Niveau de compréhension : Internouille
Niveau d'importance: Soyez attentif

Cette semaine je vous offre une petite histoire qui vous présente la portée et les possibilités de la technologie mise à notre disposition et que l'on prend trop souvent pour acquis.

Ceci fait suite à une recherche fait par Phéromone qui nous apprenait cette semaine que plus d'un Québécois sur 10 possède un téléphone intelligent. Je vous invite d'ailleurs à lire l'article sur Branchez-vous. À ma grande surprise, cette étude n'incluait pas les téléphones cellulaires 'normaux'. J'aurais bien aimé comparer l'étendue des différents marchés.

Il reste que quelque chose m'a laissé perplexe et j'ai donc fait une petite recherche sur quelques questions que je me posais. À peine quelques minutes de recherches m'ont suffit pour tomber sur un projet qui a eu lieu ces dernières semaines et que les résultats ont justement été dévoilés la semaine dernière.

Une fois c'est deux gars

Don Bailey de iSec Partners et Nick DePetrillo un chercheur en sécurité indépendant, ont exposé plusieurs faiblesses des réseaux cellulaires. Ce qui est le plus problématique, c'est que les faiblesses en question sont propres au réseau et ne peuvent être 'patché'. Les exploitations et les preuves de concept impliquaient les systèmes de géolocalisation, les numéros associés aux clients et l'accès aux boîtes vocales des abonnées. Tout ceci est du domaine connu, c'est-à-dire, que ces deux messieurs n'ont rien découvert vraiment. Ils ont seulement associé des systèmes et des moyens existants et légaux afin d'arriver à leurs fins.

Bailey et DePetrillo ont commencé par utiliser les bases de données disponibles qui associent votre numéro de téléphone avec votre fournisseur et votre nom d'affichage. Cette base de données n'est pas offerte au grand public, mais elle est facile d'accès. Ces données sont nécessaires afin d'afficher le nom de la personne qui vous appelle invariablement du fournisseur. Jusque là, il n'y a rien de vraiment exceptionnel.

Comprenez, par contre, qu'il n'y a, à ce point, aucune limite dans le nombre de vérification que l'on peut faire. Nous pourrions prendre un bloc de numéros assignés à un secteur donné et ainsi construire une banque d'information. Mais de toute façon, ce n'est pas le plus croustillant.

Avec les informations recueillies jusqu'ici il nous est possible de 'spoofer' un appel. Ce qui implique faire un appel d'un téléphone en se faisant passer pour quelqu'un d'autre. De plus, il existe des méthodes de communication par cellulaire qui permettrait de contacter votre boite vocale sans même faire sonner votre téléphone. Imaginons donc que j'appelle votre téléphone en me faisant passer pour votre numéro et sans que votre téléphone sonne.

Au États-Unis, le fournisseur T-mobile laisse l'accès à la boite vocale sans vérification si l'appel provient du téléphone. Ceci permet de connaître la liste d'appel fait du téléphone et ainsi validé si le numéro appartient vraiment à la personne que l'on croit.

Je n'ai rien fait d'illégal votre honneur.

Techniquement, votre téléphone cellulaire envoie des petits messages aux tours cellulaires avoisinantes afin qu'elles puissent faire les relais d'appel. C'est ainsi que votre téléphone peut fonctionner n'importe où. Puisque les tours cellulaires récupèrent cette information, il est possible de trianguler la position du cellulaire en question. Cette méthode n'est pas très précise, mais offre une précision d'une centaine de mètres environ.

Lorsqu'on y pense, il n'y pas grand-chose qui diffère avec les lignes normales. Par contre, plusieurs personnes se croient à l'abri parce qu'ils utilisent un cellulaire. À la différence que la ligne terrestre n'indique pas mes va-et-vient et mes habitudes de déplacement. Il a été démontré d'ailleurs que certain centres d'achat et lieux publics utilisent ces méthodes afin de connaître les habitudes de leurs clients. En captant les signaux envoyés par votre cellulaire, ils peuvent savoir de façon anonyme, combien de temps une personne est restée devant une vitrine, par exemple. Des informations que les 'marketteux' adorent.

Je ne peux m'empêcher de m'imaginer un film d'espion où le héros se débarrasse de son téléphone portable pour ne pas être traqué. Peut-être, faudrait-il seulement fermer votre téléphone mobile lorsque vous ne vous en servez pas?

 

Ressources

L'histoire en question : http://threatpost.com/en_us/blogs/researchers-hijack-cell-phone-data-gsm-locations-042110

Service d'envois de message sans faire sonner le téléphone : slydial.com

Organisation sur les droits sur la vie privée: Privacyrights.org

Un exemple de données privées rendu publique : zillow.com

Article sur branchez-vous : http://techno.branchez-vous.com/actualite/2010/05/usage_telephones_intelligents_quebec_reseaux_sociaux.html

Phéromone : pheromone.ca