Espionnage mondial : des outils commerciaux exploitent des failles des réseaux mobiles

Des attaques ciblées exploitant des failles critiques

Des campagnes d'espionnage utilisant des outils de surveillance commerciale ont exploité des vulnérabilités des réseaux mobiles pour traquer leurs cibles. Selon des chercheurs de l'Université de Toronto, c'est la première fois que des attaques réelles sont directement liées à l'infrastructure de signalisation des opérateurs télécoms.

Les deux groupes inconnus derrière ces attaques ont usurpé l'identité des opérateurs mobiles grâce à des outils de surveillance personnalisés. Ils ont manipulé les protocoles de signalisation et redirigé le trafic pour dissimuler leurs activités, révèle une étude du Citizen Lab.

« Nos découvertes mettent en lumière un problème systémique au cœur des télécommunications mondiales : une infrastructure conçue pour permettre une connectivité internationale transparente est détournée pour soutenir des opérations de surveillance clandestines, difficiles à surveiller, attribuer et réguler. »

Une menace persistante malgré les alertes

Malgré de nombreux rapports publics, ces activités se poursuivent sans entrave ni conséquences, soulignent Gary Miller et Swantje Lange du Citizen Lab. L'utilisation continue des réseaux mobiles, basés sur un modèle de confiance inter-opérateurs, soulève des questions cruciales pour les régulateurs nationaux, les décideurs politiques et l'industrie des télécoms sur la responsabilité, la supervision et la sécurité mondiale.

Des protocoles de signalisation exploités

Les attaquants ont exploité les identifiants et infrastructures d'opérateurs à travers le monde, incluant des réseaux au Cambodge, en Chine, à Jersey, en Israël, en Italie, au Lesotho, au Liechtenstein, au Maroc, au Mozambique, en Namibie, en Pologne, au Rwanda, en Suède, en Suisse, en Thaïlande, en Ouganda et au Royaume-Uni.

Ils ont utilisé les protocoles SS7 et Diameter, respectivement associés aux réseaux 3G et 4G/5G. Bien que Diameter ait été conçu pour être plus sécurisé que SS7, la FCC a ouvert en 2024 une enquête sur les vulnérabilités des deux protocoles. Le sénateur américain Ron Wyden a également demandé un rapport à la CISA sur les failles des télécommunications liées à ces protocoles.

Des acteurs insaisissables

Les chercheurs n'ont pas pu identifier les fournisseurs des outils utilisés ni les commanditaires des attaques. Ron Deibert, directeur du Citizen Lab, explique :

« Il existe de nombreux fournisseurs de surveillance et acteurs malveillants dans ce domaine, mais en raison de la nature opaque des protocoles de signalisation des télécommunications, ces acteurs opèrent sans révéler leur véritable identité. Une grande partie de leurs activités malveillantes se fond dans le flux normal de milliards de messages et signaux d'itinérance. Ils sont des ‘opérateurs fantômes’ au sein de l'écosystème mondial des télécoms. »

Réactions des opérateurs concernés

Parmi les opérateurs cités, 019 Mobile (Israël) a déclaré ne pas reconnaître les noms d'hôte mentionnés dans le rapport comme faisant partie de son infrastructure. Sure (Jersey) a affirmé ne pas louer sciemment son infrastructure de signalisation à des organisations utilisant ces outils pour traquer des individus et a mis en place des mesures préventives.

Tango Networks UK, un autre opérateur cité, n'a pas répondu aux demandes de commentaires. Le rapport du Citizen Lab précise cependant que les adresses de signalisation observées dans les attaques ne prouvent pas une implication directe des opérateurs.