un réseau non chiffré peu regardant, où les conversations peuvent être facilement écoutées.

Oui, ils ont probablement votre numéro de téléphone

Les intercepteurs d’IMSI sont utilisés dans tous les États-Unis, en Angleterre, en Irlande et même en Allemagne, où la confidentialité est prise très au sérieux. Si vous vous êtes retrouvé près d’une manifestation ou que vous avez marché dans le centre de Washington D.C., il y a de fortes chances pour que votre présence ait été enregistrée par un intercepteur d’IMSI. Au cours des six premiers mois de 2017, par exemple, les autorités allemandes ont utilisé des intercepteurs d’IMSI plus de 50 fois notamment pendant le sommet du G20 à Hambourg.

Votre droit à la confidentialité vient d’être aspiré par un intercepteur

Le gros problème avec les intercepteurs d’IMSI n’est pas leur utilisation ciblée sur les méchants, c’est le recueil à tort et à travers des données de quasiment tous ceux qui se trouvent sur leur passage. Cela pose problème particulièrement pour les libertés civiles aux États-Unis où le 4e amendement de la Constitution inclut le droit de toute personne à être protégée contre des perquisitions abusives. Si la police veut fouiller votre domicile ou votre portefeuille par exemple, elle doit tout d’abord convaincre le juge qu’il existe une « cause probable » afin qu’il émette un mandat. Mais dans le cas des intercepteurs d’IMSI, il semble que le processus soit inversé : les autorités recueillent d’abord les données, puis obtiennent des justifications pour continuer à fouiller plus en détail. De manière générale, les agences gouvernementales – au moins aux États-Unis et au Royaume-Uni, ne dévoilent pas leur utilisation des intercepteurs d’IMSI. Leur réticence à identifier les sources d’information sur les activités ou la localisation du suspect a entraîné le déboutement de certains cas par les tribunaux.

En Europe, le silence autour des intercepteurs d’IMSI est assourdissant – particulièrement après l’entrée en vigueur du RGPD et les préoccupations autour des données privées. Comme le montre leur utilisation en Allemagne, ces intercepteurs peuvent enregistrer précisément qui se trouve dans une manifestation et où ces personnes se trouvent. Tandis que les entreprises font face à des restrictions dans leur capacité de recueillir des données sur des particuliers, il semblerait que cela ne concerne pas le gouvernement.

Tout le monde (dans les forces de sécurité) en a un

De par leur capacité à localiser les méchants et leurs complices et à identifier leur position précise, les technologies d’intercepteurs d’IMSI sont très populaires au sein des forces de sécurité dans le monde, même celles associées à des régimes d’oppression. Au fil des avancées technologiques, cette technologie est devenue plus compacte et plus portative. Là où il fallait auparavant une camionnette avec une grande antenne sur le toit, aujourd’hui, une simple valise suffit. La technologie a également pris son envol aux États-Unis : les autorités ont en effet placé des intercepteurs sur des avions et des drones et ont pu recueillir des données au-dessus de zones urbaines.

Bien que l’on pense que l’utilisation des intercepteurs d’IMSI soit très répandue, quasiment personne n’aborde les détails. Grâce à l’utilisation agressive des contrats de confidentialité entre Harris – fabriquant des dispositifs Stingray si populaires – et ses clients, il est quasiment impossible d’obtenir des estimations précises sur les pays où Harris a commercialisé ses produits, sur le nombre d’appareils en circulation ou le nom des agences qui les utilisent.

La surveillance serait-elle devenue plus abordable pour les bons comme les méchants ?

Les bons comme les méchants peuvent accéder aux dernières technologies d’IMSI et les coûts sont en chute libre. Officiellement, un dispositif professionnel entièrement fonctionnel peut coûter jusqu’à 100 000 euros. Pour les appareils fabriqués de manière artisanale en revanche, le coût d’un appareil de base ne serait que de 1 200 €. Les instructions de construction de certains appareils ont même été publiées sur Github. De plus, il existe des vidéos YouTube qui expliquent comment fabriquer votre propre appareil de recueil d’IMSI passif pour moins de 10 €.

Mais du point de vue légal, faire fonctionner l’appareil est une autre paire de manches. De manière générale, pour utiliser un appareil entièrement fonctionnel, il faut l’autorisation des autorités car il interfère potentiellement avec les réseaux de transmission téléphoniques. Est-il légal de recueillir passivement et de conserver des numéros IMSI ? Mais concrètement combien de pirates s’embêtent à demander l’autorisation aux autorités ?

Pas de barrage aux IMSI pour le moment

Détecter les intercepteurs d’IMSI est difficile, mais pas impossible. La plupart des technologies de détection tentent d’identifier les anomalies ou les antennes de communication qui changent régulièrement de réseau. Il existe même des détecteurs artisanaux que vous pouvez construire et des applications que l’on peut installer sur un téléphone Android, mais ils sont encore en cours de perfectionnement. Alors en attendant, si vous pensez avoir une conversation sympathique et privée au téléphone, n’y pensez plus.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.