Des failles de sécurité de la 2G toujours problématiques… Peu importe votre smartphone
Alors que Google a récemment ajouté une option permettant de désactiver la connectivité 2G non sécurisée sur les smartphones Android, l’Electronic Frontier Foundation (EFF), un groupe de défense des libertés civiles numériques, appelle Apple à faire de même sur iOS. Pour l’ONG, le jeu en vaut largement la chandelle au regard des risques que fait peser la 2G sur la sécurité des utilisateurs d’iPhone.
Première norme de réseau cellulaire numérique à avoir vu le jour au début des années 1990, lorsque Nokia régnait encore sur la téléphonie mobile, la 2G présente encore aujourd’hui de nombreux « trous dans la raquette ». Comme le relève l’EFF, cela peut s’expliquer par le fait que la 2G a été développée alors que les organismes de normalisation n’avaient pas tenu compte des nouvelles menaces planant sur les réseaux mobiles.
« La 2G présente deux problèmes principaux. Premièrement, elle utilise un chiffrement faible entre la tour et l’appareil, qui peut être craqué en temps réel par un attaquant pour intercepter des appels ou des messages texte. En fait, l’attaquant peut le faire de manière passive sans jamais transmettre un seul paquet », note l’EFF. « Le deuxième problème de la 2G est qu’il n’y a pas d’authentification de la tour par rapport au téléphone, ce qui signifie que n’importe qui peut sans problème se faire passer pour une véritable tour 2G et qu’un téléphone utilisant le protocole 2G n’en saura jamais rien. »
Un IMSI encombrant
En exploitant l’IMSI (identité internationale d’abonné mobile), la pratique des pirates consistant à usurper les stations de base a été utilisée par les forces de l’ordre et d’autres acteurs dans le monde entier pour intercepter le trafic de téléphonie mobile et les données de localisation en forçant les appareils dotés de modems 2G à se connecter aux dispositifs de surveillance 2G. Bien que les normes plus récentes comme la 3G, la 4G et la 5G soient conçues pour se protéger contre cette attaque, les nouveaux capteurs IMSI peuvent être utilisés dans des attaques dites de rétrogradation puisque les modems mobiles supportent toujours la 2G.
« Cela rend chaque utilisateur vulnérable – des journalistes et des militants aux professionnels de la santé, aux fonctionnaires et même aux forces de l’ordre », prévient l’EFF. Le nouveau paramètre permettant de désactiver la 2G est disponible sur les téléphones Android les plus récents. Sur le Google Pixel, il peut être modifié via Paramètres > Réseau et Internet > SIM > Autoriser la 2G, où se trouve une option pour désactiver la 2G. Cependant, elle est activée par défaut pour prendre en charge les appels d’urgence. Les utilisateurs doivent donc la désactiver manuellement.
Le nouveau paramètre peut ne pas être disponible sur les anciens appareils Android et n’est disponible que sur les téléphones Samsung plus récents sous un nom différent. Google a introduit l’option de désactivation de la 2G dans Android 12, mais comme elle a été implémentée dans la couche d’abstraction matérielle (HAL) de la radio, elle n’est disponible que sur les appareils Android qui ont implémenté cette version. Les HAL se situent entre Android et le pilote matériel et ne sont pas mis à jour fréquemment.
Apple sur les traces de Google ?
Google explique dans les notes de mise à jour d’Android 12 que le commutateur permettant de désactiver la 2G fait partie de la HAL Radio 1.6 et que, bien que le commutateur soit activé par défaut, les opérateurs peuvent désactiver la fonctionnalité au moment de son exécution. « Les fabricants d’appareils doivent s’assurer que tous les réseaux sont disponibles pendant les appels d’urgence », ajoute Google.
Alors que les opérateurs en Amérique du Nord, en Corée du Sud, au Japon et à Taïwan ont déjà désactivé les réseaux 2G, de nombreux réseaux en Europe supporteront la 2G jusqu’en 2025 et dans certains cas même après avoir désactivé la 3G, selon la société EMnify, spécialisée dans l’internet des objets (IoT) cellulaire.
L’EFF appelle Google, Apple et Samsung à améliorer la disponibilité des options permettant de désactiver la 2G chez l’utilisateur. « Nous sommes très heureux des mesures que Google a prises ici pour protéger les utilisateurs des vulnérabilités de la 2G, et bien qu’il y ait encore beaucoup de travail à faire, cela garantira que de nombreuses personnes puissent enfin recevoir un niveau de protection basique », affirme l’EFF. « Nous encourageons vivement Google, Apple et Samsung à investir davantage de ressources dans la sécurité radio afin de pouvoir mieux protéger les propriétaires de smartphones. »
Source : ZDNet.com
