Le réseaux les meubles sont exposés ; attaqué, peu sûr ou même brisé. Nous l'entendons dans les médias, dans les rapports de l'industrie et dans les conférences. Mais vraiment, à quel point est-ce grave ? Les attaques de réseau sont-elles une épidémie imparable ou quelque chose que nous pouvons limiter, voire prévenir ? Que fait-on actuellement pour supprimer les vulnérabilités individuellement et au sein de la communauté des opérateurs ? et est-ce suffisant ?
La situation présente
Il est largement reconnu qu’un certain nombre de vulnérabilités des réseaux de signalisation sont exploitées à l’échelle mondiale ; qui s’attaquent aussi bien aux opérateurs qu’aux abonnés individuels. Les faiblesses exposées ouvrent la porte à des fraudes sophistiquées, au détournement des communications des abonnés et à l’interruption du service. Les abonnés peuvent être suivis et localisés jusqu'au niveau de la rue ; appels et messages interceptés, profils falsifiés pour permettre des services gratuits et ; dans le pire des cas, des services rendus totalement indisponibles suite à des attaques par déni de service. Si les réseaux ne sont pas protégés adéquatement, les opérateurs peuvent compromettre leur réputation et la confiance de leur base d'abonnés et de leur activité.
clients.
Historiquement, les opérateurs de réseaux mobiles (ORM) ont été réticents à rendre compte des attaques réussies basées sur les rapports, pour diverses raisons. La tendance actuelle est cependant à une plus grande ouverture et à un plus grand partage d'informations entre les opérateurs de réseaux mobiles, certains rapports atteignant même les grands médias. Un de ces rapports est venu d'O2 Allemagne à la mi-2017, lorsqu'il a été confirmé que des pirates informatiques avaient utilisé les faiblesses des rapports SS7 comme l'une des étapes pour frauder les clients des banques allemandes.
À la lumière du nombre croissant de rapports faisant état de pirates informatiques influençant les élections, traitant des fraudes, distribuant des logiciels malveillants et coordonnant des appareils IoT dans des attaques DDoS massives ; la sécurité devient une priorité absolue dans toutes les industries, secteurs et institutions.
Menaces basées sur les rapports
Au cours de la dernière décennie, de nombreux nouveaux risques potentiels et attaques sur les liaisons de signalisation ont été découverts et révélés, notamment par P1 Security et Philippe Langlois. Mais ce n'est que lors des présentations de Karsten Nohl et Tobias Engels au Chaos Communication Congress (CCC) en 2014 que les médias ont commencé à s'intéresser à ces questions, ce qui en a fait un sujet brûlant tant pour les ORM que pour l'industrie dans son ensemble.
Les réseaux de signalisation ont été conçus pour un petit groupe de grands opérateurs de télécommunications, souvent gérés par l'État. Ils ne disposaient d’aucun des mécanismes de sécurité standard que nous attendons des réseaux modernes. Cependant, nous constatons aujourd’hui qu’un nombre croissant de partis ont accès au réseau mondial d’information. Avec l’avènement des MVNO, micro-opérateurs spécialisés pour l’A2P, l’IoT, le M2M et d’autres services, le nombre de points d’accès potentiels pour un attaquant augmente considérablement.
Les mécanismes des protocoles de signalisation ne constituent pas actuellement un obstacle majeur aux attaques. Il n'y a pas de cryptage au sein du réseau central ni d'authentification de bout en bout. Les attaques basées sur la signalisation reposent en grande partie sur la confiance implicite intégrée au réseau de signalisation mondial et sur le fait que le trafic de signalisation n'aurait jamais dû être filtré. En conséquence, les nœuds malveillants peuvent souvent interroger n'importe quel réseau, demander des informations sur les abonnés et mettre à jour les profils d'abonnés, même si le nœud source lui-même n'a aucune relation avec le réseau de destination.
Alors, qui est concerné par les menaces réseau et quelles en sont les conséquences ?
L'abonné
Un utilisateur de smartphone peut être ciblé de diverses manières à travers les technologies proposées par son appareil. En tant que cible, l'abonné pourrait être victime d'une fraude financière, d'un vol d'identité, son appareil pourrait être intégré dans un botnet, ou il pourrait être surveillé à distance et ses données privées en permanence.
se faire réparer.
L'opérateur de réseau mobile
La principale conséquence pour les ORM est que les abonnés, les régulateurs et les agences de sécurité vont accroître la pression sur eux pour améliorer la sécurité et protéger les abonnés, ainsi que pour se défendre contre des attaques plus importantes sur les infrastructures critiques.
La réaction naturelle face à un changement non orienté business est de retarder le plus longtemps possible pour éviter des coûts supplémentaires. Toutefois, dans le cas de la sécurité, cette voie peut s’avérer dangereuse. Si les ORM ne prennent pas le problème au sérieux, nous pourrions commencer à voir les abonnés migrer de réseaux moins sécurisés vers des réseaux offrant un niveau de protection plus élevé.
L'industrie dans son ensemble
Depuis les rapports les plus récents et la redécouverte des rapports de vulnérabilité chez CCC en 2014, l'industrie a été très active et est devenue plus responsable de ce problème. En réponse, de nombreux ORM ont lancé des programmes d'évaluation des risques et/ou des audits de sécurité de leurs réseaux.
La GSMA prend très au sérieux le signalement des menaces et a mandaté un sous-groupe dédié pour les collecter.
recommandations pour lutter contre les menaces de signalement. Ces recommandations ont été compilées dans une série de documents et fournissent des méthodes de surveillance et de filtrage des réseaux de signalisation SS7 et Diameter. Les organismes de réglementation de diverses zones géographiques formulent des recommandations parallèlement à l'industrie. Les principales régions technologiques de l’information, notamment les pays nordiques et la FCC aux États-Unis, ont déjà rédigé des recommandations, et d’autres pays suivront probablement.
