Saviez-vous qu’il était possible à une tierce partie, aux Etats-Unis, de localiser précisément et en temps réel le détenteur d’un téléphone mobile ?

L’information est passée relativement inaperçue, même lorsqu’elle a fait l’objet d’une présentation durant une conférence de sécurité l’an dernier.

On doit ce travail de recherche à deux experts de la société iSEC Partners. Depuis, elle a été considérablement enrichie par ses instigateurs et demeure d’actualité : seul Verizon, aux Etats-Unis, aurait pris récemment des mesures afin de contrer efficacement la technique dévoilée par les deux chercheurs.

Bien entendu on ne localise pas un possesseur de téléphone mobile aussi facilement. Mais les chercheurs font observer qu’ils ne s’appuient que sur des données publiques… même s’il faut se donner un peu de peine pour aller les chercher et, surtout, les corréler !

Le principe de cette attaque consiste à exploiter les informations renvoyées par le Home Location Register (HLR), la base centrale propre à chaque opérateur téléphonique mobile et qui conserve les données de tous les abonnés autorisés à utiliser le réseau, dont sa position géographique approximative. Bien entendu cette base n’est pas accessible librement ! Mais d’après les deux chercheurs certains opérateurs étrangers permettraient d’y faire des requêtes moyennant finance. Le rapport ne détaille pas ce point, mais d’autres l’ont fait et on montré comment depuis un opérateur étranger il est possible de localiser un autre téléphone mobile. Et c’est ici le coeur de cette nouvelle attaque : être en mesure d’interroger le HLR d’un opérateur quelconque afin de connaître de quelle station (Mobile Switching Center, ou MSC) dépend l’abonné en question au moment de la requête.

Deux difficultés se présentent alors : comment connaître le numéro de téléphone de la cible si ce dernier est inconnu ou protégé ? Et comment savoir à quelle zone géographique correspond le code du MSC renvoyé par le HLR ? Car il s’agit ici d’un secret bien gardé par chaque opérateur.

Pour ce qui est du numéro de téléphone, les chercheurs ont détourné le système d’identification de l’appelant. Leur technique est d’identifier à l’avance l’ensemble des numéros potentiels de la région de leur cible (aux Etats-Unis les numéros de téléphone mobile indiquent la région de leur abonné). Ensuite, en programmant leur PABX pour qu’il émette un appel vers lui-même en usurpant à tour de rôle chaque numéro de la liste, ils obtiennent automatiquement l’autorisation de consulter le Caller-ID pour ce numéro, et donc de récupérer le nom et l’adresse de l’abonné. L’opération prend certes du temps mais elle livre une base de données de grande valeur qui associe chaque mobile d’une région à l’identité et l’adresse de son abonné. Le tout pour pas très cher, car l’appel est coupé lorsque la requête au Caller-ID a abouti, et cette dernière ne coûte quasi-rien. Selon les chercheurs plusieurs milliers de requêtes peuvent être ainsi réalisées pour quelques dizaines de dollars seulement.

Avec un peu de chance, la cible de l’opération se trouvera dans la base collectée et les attaquants disposeront alors de son numéro de téléphone… et ils pourront passer à la suite de l’attaque !

A ce stade une requête envoyé au HLR avec le numéro de téléphone la cible renverra un code abscons correspondant au Mobile Switching Center dont dépend l’abonné à cet instant précis.

Il reste maintenant à cartographier les MSC afin de savoir à quelle zone géographique cela correspond.

Ici les chercheurs s’appuient sur la même technique que précédemment, mais en testant plusieurs milliers de numéros de téléphones, tous opérateurs confondus, dans la région visée. Leur objectif est d’associer ces numéros avec leur MSC (dont ils ne connaissent pas encore la localisation), et cela trois fois par jour à des horaires où la majorité des individus sont a priori chez eux.

En analysant ces données ils peuvent en déduire, statistiquement, quels sont les MSC qui correspondent avec la plus grande probabilité au domicile de chaque individu sur cette liste. Il suffit alors de corréler ces observations avec l’adresse des individus en réalisant des requêtes auprès d’un service en ligne de pages blanches (les chercheurs ont utilisé l’API de whitepages.com), et l’on dispose d’une base de données de MSC et des zones géographiques qu’ils couvrent. Les chercheurs affirment même avoir créé une telle carte au format KML (Google Map).

Enfin, pour affiner encore la mesure, les chercheurs ont placé sur cette carte les positions des antennes mobiles telles que référencées par le projet libre OpenCellID, qui fournit pour chaque antenne sa position GPS et l’opérateur a qui elle appartient.

Tout cela, c’était l’an dernier. Depuis les deux chercheurs ont considérablement enrichi (et complexifié !) leur technique en incluant… des images vidéo issues des caméras de trafic routier !

Ils expliquent en effet être parvenus à corréler les déplacements d’une cible en sortie de zone de MSC avec d’éventuelles caméras de trafic routier disponibles à cet endroit. Les images des caméras sont souvent diffusées gratuitement sur Internet et les chercheurs disent être en mesure d’enregistrer et d’archiver ce trafic pour analyse.

Le long des grands axes autoroutiers, pour lesquels les chercheurs disposaient à la fois de plusieurs MSC bien identifiés et de caméras en abondance, ils seraient parvenus à repérer visuellement le véhicule de leur cible en notant l’heure exacte à laquelle celle-ci quittait la couverture d’un MSC pour pénétrer dans un autre adjacent. Avec, précisent-ils quelques savants calculs de déplacement et de vitesse, plusieurs jours d’observation et aussi un peu de chance !

Depuis les opérateurs américains ont semble-t-il pris quelques mesures afin d’éviter la fuite de données de leurs HLR, Verizon étant manifestement le plus efficace.

Nous ne manquerons pas de poser la question aux opérateurs français, mais si vous êtes un expert télécom n’hésitez pas à nous apporter votre éclairage : une telle attaque est-elle possible en France ? Les chercheurs affirment être parvenus aux même résultats en Europe, et notamment en Allemagne.