NON CLASSIFIÉ Évaluation de la vulnérabilité des services de communications personnelles (SCP) et des systèmes cellulaires ITSPSR-16A Mai 2009

Transcription

1 Évaluation de la vulnérabilité des services de communications personnelles (SCP) et des systèmes cellulaires ITSPSR-16A Mai 2009 Mai 2009

2 Page intentionnellement laissée en blanc. Mai 2009

3 Avant-propos Le document Évaluation de la vulnérabilité des services de communications personnelles (SCP) et des systèmes cellulaires (ITSPSR-16A) est un document NON CLASSIFIÉ publié avec l autorisation du chef du Centre de la sécurité des télécommunications Canada (CSTC). Les suggestions de modification devraient être envoyées par les voies de communication sécurisées du ministère au représentant des Services à la clientèle du CSTC. Pour plus de détails, prière de communiquer avec les Services à la clientèle de la Sécurité des TI du CSTC par courriel (itsclientservices@cse-cst.gc.ca) ou par téléphone ( ). Date d entrée en vigueur Cette publication entre en vigueur le 29/05/2009. Gwen Beauchemin Directrice de la Gestion de la mission de la Sécurité des TI Gouvernement du Canada, Centre de la sécurité des télécommunications Canada, 2009 Avant-propos Mai 2009 i

4 Page intentionnellement laissée en blanc. ii Mai 2009

5 Résumé Face à l utilisation accrue des technologies sans fil au sein des ministères du gouvernement du Canada (GC), les utilisateurs s interrogent de plus en plus sur la sécurité offerte par ces dispositifs. Bon nombre de ces préoccupations sont les mêmes que celles qui avaient été soulevées par l utilisation généralisée d Internet il y a quelques années alors qu il existait peu de produits appropriés pour assurer la sécurité des données. À l'époque, pour résoudre ce problème et permettre aux employés du GC d échanger des communications sécurisées sur Internet, on a produit une liste d algorithmes cryptographiques approuvés par le gouvernement, et le CSTC et d'autres ministères du GC ont élaboré et mis en œuvre l infrastructure à clé publique du GC (ICP GC) pour aider les utilisateurs à gérer leurs clés cryptographiques. Les mêmes préoccupations au plan de la sécurité surgissent actuellement relativement aux systèmes cellulaires et aux services de communications personnelles (SCP). Les fournisseurs de services et les fabricants de ces systèmes et dispositifs sans fil peuvent utiliser des algorithmes cryptographiques qui ne sont pas approuvés par le GC, et il n existe pas d infrastructure à clé publique pour cette technologie. Lorsqu'une technologie sans fil offre un type quelconque de chiffrement, celui-ci n'est généralement offert que pour la liaison sans fil (et non de bout en bout), et les fournisseurs de services contrôlent eux-mêmes les clés cryptographiques. Dans le cas des communications du GC, toute information sensible (désignée ou classifiée) transmise par un SCP, un système cellulaire ou un réseau étendu (WAN) devrait être chiffrée exclusivement à l aide des algorithmes cryptographiques approuvés par le GC; en outre, le chiffrement devrait être appliqué sur la totalité de la liaison, de bout en bout (d un dispositif utilisateur à l'autre dispositif utilisateur). L information ne doit jamais être déchiffrée à un point intermédiaire au cours du processus (par exemple, les communications GSM (Système mondial de communications mobiles) sont chiffrées uniquement entre le portatif et la station de base la plus proche). Avant d utiliser un réseau public sans fil quelconque pour transmettre de l information et des données sensibles, les ministères du GC devraient s assurer que les mécanismes de sécurité en place sont en mesure de protéger cette information. Résumé Mai 2009 iii

6 Page intentionnellement laissée en blanc. iv Mai 2009

7 Historique des révisions N o du document Titre Date de publication ITSPSR-16A Évaluation de la vulnérabilité des services de communications personnelles (SCP) et des systèmes cellulaires Avril 2013 *Seule les références ont été révisées Historique des révisions Mai 2009 v

8 Page intentionnellement laissée en blanc. vi Mai 2009

9 Table des matières 1.1 Objet et portée Généralités Station mobile (MS) Station de base (BS) Centre de commutation du service des mobiles (MSC) Contrôleur de station de base (BSC) Passerelle sans fil Coupe-feu Internet / RTPC Générations de la téléphonie mobile Deuxième génération Générations intermédiaires Troisième génération Au-delà de la troisième génération Sommaire des générations de téléphones mobiles Généralités Service téléphonique mobile perfectionné (AMPS) Aperçu Sécurité et vulnérabilités du service AMPS Accès multiple par répartition en code (AMRC) Aperçu Sécurité de la norme AMRC CDMA2000 1x Aperçu Sécurité de la norme CDMA2000 1x Vulnérabilités de la norme CDMA2000 1x Norme 1xEV-DO CDMA Aperçu Sécurité de la norme 1xEV-DO Vulnérabilités de la norme 1xEV-DO Accès multiple par répartition temporelle (AMRT) Aperçu Sécurité de la norme AMRT Système mondial de communication avec les mobiles (GSM) Aperçu Sécurité du GSM Vulnérabilités du GSM Service général de radiocommunication par paquets (GPRS) Aperçu Sécurité du GPRS Vulnérabilités du GPRS Table des matières Mai 2009 vii

10 3.9 GSM à débit amélioré (EDGE) Aperçu Sécurité de EDGE Vulnérabilités de EDGE Système universel de télécommunication avec les mobiles (UMTS) Aperçu Sécurité de l'umts Vulnérabilités de l'umts Integrated Digital Enhanced Network (iden) Aperçu Sécurité de l'iden Mobitex et DataTAC Aperçu Sécurité de Mobitex et de DataTAC Wireless Application Protocol (WAP) Aperçu Sécurité de la couche transport sans fil (WTLS) Vulnérabilités de WTLS Sécurité de l infrastructure des réseaux cellulaires et SCP Capacité de menace Types de menaces et d attaques Équipement d interception (IS-95 et IS-136) Brouillage et mystification Problèmes liés à la sécurité des SCP et des systèmes cellulaires Cryptographie Soutien de l infrastructure de base Sécurité de bout en bout Sécurité des émissions (EMSEC) Sécurité acoustique Généralités BlackBerry de RIM Module de sécurité GSM Sectéra (SGSM) Dispositif SME PED (Secure Mobile Environment Personal Electronic Device) Fonctions du dispositif SME PED viii Mai 2009 Table des matières

11 Liste des tableaux Tableau 1 Sommaire des générations et technologies de téléphonie mobile... 8 Tableau 2 Interfaces hertziennes SCP et cellulaires utilisées au Canada Tableau 3 Algorithmes de chiffrement en bloc WTLS Tableau 4 Probabilité de succès d une attaque contre un système sans fil cellulaire 35 Liste des figures Figure 1 Architecture type du réseau d un fournisseur de services sans fil... 3 Figure 2 Architecture de réseau générique CDMA Figure 3 Authentification et chiffrement CDMA2000 1x Figure 4 Architecture du réseau GPRS Figure 5 Sécurité du service GRPS Figure 6 Modèle de référence du protocole WAP Figure 7 Téléphone GSM et module de sécurité Figure 8 Sectéra Edge de General Dynamics Figure 9 Guardian de L-3 Communications Liste des tableaux et figures Mai 2009 ix

12 Page intentionnellement laissée en blanc. x Mai 2009

13 Liste des abréviations et acronymes 1xEV-DO 1xEV-DV 3GPP 3GPP2 AES AMPS AMRC AMRT ARDIS A-SAP AUC BES BS BSC Carte PC CAVE CMEA CSTC DoS DRF ECMEA EDGE EIR ESA ESP ETSI GC GEA GGSN GHz GPRS GPS GSM HAIPE HAIPE IS 1xEvolution-Data Optimized ou 1xEvolution-Data Only 1xEvolution-Data and Voice Projet de partenariat pour la troisième génération Projet 2 de partenariat pour la troisième génération Advanced Encryption Standard Service téléphonique mobile perfectionné Accès multiple par répartition en code Accès multiple par répartition temporelle Advanced Radio Data Information Services Application Point d'accès au service (Application Service Access Point) Centre d authentification Serveur d'entreprise BlackBerry MC Station de base Contrôleur de station de base Carte d ordinateur personnel Cellular Authentication Voice Privacy and Encryption Cellular Message Encryption Algorithm Centre de la sécurité des télécommunications Canada Déni de service Duplex à répartition en fréquence Enhanced Cellular Message Encryption Algorithm GSM à débit amélioré Enregistreur d'identité d'équipement Enhanced Subscriber Authentification Enhanced Subscriber Privacy Institut européen des normes de télécommunication Gouvernement du Canada GPRS Encryption Algorithm Noeud de service GPRS de transit; passerelle GGSN Gigahertz Service général de radiocommunication par paquets Système mondial de localisation Système mondial de communication avec les mobiles High Assurance Internet Protocol Encryptor HAIPE Interoperability Specification Liste des abréviations et sigles Mai 2009 xi

14 HLR HSDPA HTTP ICP ICP GC iden IMSI IMT-2000 IP IWF Ki LFSR MAC MDC MHz MS MSC NAMPS NSE OTAN OTASP PCMCIA PDA PDSN PGP PVMC RCC RD-LAP RF RIM RMSA RMTP RTPC S/MIME SCC SCIP SCP SEC-SAP SGSM SGSN Enregistreur de localisation nominal Accès par paquets en liaison descendante haut débit HyperText Transfer Protocol Infrastructure à clé publique Infrastructure à clé publique du GC Integrated Digital Enhanced Network (exclusif à Motorola) Identité internationale de l'abonné mobile International Mobile Telecommunications-2000 Internet Protocol Fonction d'interfonctionnement Clé d authentification individuelle de l'abonné Registre à décalage à rétroaction linéaire Contrôle d accès au support Mobile Data Communication Mégahertz Station mobile Centre de commutation du service des mobiles Service mobile perfectionné à bandes étroites Numéro de série électronique Organisation du Traité de l Atlantique Nord Over-The-Air Service Provisioning Personal Computer Memory Card International Association Personal Digital Assistant Noeud serveur de données par paquets Pretty Good Privacy Programme de validation des modules cryptographiques Réseau classifié canadien Radio Data-Link Access Protocol Radiofréquence Research in Motion (Limited) Radio mobile spécialisée améliorée Réseau mobile terrestre public Réseau téléphonique public commuté Secure/Multi-purpose Internet Mail Extension Schéma lié aux Critères communs Protocole d'interopérabilité des communications sécurisées Services de communications personnelles Sécurité Point d accès au service (Security-Service Access Point) Module de sécurité Sectéra GSM Noeud de support GPRS de service; passerelle SGSN xii Mai 2009 Liste des abréviations et sigles

15 SHA-1 Secure Hash Algorithm 1 SIM Module d identification de l abonné SM Module de sécurité SME PED Secure Mobile Environment Personal Electronic Device SMS Service de messages courts SRES Réponse signée S-SAP Session Point d accès au service (Session-Service Access Point) SSD Données secrètes partagées SSL Secure Sockets Layer STE Secure Terminal Equipment STU-III Secure Telephone Unit-Third Generation TIA TR-SAP T-SAP UE UEA-1 UIT UMTS VLR VPM WAN WAP WDP-UDP WTLS WTP WWDNOG XOR XHTML Telecommunications Industry Association Transaction Point d accès au service (Transaction-Service Access Point) Transport Point d accès au service (Transport-Service Access Point) Union européenne UMTS Encryption Algorithm-1 Union internationale des télécommunications Système universel de télécommunication avec les mobiles Enregistreur de localisation des visiteurs Masque de confidentialité pour la voix (Voice Privacy Mask) Réseau étendu Wireless Application Protocol Wireless Data Protocol/User Datagram Protocol Sécurité de la couche transport sans fil Wireless Transaction Protocol World-wide Wireless Data Network Operators Group OU exclusif Langage hypertexte extensible Liste des abréviations et sigles Mai 2009 xiii

16 Page intentionnellement laissée en blanc. xiv Mai 2009 Liste des abréviations et sigles

17 1 Introduction 1.1 Objet et portée Le gouvernement du Canada (GC) utilise actuellement une multitude de technologies sans fil commerciales pour communiquer de l information. Certaines de ces technologies fonctionnent dans une bande de fréquences octroyées sous licence et d autres, dans une bande sans licence (p. ex., une bande industrielle, scientifique et médicale). Les types d informations acheminés par ces technologies sans fil varient des communications officielles gouvernementales aux appels personnels. Toutes les technologies sans fil présentent à des degrés divers des vulnérabilités intrinsèques, qui pourraient être exploitées à mauvais escient. Le présent rapport traite de ces vulnérabilités et propose des solutions de sécurité possibles. Introduction Mai

18 Page intentionnellement laissée en blanc. 2 Mai 2009 Introduction

19 2 Description du système 2.1 Généralités Ce chapitre donne un aperçu des principaux éléments des services de communications personnelles (SCP ) et des systèmes cellulaires utilisés au Canada. Le lecteur trouvera une description plus détaillée dans le rapport [5] donné dans les références. Toutefois, il doit d abord comprendre comment fonctionnent ces systèmes, illustrés à la figure 1, avant de tenter de saisir les questions de sécurité connexes. Réseau téléphonique public commuté Station mobile Interface hertzienne Station de base Contrôleur de station de base Centre de commutation du service des mobiles Passerelle sans fil Coupe-feu Internet Station de base Figure 1 Architecture type du réseau d un fournisseur de services sans fil La décomposition des systèmes dans la figure ci-dessus est limitée, vu l absence d information spécifique et détaillée en provenance des divers fournisseurs de services. Par exemple, on ne sait pas si l une ou l autre des composantes des technologies de l information (TI) des systèmes d'un fournisseur de services sans fil ont fait l objet d évaluations de sécurité indépendantes afin de déterminer l étendue et la qualité des services de sécurité mis en place. 2.2 Station mobile (MS) La station mobile (MS pour Mobile Station) sans fil consiste en un émetteur-récepteur mobile qui peut être portatif ou fixe (p. ex., dans un véhicule). Elle est habituellement pourvue d un mécanisme agile en fréquence qui permet la syntonisation d une radiofréquence (RF) particulière, attribuée au réseau sans fil. La MS comporte habituellement un téléphone multimode (p. ex., analogique-numérique, cellulaire-scp), une carte PC (PCMCIA) ou un assistant numérique (PDA pour Personal Digital Assistant) qui peut se connecter au Web (p. ex., par l intermédiaire du Wireless Application Protocol ou protocole WAP). De plus, elle Description du système Mai

20 peut prendre en charge le service de messages courts (SMS pour Short Message Service) et le service de modem (paquets de données) sans fil. 2.3 Station de base 1 (BS) La station de base (BS pour Base Station) sans fil, qui est fixe, gère l interface hertzienne entre la MS et la BS. En recevant les signaux de trafic et les directives de commande du centre de commutation commutateur du service des mobiles (MSC pour Mobile Switching Centre) ou du contrôleur de station de base (BSC pour Base Station Controller), s'il y a lieu, la station de base transmet et reçoit le trafic en direction de la MS et en provenance de celle-ci. La BS assure le contrôle opérationnel de la puissance d'émission de l'interface hertzienne pour les deux émetteurs, MS et BS. La BS assure également la synchronisation de l interface hertzienne, souvent en utilisant comme source de temps les signaux du système mondial de localisation (GPS pour Global Positioning System). Un site BS peut être responsable de plusieurs cellules ou secteurs qui fonctionnent à des fréquences différentes. Divers fournisseurs de services sans fil (cellulaires ou SCP) peuvent utiliser une même BS pour plusieurs réseaux sans fil. 2.4 Centre de commutation du service des mobiles (MSC) Le MSC joue le rôle d élément de commande pour le réseau sans fil mobile. Il communique directement avec la MS par l intermédiaire de la BS ou indirectement par le BSC, si celui-ci existe dans le réseau. Les fonctions du MSC incluent les suivantes : commutation des appels entre les différentes cellules, interface avec le réseau téléphonique public commuté (RTPC), surveillance du trafic aux fins de comptabilité, exécution de tests et de diagnostics, gestion globale du réseau sans fil, y compris la gestion des ressources radio (p. ex., puissance et fréquence) et des connexions (p. ex., authentification, établissement des appels, interruptions), et commutation de secours. À l appui des opérations du réseau, le MSC a habituellement accès aux bases de données génériques suivantes : le centre d'authentification (AUC pour Authentication Centre), qui contient l information sur l authentification et le chiffrement (si cette fonction est offerte) pour les abonnés, l'enregistreur d'identité d équipement (EIR pour Equipment Identity Register), qui contient de l information sur l équipement MS (p. ex., fabricant, lieu d assemblage, information sur les tests de conformité, etc.), 1 La station de base est parfois appelée station d émission et de réception de base (BTS). 4 Mai 2009 Description du système

21 l'enregistreur de localisation nominal (HLR pour Home Location Register), qui fait le suivi de l emplacement d un abonné et de l information sur celui-ci (p. ex., information sur son compte, services auxquels il est abonné, etc.), et l'enregistreur de localisation des visiteurs (VLR pour Visitor Location Register), qui fait le suivi des abonnés visiteurs dans une zone de service de rattachement. Les fonctions précises de gestion de réseau, telle la gestion des ressources radio, l établissement des liaisons, les diagnostics, etc., peuvent être déléguées à la BS ou au BSC. Quand ces fonctions sont déléguées, une bonne partie de cette information est retransmise au MSC. 2.5 Contrôleur de station de base (BSC) Le BSC peut être autonome, situé au même endroit que le MSC ou la BS, ou encore non installé dans le réseau. Quand il est installé, il a pour fonction de soulager le MSC d une partie de ses fonctions de contrôle de réseau, notamment : les opérations de transfert d appels, et la gestion des ressources radio, notamment la puissance et la fréquence de l interface hertzienne entre la MS et la BS. 2.6 Passerelle sans fil La passerelle sans fil relie Internet au fournisseur de services sans fil. On a habituellement recours à un serveur mandataire (aussi appelé proxy, p. ex., Phone.com) pour exécuter cette fonction. Au niveau de la passerelle, le trafic bidirectionnel peut être momentanément déchiffré, s il s agit d une session sécurisée, et il peut y avoir conversion entre Internet et le protocole sans fil. En effet, les sites Internet et l utilisateur ne communiquent pas directement, mais passent plutôt par un mandataire (en l occurrence la passerelle sans fil). Bien que son existence passerelle ou sa fonction puissent être inconnues, voire non comprises, les deux parties font implicitement confiance à cette passerelle. L application et le fonctionnement précis de la passerelle sans fil sont essentiels pour assurer l intégrité globale de la sécurité du service Internet sans fil. Un coupe-feu est habituellement inséré entre la passerelle sans fil et Internet. 2.7 Coupe-feu Un coupe-feu est habituellement inséré entre la passerelle sans fil et Internet. 2.8 Internet / RTPC Le service sans fil peut être connecté à Internet et au réseau téléphonique public commuté (RTPC). Description du système Mai

22 2.9 Générations de la téléphonie mobile La téléphonie mobile a évolué et continue d évoluer. Les différents stades de l histoire de la téléphonie mobile s appellent «générations». À l'heure actuelle, l industrie est en train de migrer de la deuxième génération, appelée 2G, à la troisième, ou 3G. La génération 2G ne fait pas partie de la portée de la présente étude; toutefois, le rapport décrit brièvement les systèmes 2G puisqu ils forment la base des générations intermédiaires entre les générations 2G et 3G. La génération 4G a déjà été définie bien qu elle ne soit pas encore déployée Deuxième génération Les réseaux 2G de téléphonie mobile ont été les premiers à utiliser la signalisation numérique dans l interface hertzienne. La génération précédente utilisait la signalisation analogique. Les réseaux 2G permettent d offrir des services de données numériques tels le Service de messages courts (SMS) et le courrier électronique. Les principaux réseaux de deuxième génération à accès multiple par répartition temporelle (2G AMRT ou TDMA 2G en anglais) reposent sur la norme du Système mondial de communication avec les mobiles (GSM pour Global System for Mobile Communications). En 2008, la couverture mondiale GSM comptait plus de 2,76 milliards d'abonnés répartis dans 930 réseaux desservant plus de 220 pays et territoires 2. En 1987, l Union européenne (UE) a adopté le GSM comme norme européenne de téléphonie mobile. La norme, qui n a pas été définie complètement avant 1990, compte plus de pages de documentation, publiées par l Institut européen des normes de télécommunications (ETSI). Les principaux réseaux de deuxième génération à accès multiple par répartition en code (2G AMRC ou CDMA 2G en anglais) s appuient sur la norme cdmaone de Qualcomm. Cette norme est également connue sous le nom de Interim Standard 95 (IS-95). Elle est utilisée aux États-Unis, en Corée du Sud, au Canada, au Mexique, en Inde, en Israël, en Australie, au Vénézuela et en Chine. La Telecommunications Industry Association (TIA) a publié la première révision de la norme IS-95 en 1993, suivie de la deuxième, IS-95A, en Générations intermédiaires L évolution de la génération 2G à la génération 3G est progressive et les fabricants ont produit des équipements qui ne répondent pas tout à fait aux exigences formelles de la 3G, bien qu ils soient supérieurs à ceux de la 2G. Ces produits ont été désignés sous le nom 2.5G ou 2.75G. La principale différence entre les générations 2G et 2.5G tient au fait que la 2.5G fait appel à la commutation par paquets en sus de la commutation de circuit utilisée par les réseaux 2G. La génération 2.5G se sert toujours de l infrastructure 2G, mais elle nécessite de nouvelles stations mobiles et des mises à niveau de l équipement d accès réseau. Le service général de Mai 2009 Description du système

23 radiocommunication par paquets (GPRS pour General Packet Radio Service) est considéré une technologie 2.5G. La génération 2.75G s appuie également sur l infrastructure 2G mais offre des débits binaires supérieurs aux générations 2G ou 2.5G. On juge souvent que EDGE et CDMA2000 1x sont des technologies 2.75G. Du point de vue technique, ces deux services peuvent être associés à la génération 3G puisqu ils offrent un débit binaire minimal de 144 kilobits par seconde (kbps); toutefois, les «vrais» systèmes 3G offrent des vitesses de beaucoup supérieures Troisième génération Tel qu'il a été mentionné précédemment, ce qui distingue principalement les systèmes 3G est leur débit binaire de commutation par paquets d au moins 144 kbps. Ces systèmes doivent prendre en charge à la fois les données et la voix (certains systèmes 2G n'offraient pas les services de données). Afin de promouvoir l interopérabilité de l équipement de téléphonie mobile au plan international, l Union internationale des télécommunications (UIT) coordonne l élaboration des normes 3G, désignées sous le nom de Télécommunications mobiles internationales-2000 (IMT-2000 pour International Mobile Relecommunications-2000). Les IMT-2000 définissent cinq normes d'interface hertzienne, dont deux sont utilisées au Canada. La première norme est le Système universel de télécommunication avec les mobiles (UMTS pour Universal Mobile Telecommunications System), qui utilise l'accès multiple par répartition en code à large bande (AMRC large bande ou W-CDMA en anglais) comme interface hertzienne. L'AMRC large bande utilise la technique AMRC mais il n est pas lié sur le plan technologique aux normes cdmaone ou CDMA2000, et n'est pas compatible non plus avec ces dernières. L élaboration des normes UMTS est coordonnée par un groupe de fabricants, d exploitants de réseau et d'organismes de normalisation connu sous le nom de Projet de partenariat pour la troisième génération (3GPP pour Third Generation Partnership Project). L'UMTS succède au GSM 3 et vise une réutilisation maximale de l infrastructure GSM afin de réduire les coûts de transition. Ce système est utilisé principalement en Europe et dans certains pays asiatiques. Le premier réseau UMTS a été lancé en Rogers Sans-Fil, qui prévoyait déployer ce système au Canada au cours du troisième trimestre de 2006, a plutôt décidé de favoriser une technologie 4G appelée accès par paquets en liaison descendante haut débit (HSDPA pour High-Speed Downlink Packet Access). La deuxième technologie 3G utilisée au Canada est 1xEvolution-Data Only (1x EVDO), également connue sous le nom de 1xEV-DO DMA2000 ou Interim Standard 856 (IS-856). Comme l indique son nom, la norme 1xEV-DO fait partie de la famille des normes CDMA2000 et succède à la norme cdmaone/is-95. Un groupe appelé Projet 2 de partenariat pour la troisième génération (3GPP2 pour Third Generation Partnership Project Two) coordonne l élaboration de 3 Ceux qui s intéressent aux technologies GSM ont choisi une interface hertzienne AMRC pour la version 3G du GSM plutôt que de continuer à utiliser l interface hertzienne AMRT du GSM parce que l'amrc peut prendre en charge un plus grand nombre d utilisateurs simultanés par cellule. Description du système Mai

24 cette norme. Le 3GPP2, comme le 3GPP, regroupe des fabricants, des exploitants et des organismes de normalisation. La norme 1xEV-DO est plus utilisée dans les pays de l Asie- Pacifique et de l Amérique du Nord, mais on la retrouve également dans d autres régions. Elle compte plus de 30 millions d abonnés à travers le monde. Une autre norme 3G qui fait partie de la portée de cette étude est la norme 1xEvolution Data and Voice (1xEV-DV) CDMA2000. Cette norme a une capacité supérieure au plan du nombre de canaux pour la voix et les données par rapport à la norme CDMA2000 1x. D autre part, la norme 1xEV-DO offre des améliorations uniquement au plan du canal de données. Toutefois, la norme 1xEV-DV a été élaborée plusieurs années après la norme 1xEV-DO et après que plusieurs exploitants eurent déployé les réseaux 1xEV-DO. Peu de fabricants ou d exploitants de réseau ont démontré un intérêt marqué pour la norme 1xEV-DV de sorte que Qualcomm, chef de file de l élaboration de la norme 1xEV-DV, a mis un terme à ses travaux et s est concentré sur la norme 1xEV-DO. Ce rapport n abordera pas plus en détail la norme 1xEV-DV Au-delà de la troisième génération Les exploitants de réseau et les fabricants planifient déjà la quatrième génération de la technologie mobile, la génération 4G. Il est peu probable que les réseaux 4G fassent leur apparition bien avant Toutefois, certaines percées ont déjà été réalisées dans les systèmes 3G, et sont désignées sous le nom de 3.5G. L'une d'entre elles est le HSDPA, qui constitue une extension de l'umts, de la même manière que la norme 1xEV-DO a été une extension de la norme CDMA2000 1x. Le HSDPA propose un nouveau canal de liaison descendante haute vitesse (de la station de base vers la station mobile) Sommaire des générations de téléphones mobiles En résumé, il existe deux «familles» principales de téléphone mobiles : GSM et AMRC CDMA. Le Tableau 1 ci-après résume l évolution des deux familles. Tableau 1 Sommaire des générations et technologies de téléphonie mobile Famille GSM Famille AMRC Norme (Interface) 2G GSM (AMRT) cdmaone (AMRC) 2.5G GPRS (AMRT) Aucune 2.75G EDGE (AMRT) CDMA2000 1x (AMRC) 3G UMTS (AMRC large bande) 1xEV-DO CDMA2000 (AMRC) 3.5G HSDPA (AMRC large bande) Non encore définie Élaboration 3GPP 3GPP2 Éditeur ETSI TIA des normes Exploitants Rogers Sans-Fil Bell Mobilité, TELUS 8 Mai 2009 Description du système

25 canadiens Famille GSM Famille AMRC Description du système Mai

26

27 3 Contrôle et manutention 3.1 Généralités La plupart des services sans fil fonctionnent en mode duplex à répartition de fréquences (DRF), c est-à-dire que le canal aller (en «liaison descendante» de la station de base à la station mobile) est habituellement décalé à une radiofréquence plus élevée que le canal retour (en liaison «ascendante» de la station mobile à la station de base). Le tableau 2 donne un aperçu des interfaces hertziennes SCP et cellulaires utilisées au Canada. Tableau 2 Interfaces hertziennes SCP et cellulaires utilisées au Canada Interface Bande de fréquence Norme/ protocole Sécurité Services pris en charge Service téléphonique mobile perfectionné (AMPS) MHz EIA-553 IS-54 Numéro de série électronique (NSE) Voix Accès multiple par répartition en code (AMRC) 800 MHz (cellulaire numérique) 1,9 GHz (SCP) IS-95 CAVE CMEA ECMEA VPM ORYX Voix SMS Modem sans fil WAP Accès multiple par répartition temporelle (AMRT) 800 MHz (cellulaire numérique) 1,9 GHz (SCP) IS-54 IS-136 CAVE CMEA ECMEA VPM ORYX SMS Modem sans fil WAP Messagerie bidirectionnelle Système mondial de communication avec les mobiles (GSM) 1,9 GHz (SCP) Norme GSM IMSI Ki A3 Algorithme d authentification A8 Algorithme de génération de clé de chiffrement A5 Algorithme de chiffrement Voix SMS Modem sans fil WAP Integrated Digital Enhanced Network (iden) 800 MHz Radio mobile spécialisée améliorée (RMSA) Norme exclusive à Motorola Aucune SMS WAP Modem sans fil Mobitex 900 MHz Réseau étendu (WAN) sans fil Mobitex Norme exclusive Aucune Modem sans fil Messagerie bidirectionnelle DataTAC 900 MHz Réseau étendu (WAN) sans fil Norme exclusive à DataTAC Aucune Modem sans fil Messagerie bidirectionnelle 4 AMPS n est plus disponible au Canada. Cette rangée est incluse aux fins de référence seulement. Contrôle et manutention Mai

28 3.2 Service téléphonique mobile perfectionné (AMPS) À noter que depuis le mois de novembre 2008, Bell Mobilité et Telus ont fermé leurs réseaux analogues. Le service AMPS n est donc plus offert au Canada. Cette section est incluse uniquement à titre de référence Aperçu Le Service téléphonique mobile perfectionné a été inauguré en 1983 à titre de service téléphonique mobile entièrement automatisé, sur la bande de fréquence MHz, avec une largeur de bande de 30 khz pour chaque canal. L'AMPS a été le premier service cellulaire normalisé au monde. D abord conçu pour une utilisation en milieu urbain, le service a ensuite été étendu aux zones rurales. L'AMPS maximise le concept cellulaire de réutilisation des fréquences en réduisant la puissance radio émise. Les téléphones AMPS ont une interface utilisateur de style téléphonique standard et sont compatibles avec toute station de base AMPS, ce qui simplifie la mobilité des abonnés entre les fournisseurs de services (mode itinérance). Le service AMPS souffre toutefois de plusieurs limitations, notamment : une faible capacité d appels, un spectre limité, aucune possibilité d expansion du spectre, une piètre communication des données, une confidentialité minimale, et une protection inadéquate contre la fraude. En 2007, les fournisseurs canadiens de services de systèmes cellulaires et SCP continuaient d offrir le service AMPS en plus des systèmes numériques déployés dans les zones urbaines. Toutefois, en mai 2007, Rogers Sans-Fil a abandonné le service AMPS dans ses réseaux, mettant ainsi fin à son service cellulaire analogique. Bell Mobilité et Telus ont fermé leurs réseaux analogiques en novembre 2008; le service AMPS n est donc plus offert au Canada Sécurité et vulnérabilités du service AMPS Au début de la téléphonie cellulaire, les fournisseurs de services avaient déclaré qu'il serait extrêmement difficile, voire impossible, d intercepter les communications AMPS. Cette norme n offre aucun algorithme cryptographique capable de chiffrer les communications voix (confidentialité), le service AMPS tentant plutôt d authentifier les utilisateurs à l aide d un numéro de série électronique (NSE). Celui-ci sert à combattre la fraude, mais son succès a été mitigé, car de nombreux téléphones ont été clonés et utilisés illégalement. Le NSE est transmis sur les ondes et peut facilement être intercepté puis chargé illégalement dans un autre appareil. La technique de modulation employée pour le service AMPS est identique à celle que l'on utilise pour les radios FM. Pour intercepter un signal AMPS, un adversaire n'a besoin que d un récepteur commercial de 200 $ capable de balayer la bande de 800 à 900 MHz. 12 Mai 2009 Contrôle et manutention

29 3.3 Accès multiple par répartition en code (AMRC) Aperçu L interface hertzienne AMRC IS-95 emploie des techniques de modulation par étalement du spectre en séquence directe, qui consistent à étaler l information contenue dans un signal donné sur une plus grande largeur de bande que celle du signal original. La norme IS-95 est une norme de téléphonie sans fil de deuxième génération qui peut être mise en oeuvre dans la bande de fréquence cellulaire numérique (800 MHz) ou SCP (1,9 GHz). Les principaux fournisseurs canadiens de services sans fil qui emploient la technique AMRC (IS-95) incluent : Bell Mobilité, et Telus. La norme AMRC (IS-95) peut prendre en charge la voix et les services de données sans fil suivants : service de messages courts (SMS), service de modem sans fil (paquet de données IS-95b), et service du protocole d application sans fil (WAP pour Wireless Application Protocol) Sécurité de la norme AMRC La norme IS-95 Mobile Station-Base Station Compatibility Standard for Wideband Spread Spectrum Cellular Systems (TIA/EIA-95 Révision C) offre une option de secret des conversations qui tente de sécuriser les communications voix. L annexe A de cette norme, Interface Specification for Common Cryptographic Algorithms, précise les algorithmes qui peuvent être utilisés pour l authentification et la confidentialité. L algorithme Cellular Authentication Voice Privacy and Encryption (CAVE) sert de fonction de mixage et est censé être utilisé avec un protocole d authentification par interrogation-réponse et pour la génération de clés. L algorithme Cellular Message Encryption Algorithm (CMEA) 5 sert à protéger les données numériques échangées entre la station mobile et la station de base et à chiffrer le canal de commande. La norme TIA/EIA-95 (Révision C) comprend également un algorithme dit ECMEA (Enhanced Cellular Message Encryption Algorithm). L algorithme Voice Privacy Mask (VPM) assure la confidentialité de la voix sur les liaisons aller et retour de l interface hertzienne. En d autres mots, il sert à chiffrer le canal voix à l intérieur 5 Divers articles ont été publiés sur la cryptanalyse des algorithmes ORYX et CMEA. Voir les sites suivants : httpp:// et Contrôle et manutention Mai

30 du canal RF. Toutefois, il ne s agit rien de plus que d un masque XOR appliqué aux données vocales, qui n offre aucune sécurité réelle. ORYX est un algorithme de chiffrement en continu basé sur un registre à décalage à rétroaction linéaire (LFSR pour Linear Feedback Shift Register) et est destiné aux services de données sans fil. Bien que la norme AMRC précise tous les algorithmes ci-dessus, nombreux sont les fournisseurs de services qui ont opté de ne pas les appliquer à leurs systèmes. Ils sont plus intéressés à éviter la fraude qu à sécuriser le volet voix des communications et se fient à la complexité inhérente du système (étalement du spectre) pour assurer la sécurité. Toutefois, l étalement du spectre a pour objet d'assurer que les dispositifs peuvent communiquer dans des environnements bruyants et non de servir de mécanisme de sécurité. En outre, aucun des algorithmes mentionnés ci-dessus n a été approuvé par le GC pour protéger l information classifiée ou désignée CDMA2000 1x Aperçu La norme CDMA2000 1x, interface hertzienne principale de la famille CDMA2000, est une mise à niveau progressive de cdmaone (également connu sous le nom de IS-95). En tant que telle, la norme est rétrocompatible avec cdmaone. Elle fonctionne avec une paire de canaux radio de 1,25 MHz. Les systèmes CDMA2000 fonctionnent dans les bandes de fréquence de 400 MHz, 800 MHz, 900 MHz, MHz, MHz, MHz et MHz. La norme CDMA2000 1x double, ou presque, la capacité vocale des réseaux cdmaone. Dans la plupart des déploiements, le débit binaire de pointe atteint est de 144 kbps. La Figure 2 illustre une architecture de réseau CDMA2000 générique. Dans la figure, BSC représente un contrôleur de station de base et MSC, le centre de commutation du service des mobiles. L'acronyme IWF (Interworking Function) est une passerelle à fonction d'interfonctionnement, qui consiste en une passerelle pour le trafic des données entre un réseau sans fil et un réseau filaire. Le serveur AAA assure les opérations d authentification, d autorisation et de comptabilité. L'acronyme RTPC représente le réseau téléphonique public commuté. L interface IS-634 est la norme d interface pour les communications entre le BSC et le MSC. L interface R-P est l interface radio-pdsn; le PDSN est un nœud serveur de données par paquets (PDSN pour Packet Data Serving Node). 6 Se reporter au document [6] pour une liste complète des algorithmes approuvés par le GC pour protéger l information «désignée». Prière de communiquer avec le CSTC pour connaître les algorithmes approuvés pour protéger l information «classifiée». 14 Mai 2009 Contrôle et manutention

31 Figure 2 Architecture de réseau générique CDMA Sécurité de la norme CDMA2000 1x Lorsqu une station mobile CDMA2000 1x se connecte au réseau, ce dernier renvoie un nombre aléatoire (RANDSSD). La station utilise ce RANDSSD, une clé d authentification appelée A-Key, et un numéro de série électronique (NSE) unique comme intrants pour l algorithme CAVE (voir la section 3.3.2). Le résultat obtenu est une clé de 128 bits appelée «données secrètes partagées» (SSD pour Shared Secret Data). La SSD est ensuite divisée en deux sousclés de 64 bits. L une d elles, appelée SSD_A, est utilisée dans un processus d authentification par interrogation-réponse. L autre sous-clé, appelée SSD_B, est utilisée pour le secret des conversations et le chiffrement des données. Aux fins d authentification, le réseau transmet un autre nombre aléatoire, appelé Broadcast RAND (différent du RANDSSD). La station mobile utilise le Broadcast RAND et la clé SSD_A comme intrants pour l algorithme CAVE pour calculer une signature d authentification de 18 bits qu elle envoie à la station de base où elle est comparée à une valeur prédéterminée. Si les deux valeurs correspondent, la station mobile est authentifiée. La norme CDMA2000 offre deux modes d authentification différents. Dans le premier mode, appelé Global Challenge, le réseau transmet le même nombre aléatoire Broadcast RAND à toutes les stations mobiles. Dans le deuxième mode, appelé Unique Challenge, le réseau transmet une valeur Broadcast RAND unique à chaque station mobile d origine. Le mode Global Challenge permet d authentifier beaucoup plus rapidement toutes les stations mobiles connectées. Par ailleurs, la station mobile et le réseau tiennent à jour la valeur de l'historique du nombre d'appels (Call History Count) qui aide à prévenir toute tentative des stations mobiles clonées de se connecter au réseau. Contrôle et manutention Mai

32 La clé A-Key peut être reprogrammée mais elle doit être identique à la fois pour la station mobile et le réseau. Elle peut être programmée de quatre façons différentes : En usine, Par le détaillant du point de vente, Par les abonnés, au téléphone, ou À l aide de la fonction OTASP (Over The Air Service Provisioning). La fonction OTASP utilise un algorithme d agrément de clé Diffie-Hellman de 512 bits. La modification de la clé A-Key permet d intercepter une station mobile clonée ou de lancer de nouveaux services à l intention d un abonné légitime. La protection de la clé A-Key est l un des plus importants aspects de la sécurité de la norme CDMA2000. La norme CDMA2000 1x n utilise pas le chiffrement pour assurer la confidentialité du trafic voix; comme la norme AMRC, elle se fie plutôt à la complexité technique du processus d interception et de décodage des appels à étalement de spectre. La station mobile utilise la clé SSD_B et l algorithme CAVE pour générer un code d étalement (appelé Long Code) pour le trafic voix. Tout appel CDMA2000 1x incapable d utiliser ce code apparaît comme du bruit dans le canal RF. La norme CDMA2000 1x utilise également la clé SSD_B et l algorithme CAVE pour générer une clé CMEA de 64 bits et une clé de données de 32 bits. La clé CMEA est utilisée de pair avec l algorithme E-CMEA pour chiffrer les messages de signalisation (p. ex., numéros composés, tonalités d'occupation, etc.). La clé de données est également utilisée avec un algorithme appelé ORYX (voir la section 3.3.2) pour chiffrer le trafic de données (tel l accès à Internet). La Figure 3 Authentification et chiffrement CDMA2000 1x illustre les processus d authentification, de secret des conversations et de chiffrement de la norme CDMA2000 1x. Figure 3 Authentification et chiffrement CDMA2000 1x (Source : Référence [9]) Les fonctions de sécurité décrites ici ne concernent que l interface hertzienne. Pour le réseau fédérateur, les fournisseurs de services peuvent choisir parmi une variété d équipements de réseau offerts par différents fournisseurs pour appliquer les mécanismes de sécurité. Ces mécanismes ne font pas partie des normes CDMA Mai 2009 Contrôle et manutention

33 3.4.3 Vulnérabilités de la norme CDMA2000 1x Comme c est le cas pour les systèmes GSM, les systèmes CDMA2000 1x sont vulnérables aux activités des réseaux indésirables en raison de l'absence de mécanismes d authentification du côté réseau. Tel qu'il a été souligné précédemment, le trafic voix des systèmes CDMA2000 1x n est pas chiffré mais plutôt brouillé à l aide de techniques d étalement du spectre. Cette méthode rend difficile mais non impossible l écoute clandestine du trafic voix, contre laquelle il n existe aucun équipement spécialisé de protection. Quoi qu il en soit, tant le brouillage fondé sur d étalement du spectre que les algorithmes de chiffrement des données (E-CMEA et ORYX) ne protègent le trafic qu entre la station mobile et l infrastructure du réseau fédérateur. Lorsque le trafic parvient au réseau fédérateur, il est déchiffré et demeure en clair jusqu à qu'il aboutisse à la station mobile de destination. Si cette dernière est également une station CDMA x, le trafic sera chiffré de nouveau seulement pour la portion sans fil comprise entre le réseau fédérateur et la station mobile de destination. Le GC n a approuvé aucun des algorithmes CDMA2000 1x pour la protection de l information protégée ou classifiée. Bien que l algorithme OTASP (utilisé pour l échange de clés) utilise l algorithme Diffie-Hellman, la taille de 512 bits du corps n est pas suffisante pour satisfaire aux exigences du GC (voir le document [4]). De plus, le GC exige souvent que les clés de chiffrement soient changées toutes les semaines. Dans le cas de la norme CDMA2000 1x, les clés sont configurées par défaut pour être changées seulement au moment où la station mobile se connecte au réseau, ce qui se produit normalement au moment de la mise sous tension. Ainsi, si une station mobile demeure constamment sous tension, ses clés de chiffrement peuvent ne jamais être changées. Tel qu il est indiqué à la section 3.3.2, des attaques contre les algorithmes CMEA et ORYX ont été publiées (voir les documents [7] et [8]). Rien ne semble indiquer que les attaques envers l'algorithme CMEA s appliquent également à l'algorithme E-CMEA. La clé A-Key est essentielle à la sécurité des systèmes CDMA2000 1x et il est très important qu elle demeure secrète. Comme c est le cas pour bon nombre d'autres technologies, les systèmes CDMA2000 1x sont également vulnérables aux attaques liées à Internet et aux applications, lesquelles ne sont pas couvertes par la norme. 3.5 Norme 1xEV-DO CDMA Aperçu La norme 1xEV-DO CDMA2000 (également connue sous le nom de «EV-DO» ou «EV») est une autre variante de la famille des normes CDMA2000 d interface hertzienne conçue pour améliorer la transmission des données afin de satisfaire aux exigences des produits 3G en matière de débit binaire. La première version (Release 0) a été approuvée en Les débits binaires Contrôle et manutention Mai

34 réels de la version 1xEV-DO Release 0 sont d environ 400 à 700 kbps. La deuxième version, appelée Revision A, peut prendre en charge des débits descendants allant jusqu à 3,1 Mbps et des débits ascendants de 1,8 Mbps. Plusieurs exploitants, dont Bell et TELUS, ont déjà déployé la version Revision A. Certains exploitants prévoient déployer en 2009 la plus récente version, Revision B, qui revendique des débits descendants jusqu à 9,0 Mbps. Comme c est le cas pour toutes les technologies de téléphonie mobile, les débits binaires sont tributaires de plusieurs facteurs, y compris la vitesse de la station mobile (si elle est en déplacement), la distance de la station de base et le nombre d utilisateurs simultanés dans la zone immédiate. La station mobile doit posséder le matériel approprié pour tirer avantage des débits et des fonctions offerts par la norme 1xEV-DO. Celle-ci requiert un canal radio distinct pour les données, en plus du canal voix CDMA2000. En conséquence de quoi, un matériel supplémentaire est exigé pour mettre en oeuvre la norme 1xEV-DO dans le réseau fédérateur. La norme 1xEV-DO s applique uniquement au trafic de données. Les communications voix d une station mobile 1xEV-DO continuent d utiliser la norme CDMA2000 1x (et les mécanismes de sécurité connexes, tel qu'il est discuté à la section 3.4.2) Sécurité de la norme 1xEV-DO La norme 1xEV-DO CDMA2000 utilise les mêmes processus de sécurité de base que la norme CDMA2000 1x, mais peut prendre en charge des algorithmes plus robustes dans certains domaines. En plus des algorithmes d authentification et de chiffrement de la norme CDMA2000 1x, la norme 1xEV-DO applique également l algorithme Secure Hash Algorithm-1 (SHA-1) aux fins d authentification, d agrément des clés et d intégrité des messages, ainsi que l algorithme de chiffrement Rijndael (AES) pour le secret des données. Le processus d authentification s enclenche normalement lorsqu une station mobile demande une connexion au réseau. Simultanément, la station produit des codes d étalement pour la voix et des clés de chiffrement pour le chiffrement des données et des signaux. Les réseaux peuvent effectuer les processus d authentification et de génération de clés plus fréquemment, à la discrétion de l opérateur du réseau et selon les capacités de l équipement réseau. En décembre 2000, le groupe 3GPP2 a publié une norme pour les processus Enhanced Subscriber Authentication (ESA) et Enhanced Subscriber Privacy (ESP). Cette norme offre une sécurité accrue, telle l authentification mutuelle (dans le cadre de l'esa) et le chiffrement de la voix (dans le cadre de l'esp). Elle est indépendante de l interface hertzienne et n est pas liée à la norme 1xEV-DO; elle peut être appliquée à un réseau CDMA2000 1x ou 1xEV-DO. L exploitant détermine s il désire appliquer ou non les protocoles ESA et ESP Vulnérabilités de la norme 1xEV-DO La première version de la norme 1xEV-DO (Revision 0) corrige certaines des vulnérabilités de la norme CDMA2000 1x. Les algorithmes cryptographiques qu elle utilise sont bien connus et ont été analysés en détail pour en connaître les faiblesses. Toutefois, le chiffrement n'est appliqué qu'à l interface hertzienne et non de bout en bout. Si un exploitant utilise la norme avec de vieux 18 Mai 2009 Contrôle et manutention

35 algorithmes, la mise en oeuvre sera sujette aux mêmes vulnérabilités que celles de la norme CDMA2000 1x. Sans les processus ESA et ESP, il est impossible d effectuer d authentification mutuelle et le trafic voix est brouillé plutôt que chiffré. Il n existe aucune information concernant la vulnérabilité de la version Revision A de la norme 1xEV-DO. Le GC n a approuvé aucun des algorithmes de chiffrement 1xEV-DO, à l exception de l algorithme SHA-1, qui a été approuvé pour l intégrité des données, et de l algorithme AES qui chiffre les données. En outre, dans plusieurs cas, le GC exige le changement fréquent des clés de chiffrement. Dans le cas de la norme 1xEV-DO, les clés sont configurées par défaut pour être changées seulement au moment où la station mobile se connecte au réseau, ce qui se produit normalement lors de la mise sous tension. Ainsi, si une station mobile demeure constamment sous tension, ses clés de chiffrement peuvent ne jamais être changées. 3.6 Accès multiple par répartition temporelle (AMRT) À noter que depuis le 31 mai 2007, Rogers a fermé ce réseau et que celui-ci n est donc plus disponible au Canada. Cette section est incluse uniquement à titre de référence Aperçu La norme AMRT IS-136 (également connue sous le nom de «D-AMPS») est une interface hertzienne de deuxième génération pour la transmission numérique sans fil, qui peut être mise en oeuvre dans la bande de fréquence cellulaire numérique (800 MHz) ou SCP (1,9 GHz). Le principal fournisseur canadien de services sans fil qui a utilisé cette norme est Rogers Sans-Fil. La plupart des téléphones mobiles vendus par ce fournisseur étaient utilisables en double mode, c est-à-dire analogique et numérique. La norme IS-136 peut prendre en charge les services de données sans fil suivants : service de messages courts (SMS), messagerie bidirectionnelle, service de modem sans fil, et service du protocole d application sans fil (WAP pour Wireless Application Protocol) Sécurité de la norme AMRT La norme IS-136 prend en charge les mêmes algorithmes que la norme IS-95. L'AMRT offre les mêmes algorithmes que l'amrc (voir la section ). 3.7 Système mondial de communication avec les mobiles (GSM) Aperçu Le système mondial de communication avec les mobiles (GSM pour Global System for Mobile Communications) est une interface hertzienne de deuxième génération pour la transmission numérique sans fil, qui est mise en oeuvre à l'échelle mondiale dans les plages de fréquences de 850 MHz, 900 MHz, 1,8 GHz ou 1,9 GHz (SCP), appelées respectivement GSM 850 / 900 / Contrôle et manutention Mai

36 1800 / En Amérique du Nord, le GSM s'applique uniquement aux plages de fréquences de 850 MHz et 1,9 GHz, bien que certains exploitants américains mettent actuellement à l essai les communications voix dans la plage de fréquences de 2,1 GHz (qui est principalement utilisée pour les données voir la section 3.10). Le principal fournisseur canadien de services sans fil qui utilise le système GSM est Rogers Sans-Fil. Le GSM peut prendre en charge le service voix et les services de données sans fil suivants : service de messages courts (SMS), service de modem sans fil, et service du protocole d application sans fil (WAP pour Wireless Application Protocol) Sécurité du GSM Le GSM fait appel à des fonctions de sécurité facultatives pour accroître la confidentialité et réduire au minimum l accès frauduleux au réseau. Les fonctions de sécurité du GSM utilisent les composantes suivantes, qui sont programmées dans le module d identification de l abonné (SIM pour Subscriber Identity Module) d une station mobile (MS pour Mobile Station) GSM : identité internationale de l'abonné mobile (IMSI pour International Mobile Subscriber Identity), clé d authentification individuelle de l abonné (Ki), algorithme d authentification A3, algorithme de génération de clés de chiffrement A8, et algorithme de chiffrement A5. Les composantes IMSI et Ki sont propres à chaque station mobile, tandis que les algorithmes A3 et A8 peuvent être propres à un fournisseur de services sans fil. L algorithme de chiffrement A5 est commun à plusieurs fournisseurs de services GSM qui offrent le chiffrement. L algorithme A5 le plus robuste est appelé A5/1, tandis qu une variante plus faible pour l exportation réglementée vers divers pays est appelée A5/2. La version A5/1 offre notamment les caractéristiques suivantes : une clé de chiffrement de 64 bits (10 bits sont habituellement mis à zéro, ce qui donne une clé d une longueur effective de 40 bits), un chiffre en continu consistant en trois LFSR contrôlés par horloge, une clé de session de 64 bits servant à initialiser le contenu des LFSR, le numéro de trame AMRT de 22 bits, qui est inséré dans les LFSR, et deux flux de codons de 114 bits produits pour chaque trame AMRT, qui font l objet d une opération XOR avec les canaux de trafic ascendants et descendants. 20 Mai 2009 Contrôle et manutention

37 3.7.3 Vulnérabilités du GSM Le GSM comporte certaines vulnérabilités connues. Premièrement, il prend en charge uniquement l authentification de la station mobile et non celle du réseau. Ainsi, une station mobile peut être amenée à se connecter à un réseau indésirable. Ensuite, comme c est le cas pour la majorité des autres services de téléphonie cellulaire, le trafic mobile est uniquement chiffré dans la liaison sans fil entre la station mobile et le réseau fédérateur. Une fois dans l infrastructure du réseau, le trafic est acheminé en clair. Une autre vulnérabilité concerne l application de l algorithme COMP128 des algorithmes de chiffrement A3 et A8. L algorithme COMP128 s est avéré relativement faible et des attaques pratiques à son égard ont été découvertes et démontrées dès 1998 ([2]). Des versions plus récentes de cet algorithme ont été développées, mais les détails les concernant demeurent également confidentiels. Le GC n a approuvé aucun des algorithmes de chiffrement du GSM pour la protection de l information protégée ou classifiée. En outre, le GC exige habituellement que les clés de chiffrement soient changées toutes les semaines. Dans le cas du service GPRS, les clés sont configurées par défaut pour être changées seulement au moment où la station mobile se connecte au réseau, ce qui se produit normalement lors de la mise sous tension. De cette manière, si une station mobile demeure constamment sous tension, ses clés de chiffrement peuvent ne jamais être changées. Des fournisseurs commerciaux offrent et vendent des récepteurs capables d intercepter passivement les communications voix du GSM. 3.8 Service général de radiocommunication par paquets (GPRS) Aperçu Le service général de radiocommunication par paquets (GPRS pour General Packet Radio Service) a été élaboré sous les auspices de l Institut européen des normes de télécommunication (ETSI) et adopté dans le monde pour les réseaux cellulaires numériques GSM. Il utilise le principe de radiocommunication à commutation de paquets et peut être utilisé pour transporter l information sur le protocole de données (p. ex., IP et X.25) servant à la transmission des données de l utilisateur, entre des terminaux GPRS et/ou des réseaux à commutation de paquets externes. Le GPRS est une technologie 2.5G qui améliore le système GSM en y greffant une commutation de paquets de données à vitesse modérée. La commutation de paquets est plus efficace que la commutation de circuits et permet un plus grand nombre d abonnés par cellule. Elle prend également en charge le protocole Internet (IP pour Internet Protocol) et offre ainsi une connectivité Internet à partir de la station mobile. L exploitant du réseau peut fournir une connectivité directe à Internet, sans que l abonné n ait à passer par un fournisseur de services Internet. Contrôle et manutention Mai

38 Le GPRS concerne uniquement la transmission des données. Le trafic voix dans un réseau GPRS continue d être effectué à l'aide de protocoles GSM à commutation de circuits. Une station mobile GPRS peut atteindre un débit binaire théorique de 115 kbps mais, en pratique, la plage de débits se situe entre 36 et 60 kbps. Au Canada, Rogers Sans-Fil exploite un réseau GPRS/EDGE dans la bande de fréquence de mégahertz (MHz) dans les zones urbaines et de 850 MHz dans les zones rurales. La bande de 850 MHz sert également de bande auxiliaire dans les zones urbaines. Figure 4 Architecture du réseau GPRS La Figure 4 illustre un réseau GSM/GPRS/EDGE; le GPRS insère deux nouveaux nœuds réseau dans le réseau mobile terrestre public (RMTP) du GSM : le nœud de support GPRS de service (SGSN pour Serving GPRS Support Node), et le nœud de service GPRS de transit (GGSN pour Gateway GPRS Support Node). Le SGSN, qui occupe le même niveau hiérarchique que le centre de commutation du service des mobiles (BSC), fait le suivi de l'emplacement des stations mobiles individuelles et exécute les fonctions de sécurité et de contrôle d'accès. Il est connecté au contrôleur de station de base (BSC) à l'aide du protocole à relais de trames. Le GGSN assure l'interfonctionnement avec les réseaux externes à commutation de paquets et est connecté aux SGSN par l intermédiaire du réseau fédérateur GPRS, lequel est basé sur le protocole IP. L'information sur les abonnés du GPRS est transmise à l'enregistreur de localisation nominal (HLR), et les SMS-MSC sont mis à niveau afin de prendre en charge les transmissions du service de messages courts (SMS pour Short Message Service) par l intermédiaire du SGSN. En option, il est possible d'améliorer le MSC/HLR pour une coordination plus efficace des services et fonctionnalités GPRS et non GPRS. Par exemple, la radiomessagerie pour les communications par commutation de circuits peut être réalisée plus efficacement par l intermédiaire du SGSN, et par la mise à jour combinée des données de localisation GPRS et non GPRS. 22 Mai 2009 Contrôle et manutention

39 3.8.2 Sécurité du GPRS Le GPRS comprend deux composantes principales de sécurité, lesquelles reposent sur la sécurité du GSM. La première concerne l authentification de la station mobile au réseau et la deuxième, le chiffrement du trafic des paquets GPRS. L authentification de la station mobile fait appel à un système d'interrogation-réponse (voir la Figure 5). La station mobile (MS) et le réseau, plus particulièrement la composante appelée Enregistreur de localisation nominal et centre d authentification (HLR/AUC) (voir la Figure 4), partagent une clé secrète appelée Ki. Chaque station mobile possède une clé Ki unique. Lorsqu une MS se connecte au réseau, elle envoie une demande d authentification ou Auth Req (1) au SGSN (voir la Figure 4), qui l achemine (2) à la composante HLR/AUC. Cette dernière produit trois valeurs, soit un nombre aléatoire de 128 bits (Rand), une réponse signée (SRes) et une clé de chiffrement Kc, qu elle transmet au SGSN qui, à son tour, transmet le nombre aléatoire à la MS (4). La station mobile calcule la réponse signée en chiffrant le nombre aléatoire à l aide d un algorithme appelé A3, en utilisant la clé Ki comme clé de chiffrement. La MS envoie la SRes au réseau (5), qui la compare à celle que le réseau avait générée précédemment (6). Si la réponse de la station mobile correspond à la valeur prévue, la station est authentifiée. Ce processus permet de s assurer que la clé secrète Ki n est jamais transmise par la liaison radio entre la station mobile et le réseau. Figure 5 Sécurité du service GRPS (Source : Référence [1]) L exigence de sécurité minimale de la norme consiste à authentifier la station mobile chaque fois qu elle se connecte au réseau. L exploitant a l'option d'exiger une authentification à chaque appel. Contrôle et manutention Mai

40 Au moment de la génération de la SRes, la station mobile génère également une clé de chiffrement de données Kc de 64 bits (7) à l aide d un algorithme de génération de clés appelé A8. Le réseau génère sa propre copie de la clé afin que cette dernière ne soit pas transmise par la liaison radio. Cette clé est utilisée par un troisième algorithme de chiffrement appelé GPRS/EDGE-A5/1 pour chiffrer les données transitant par la liaison radio. Les paquets de données sont chiffrés lorsqu ils parviennent au GGSN (voir la Figure 4). En plus de ces deux fonctions de sécurité principales, un réseau GPRS/EDGE utilise également une valeur d identification d utilisateur temporaire (pour la durée de la session) plutôt que la véritable valeur d identification de l utilisateur. Cela empêche tout intrus d identifier (par écoute clandestine) le propriétaire de la station mobile. Au choix, le réseau peut exiger de l utilisateur qu il entre un nom d utilisateur et un mot de passe au moment de la connexion. Dans ce mode, le GGSN joue le rôle de client RADIUS et transmet l information d authentification d utilisateur à un serveur RADIUS. Rogers fournit également un coupe-feu entre son réseau et Internet pour contrer les attaques provenant d Internet. On peut également recourir à des fonctions de sécurité au niveau des applications, mais celles-ci ne font pas partie de la norme GPRS. Les algorithmes de chiffrement A3, A5/1 et A8 reposent sur les spécifications fonctionnelles stipulées dans la documentation des normes 3GPP/ETSI. Leur mise en oeuvre réelle peut varier selon l exploitant de réseau. Les normes prévoient des algorithmes de «référence» que les exploitants peuvent utiliser s ils ne souhaitent pas développer leurs propres algorithmes. À titre d exemple, l algorithme COMP128 est un algorithme de référence pour les algorithmes A3 et A8. Un autre algorithme que l on peut utiliser en remplacement des algorithmes A3 et A8 est l algorithme GSM MILENAGE, basé sur l algorithme MILENAGE ALGORITHM développé pour l'umts (voir la section ). Dans certains pays, pour le chiffrement des données, les exploitants GPRS utilisent un algorithme appelé GPRS Encryption Algorithm (GEA) plutôt que l algorithme A Vulnérabilités du GPRS Le GPRS comporte certaines vulnérabilités connues. Premièrement, il assure uniquement l authentification de la station mobile et non celle du réseau. Ainsi, une station mobile peut être amenée à se connecter à un réseau indésirable. Ensuite, comme c est le cas pour la majorité des autres services de téléphonie cellulaire, le trafic mobile est uniquement chiffré dans la liaison sans fil entre la station mobile et le réseau de base. Une fois dans l infrastructure du réseau, le trafic est acheminé en clair vers sa destination finale (sauf si l extrémité d origine de l appel est une autre station mobile, dans lequel cas l'interface sans fil de cette dernière sera également chiffrée). Une autre vulnérabilité concerne la mise en oeuvre de l algorithme COMP128 en remplacement des algorithmes de chiffrement A3 et A8. L algorithme COMP128 s est avéré relativement faible et des attaques pratiques à son égard ont été découvertes et démontrées dès 1998 ([2]). Des versions plus récentes de cet algorithme ont été développées, mais les détails les concernant sont également confidentiels. 24 Mai 2009 Contrôle et manutention

41 Le GC n a approuvé aucun des algorithmes de chiffrement du GPRS pour la protection de l information protégée ou classifiée. En outre, le GC exige habituellement que les clés de chiffrement soient changées toutes les semaines. Dans le cas du GPRS, les clés sont configurées par défaut pour être changées seulement au moment où la station mobile se connecte au réseau, ce qui se produit normalement lors de la mise sous tension. Ainsi, si une station mobile demeure constamment sous tension, ses clés de chiffrement peuvent ne jamais être changées. En 2003, une vulnérabilité du produit GGSN de Nokia qui a été signalée permettait à un pirate de d'exécuter un déni de service (DoS pour Denial of Service) ([3]). Cette vulnérabilité a été corrigée par une mise à niveau du composant défectueux. Puisque le service GPRS a été conçu pour offrir une connectivité Internet à partir d une station mobile, il prête le flanc aux mêmes vulnérabilités que tout autre dispositif connecté à Internet. 3.9 GSM à débit amélioré (EDGE) Aperçu Le GSM à débit amélioré (EDGE pour Enhanced Data rates for GSM Evolution) est une évolution du GPRS qui triple le débit des paquets pour un débit binaire réel de 108 à 180 kbps. Ce résultat est obtenu grâce à des changements apportés au schéma de modulation de l interface hertzienne. Pour en bénéficier, les utilisateurs doivent effectuer une mise à niveau et passer à une station mobile EDGE. Les stations mobiles GPRS fonctionneront dans un réseau EDGE, mais à des vitesses propres au service GPRS (soit de 36 à 60 kbps). Exception faite de la mise à niveau requise de la station de base à la norme EDGE, l architecture et les autres détails techniques d un réseau EDGE sont identiques à ceux d un réseau GPRS Sécurité de EDGE Les fonctions de sécurité de EDGE sont identiques à celles du GPRS (voir la section 3.8.2) Vulnérabilités de EDGE EDGE est sujet aux mêmes vulnérabilités que celles du GPRS (voir la section 3.8.3) Système universel de télécommunication avec les mobiles (UMTS) Aperçu Le système universel de télécommunication avec les mobiles (UMTS pour Universal Mobile Telecommunications System) est le successeur de troisième génération (3G) du GSM 2G, même s il utilise comme interface hertzienne une technologie différente (AMRC large bande ou W-CDMA en anglais) de celle du GSM (AMRT). Il réutilise la majeure partie de l infrastructure réseau du GSM, mais il est incompatible avec le GSM au niveau de l'interface hertzienne. Les Contrôle et manutention Mai

42 stations mobiles double mode peuvent alterner automatiquement entre le mode GSM et le mode UMTS lorsqu elles passent d un type de réseau à l autre. L'UMTS offre un débit théorique de kbps mais, en réalité, les utilisateurs peuvent s attendre à des débits d environ 384 kbps. L'UMTS utilise des canaux de transmission distincts en liaison descendante (vers la station mobile) et ascendante (à partir de la station mobile). Chaque canal a une largeur de bande de 5 MHz. La norme européenne requiert une liaison descendante qui utilise la bande de fréquence MHz et une liaison ascendante qui utilise la bande MHz. En Amérique du Nord, la bande MHz étant déjà attribuée à d autres fins, les réseaux UMTS doivent utiliser la bande MHz pour les deux types de liaison (cette bande est déjà utilisée par le GSM). La mise à niveau de l'umts à la génération 3.5G, connue sous le nom d'accès par paquets en liaison descendante haut débit (HSDPA pour High-Speed Downlink Packet Access), permettra de prendre en charge des vitesses de téléchargement maximales de 14,4 Mbps Sécurité de l'umts La sécurité de l'umts est semblable à celle du GSM/GPRS/EDGE; toutefois, ses algorithmes ont été renforcés et il prend en charge l'authentification mutuelle entre la station mobile et le réseau. Comme les GSM/GPRS/EDGE, il utilise une clé secrète pré-partagée pour exécuter un processus d authentification par interrogation-réponse, puis il génère une clé de chiffrement de données pour chiffrer le trafic de données pour la session en cours. Aux fins d authentification, la norme UMTS offre un jeu d algorithmes de «référence» appelé MILENAGE reposant sur l algorithme Rijndael, qui est sous-jacent à la norme Advanced Encryption Standard (AES). MILENAGE permet d effectuer cinq fonctions cryptographiques associées à l authentification et l agrément de clé. Comme dans le cas du GSM, l exploitant est libre d utiliser n importe quel algorithme qui répond aux spécifications fonctionnelles. L exploitant américain Cingular déclare utiliser l algorithme A3 pour l authentification. Selon certaines sources, les exploitants UMTS peuvent utiliser l algorithme A8 plutôt que le jeu d algorithmes MILENAGE pour générer des clés de chiffrement de données. Pour le chiffrement des données, l'umts prend en charge un algorithme de chiffrement appelé f8, qui fait appel à l'algorithme de chiffrement par bloc KASUMI. KASUMI est une modification de l algorithme de chiffrement MISTY1, qui a fait l objet d une évaluation publique. En Amérique du Nord, certains exploitants s en remettent à un algorithme appelé UMTS Encryption Algorithm 1 (UEA1). Cet algorithme est soit basé sur l algorithme UEA1, soit un autre nom donné à l algorithme KASUMI; les terminologies différentes utilisées en Europe et en Amérique du Nord créent une certaine confusion à cet égard Vulnérabilités de l'umts L'UMTS a été spécifiquement conçu pour corriger les vulnérabilités du GSM/GPRS/EDGE. À cette fin, il utilise l authentification mutuelle pour empêcher tout réseau indésirable de se faire passer pour un réseau légitime. Il a recours à des algorithmes évalués publiquement pour contrer les faiblesses des algorithmes GSM développés par des tiers. Certaines attaques théoriques 26 Mai 2009 Contrôle et manutention

43 contre les algorithmes de l UMTS ont été publiées, mais aucune ne s est encore matérialisée ([6]). Comme c est le cas pour le GSM/GPRS/EDGE, le chiffrement du trafic s applique uniquement à la liaison radio entre la station mobile et le réseau fédérateur. Lorsque le trafic parvient au réseau fédérateur, il est déchiffré et demeure en clair jusqu'à l autre extrémité de l appel (à moins que le destinataire ne soit également une station mobile). Le GC n a approuvé aucun des algorithmes de chiffrement de l UMTS pour la protection de l information protégée ou classifiée. En outre, le GC exige habituellement que les clés de chiffrement soient changées toutes les semaines. Dans le cas de l'umts, les clés sont configurées par défaut pour être changées seulement au moment où la station mobile se connecte au réseau, ce qui se produit normalement lors de la mise sous tension. Ainsi, si une station mobile demeure constamment sous tension, ses clés de chiffrement peuvent ne jamais être changées. Les stations mobiles UMTS demeurent vulnérables aux mêmes attaques de bout en bout et d Internet que celles qui menacent tout dispositif connecté à Internet. La correction de ces vulnérabilités ne fait pas partie de la portée de la norme UMTS Integrated Digital Enhanced Network (iden) Aperçu L interface hertzienne iden est une norme exclusive à Motorola qui fonctionne dans la bande 800 MHz de la radio mobile spécialisée améliorée (RMSA). Elle offre un service intégré de type cellulaire, dont les services de radiomessagerie, de données et de répartition, ainsi que des fonctions téléphoniques comme l identification de l appelant, la téléconférence, la mise en attente, la boîte vocale. Mais comme il s agit d une norme exclusive à Motorola, il y a peu d information disponible sur l iden, et seuls les téléphones sans fil de Motorola offrent cette fonctionnalité. L interface iden avait été conçue à l origine comme outil permettant aux entreprises de demeurer en contact avec les utilisateurs mobiles. Elle simule les fonctionnalités de la radio bidirectionnelle à l aide d une fonction dite «connexion directe». Dans ce mode, la station mobile semble fonctionner comme un émetteur-récepteur portatif classique (c.à-d. un walkietalkie), mais les radios sont véritablement interconnectées au moyen des réseaux sans fil. Le service permet également à un membre du groupe de s adresser directement et simultanément à tous les autres membres. Ce type de service est idéal pour la répartition sur grande distance. Les modes primaires de fonctionnement de la norme iden sont les suivants : Répartition (Dispatch) utilise le mode semi-duplex et un (1) créneau de temps sur six (6) par canal, et Interconnexion (Interconnect) utilise le mode duplex intégral et deux (2) créneaux de temps sur six (6) par canal (comme les communications cellulaires). Contrôle et manutention Mai

44 Le principal fournisseur canadien de services sans fil qui utilise iden est Telus. Le protocole iden peut prendre en charge les services de données sans fil suivants: service de messages courts (SMS), service de modem sans fil, et service du protocole d application sans fil (WAP pour Wireless Application Protocol) Sécurité de l'iden Le protocole iden n offre aucun service de confidentialité pour le volet messagerie de cette technologie et ne met en oeuvre aucun algorithme de confidentialité. Il fait toutefois appel à un algorithme d authentification pour réduire la fraude Mobitex et DataTAC Aperçu Mobitex est l interface hertzienne à structure cellulaire qui prend en charge le réseau numérique et bidirectionnel de commutation par paquets sans fil Mobitex. L'interface Mobitex est gérée par la Mobitex Operators Association, et toute l infrastructure réseau est fabriquée par Ericsson. Le principal fournisseur canadien de services sans fil qui met en oeuvre Mobitex est Rogers. Elle est principalement employée pour prendre en charge les services de l assistant numérique BlackBerry de RIM, mais elle prend également en charge d autres services de radiomessagerie. Mobitex prend en charge les services de données suivants : messagerie électronique bidirectionnelle, et service de modem sans fil. DataTAC est l interface hertzienne à structure cellulaire qui prend en charge le réseau numérique et bidirectionnel de commutation par paquets sans fil DataTAC. DataTAC est souvent désigné par son nom commercial original ARDIS (Advanced Radio Data Information Services), qui était la propriété de Motorola et d IBM. L interface DataTAC est gérée par le groupe WWDNOG (World-wide Wireless Data Network Operators Group). Le principal fournisseur canadien de services sans fil qui utilise DataTAC est Bell Mobilité. Elle est principalement utilisée pour prendre en charge les services de l'assistant numérique BlackBerry de RIM. Bell Mobilité emploie aussi un réseau DataTAC 4000, qui offre une capacité double de protocole d interface hertzienne, à savoir : le protocole Mobile data Communication (MDC) 4800, et le protocole Radio Data-Link Access Procedure (RD-LAP). DataTAC peut prendre en charge les services de données sans fil suivants : messagerie bidirectionnelle, et service de modem sans fil. 28 Mai 2009 Contrôle et manutention

45 Sécurité de Mobitex et de DataTAC Les normes Mobitex et DataTAC n offrent aucun service intrinsèque de sécurité. Les ministères qui veulent utiliser ces protocoles devront installer une couche application de sécurité additionnelle et indépendante du protocole Wireless Application Protocol (WAP) Aperçu Le WAP assure une connectivité Internet bidirectionnelle par l intermédiaire d un téléphone sans fil doté d un navigateur WAP. Le protocole WAP 1.0 offre des fonctionnalités similaires à ce que l on retrouve sur un navigateur Web d ordinateur de bureau, mais en raison de la largeur de bande limitée, l interaction avec le navigateur WAP se fait habituellement en mode texte. Le protocole WAP 2.0, lancé en 2002, est une version remaniée du WAP qui utilise une version allégée du langage hypertexte extensible (XHTML pour Extensible HyperText Markup Language) utilisant le protocole HTTP (HyperText Transfer Protocol) de bout en bout. Le service WAP est dépendant de l interface hertzienne prise en charge, du fournisseur de services sans fil, des capacités du téléphone, de l abonnement et des sites compatibles WAP. L accès complet au Web et la navigation sur celui-ci ne sont actuellement pas possibles avec le WAP. La connectivité WAP avec Internet est assurée par une passerelle sans fil, qui joue le rôle de serveur mandataire. À l heure actuelle, un pourcentage important des téléphones SCP et cellulaires numériques peut prendre en charge la connectivité WAP. Les interfaces hertziennes canadiennes qui acceptent actuellement le protocole WAP sont les suivantes : IS-95, IS-136, GSM et iden Sécurité de la couche transport sans fil (WTLS) La sécurité de la couche transport sans fil (WTLS pour Wireless Transport Layer Security) incorpore les caractéristiques de sécurité de la couche transport, basée sur Internet (Secure Sockets Layer). Elle assure la sécurité entre la passerelle sans fil et la station mobile, sous forme de contrôles d intégrité des données et d authentification. Les fonctions WTLS se greffent par-dessus le protocole WAP et sont illustrées à la figure 6. Contrôle et manutention Mai

46 Figure 6 Modèle de référence du protocole WAP Le protocole d établissement de liaison WTLS établit les paramètres cryptographiques pour la session sécurisée. Quand un client et un serveur WTLS commencent à communiquer, ils s entendent sur une version du protocole, sélectionnent les algorithmes cryptographiques, s authentifient mutuellement (facultatif) et emploient des techniques de chiffrement à clé publique pour générer un secret partagé. Le protocole d établissement de liaison WTLS comprend les étapes suivantes : 1. Échange de messages «hello» pour convenir des algorithmes et échanger des valeurs aléatoires; 2. Échange des paramètres cryptographiques nécessaires pour permettre au client et au serveur de s entendre sur un secret pré-maître; 3. Échange de certificats et d information cryptographique pour permettre au serveur et au client de s authentifier; 4. Génération d un secret maître à partir du secret pré-maître et des valeurs aléatoires échangées; 5. Transfert des paramètres de sécurité à la couche enregistrement; 6. Permission accordée au client et au serveur de vérifier que leurs pairs ont calculé les mêmes paramètres de sécurité et que l établissement de la liaison n a pas fait l objet d une tentative d altération par un attaquant. 30 Mai 2009 Contrôle et manutention

47 Le Tableau 3 indique les algorithmes de chiffrement en bloc disponibles dans la fonction WTLS. Tableau 3 Algorithmes de chiffrement en bloc WTLS Chiffrement Exportable Longueur effective de la clé (bits) NULL OUI 0 RC5_CBC_40 OUI 40 RC5_CBC_56 OUI 56 RC5_CBC NON 128 DES_CBC_40 OUI 40 DES_CBC NON 56 3DES_CBC_EDE NON 168 IDEA_CBC_40 OUI 40 IDEA_CBC_56 OUI 56 IDEA_CBC NON 128 RC5_CBC_64 OUI 64 IDEA_CBC_64 OUI Vulnérabilités de WTLS Un algorithme de chiffrement nul peut être négocié en vue d être utilisé dans une session. Le secret maître est calculé à partir d un secret pré-maître de longueur zéro. On doit faire preuve de prudence quand on applique ce type de fonction, car suggérer ou accepter un échange de clé nulle ou d un chiffre nul n offre aucune sécurité. Dans des conditions normales, quand une connexion sécurisée doit être négociée, le mécanisme d établissement de liaison devrait suggérer (client) ou accepter (serveur) seulement l échange de clés non nulles et le contrôle d accès au support (MAC pour Media Access Control). En outre, si une fonction de confidentialité est requise, on doit utiliser un mode de chiffrement non nul. Une liaison peut être établie de manière complètement anonyme même si le client ou le serveur n est pas authentifié. Toutefois, cela offre une protection uniquement contre l écoute clandestine passive. Les attaquants qui font de l écoute active ou des tentatives actives d attaque par interception (man-in-the-middle) peuvent remplacer les messages légitimes par leurs propres messages pendant l établissement de la liaison, pour créer des sessions. Il existe toutefois des méthodes connues qui peuvent permettre de contrer efficacement ces types d attaques actives. Par exemple, on peut utiliser un mécanisme d authentification de serveur ou un canal inviolable indépendant pour s assurer qu un attaquant n a pas remplacé les messages légitimes. Une fois le processus d établissement de session terminé, authentifié ou vérifié, la session devrait être sécurisée et protégée contre les attaques (actives comme passives) par interception, et contre l écoute clandestine. Contrôle et manutention Mai

48 Dans certaines circonstances, les schémas d agrément de clés Diffie-Hellman ou Diffie-Hellman à courbe elliptique peuvent faire l objet d une classe d attaques dites «attaques par sous-groupe de petite valeur». Plus particulièrement, dans toutes les transactions WTLS, il existe une menace qu une attaque par sous-groupe de petite valeur puisse exposer la clé privée de l entité. On peut contrer cette menace en vérifiant que les clés publiques reçues ne se trouvent pas dans le sous-groupe de petite valeur d un groupe. On peut également l atténuer en sélectionnant un groupe qui possède peu de sous-groupes, voire aucun (comme c est le cas avec les courbes elliptiques spécifiées dans la norme WTLS 1.1). Les attaques de déni de service sont possibles, car WTLS fonctionne à un niveau supérieur aux datagrammes. La mise en oeuvre de WTLS devrait tenir compte du fait que sur certains réseaux, il est assez facile de forger les adresses de transport. Pour rendre plus difficiles les attaques par déni de service, il devrait être impossible pour un attaquant de rompre une session/connexion en cours par l envoi d un simple message en clair à partir d une fausse adresse. En outre, le serveur devrait faire preuve de prudence quand il accepte de nouvelles demandes de connexion en clair à l intérieur d une connexion sécurisée existante. À noter toutefois que le serveur ne peut pas tout simplement ignorer ces demandes, car un client qui vient de perdre sa connexion peut très bien envoyer un message ClientHello en clair. Tout comme avec le système GSM, le protocole WAP présente ce que l on appelle le «fossé WAP». Quand un dispositif communique avec un serveur WAP, la passerelle du serveur doit déchiffrer le message et le rechiffrer à l aide d une autre clé, de sorte que l information puisse être transmise sur Internet via la couche SSL (Secure Sockets Layer). Pendant cette étape de déchiffrement et de rechiffrement, l information est vulnérable et peut être divulguée et exploitée. En outre, les clés secrètes sont enregistrées sur des cartes SIM, sous le contrôle d une tierce partie non fiabilisée Sécurité de l infrastructure des réseaux cellulaires et SCP Afin d assurer un service cellulaire aux consommateurs, les composantes des systèmes qui constituent le réseau SCP et/ou cellulaire (p. ex., les stations de base, les contrôleurs de station de base, les MSC, les passerelles sans fil et les coupe-feu) sont répartis dans tout le pays. L interface hertzienne (canal RF) n est, dans toute cette structure, qu un seul segment à partir duquel un adversaire peut intercepter les communications de type données ou voix. Pour examiner la posture de sécurité de l ensemble du réseau, prenons l exemple de ce qu il faut faire pour sécuriser et maintenir un réseau informatique de base, tel un réseau ministériel du GC. Afin de satisfaire aux exigences de sécurité de ce réseau, le GC doit tenir compte des points suivants et instaurer les mesures de protection connexes : Confidentialité, Intégrité, Disponibilité, Responsabilisation, Sécurité physique. 32 Mai 2009 Contrôle et manutention

49 Puisque les réseaux cellulaires au Canada sont exploités par le secteur privé et ne tombent pas sous le contrôle du GC, on peut présumer que les services de sécurité n ont pas tous été élaborés de manière à répondre aux exigences du GC en matière de sécurité. C est pour cette raison que les mesures de protection contre les menaces délibérées (gouvernements étrangers, pirates, voleurs, crime organisé, vandales, industrie, terroristes, employés malveillants anciens ou actuels) sont complètement inconnues. Prenons la situation qui s est produite en 2000, lorsqu un technicien a échappé une clé anglaise dans un site d un fournisseur de service cellulaire à Toronto et causé une panne de service de 11 heures dans tout le pays. Un tel manque de disponibilité pourrait être désastreux pour les ministères du GC et les autres entités commerciales. Les exploitants de réseau cellulaire doivent tenir compte de l incidence de ces types d interruption sur les activités opérationnelles et mettre en place les mesures de protection nécessaires pour les éviter. Contrôle et manutention Mai

50

51 4 Vulnérabilités des SCP et des systèmes cellulaires 4.1 Capacité de menace Types de menaces et d attaques Tel qu'il est mentionné dans le document [5], on devrait tenir compte des divers types bien connus de menaces et d attaques si on envisage d utiliser ces technologies. Le Tableau 4 résume les types d attaque, leur probabilité d occurrence et le degré de sophistication requis. Tableau 4 Probabilité de succès d une attaque contre un système sans fil cellulaire Type d attaque Agent de menace haute capacité Agent de menace basse capacité Détection Élevée Élevée Identification Élevée Élevée Interception Élevée Faible Usurpation d identité Élevée Faible Brouillage de données spécifiques Élevée Faible Brouillage du réseau Élevée Élevée Équipement d interception (IS-95 et IS-136) Les fabricants qui appliquent les normes IS-95 et IS-136 se fient sur la complexité du système comme mesure de sécurité, tout comme on l avait fait lors de l introduction du service AMPS dans les années Les systèmes de télécommunications modernes sont aujourd hui bien plus rapides et sophistiqués, mais il en va de même pour l équipement utilisé pour intercepter ces communications. De nombreuses entreprises commerciales ont mis au point des récepteurs et de l équipement capables d intercepter facilement les communications cellulaires. La complexité apparente d un système ne suffit donc pas pour assurer la sécurité nécessaire à la protection de l information désignée (protégée) ou classifiée du GC; une cryptographie approuvée et un système de gestion des clés sont d autres éléments essentiels à la protection de cette information Brouillage et mystification Une station mobile fonctionnant dans le réseau d un fournisseur qui offre des fonctions de chiffrement réseau pourrait faire l objet d une tentative de brouillage, afin de l empêcher d accéder à une station de base légitime. Des agents de menace pourraient ensuite convaincre la station mobile d'accéder à une BS illégale, la mystifier pour qu elle fonctionne sans chiffrement et ainsi capter toutes les communications subséquentes. Par ailleurs, les attaques par brouillage et mystification peuvent également entraîner un déni de service. Vulnérabilités des SCP Mai 2009 et des systèmes cellulaires 35

52 4.2 Problèmes liés à la sécurité des SCP et des systèmes cellulaires Cryptographie Gestion des clés Les systèmes cellulaires utilisés à l'heure actuelle n offrent pas de système de gestion des clés comme l ICP GC, ce qui pourrait inspirer confiance dans la sécurité et la gestion de leurs clés Algorithmes La plupart des algorithmes utilisés par les normes de téléphonie cellulaire ne figurent pas sur la liste des algorithmes approuvés par le GC, et on ne peut donc pas s y fier pour protéger l information désignée ou classifiée du GC. Les attaques contre les algorithmes utilisés dans la norme GSM (A5/1 et A5/2) ont fait l objet de débats publics 7. On étudie présentement de nouveaux algorithmes proposés pour sécuriser les systèmes cellulaires, et les résultats seront inclus dans les futures versions du présent rapport, quand ils seront disponibles Contrôle et utilisation C est le fournisseur de services qui détermine si le chiffrement est activé ou non. Aux heures de pointe, il peut très bien le désactiver sur la station de base, à l'insu des utilisateurs, afin d accroître la largeur de bande utilisable. Les clés secrètes, quand elles sont utilisées, sont enregistrées sur les cartes SIM sous le contrôle d une tierce partie non fiabilisée Soutien de l infrastructure de base La section 2 et le document [5] illustrent la complexité des systèmes déployés par les différents fournisseurs de services cellulaires. Les dispositifs et systèmes utilisés pour offrir ces services n ont pas été évalués en fonction de critères de sécurité. Il est possible que ces dispositifs et systèmes ne soient pas gérés sur une base régulière, ou qu ils le soient par des personnes qui ne possèdent pas de cote de sécurité appropriée et qui utilisent des moyens non sécurisés (p. ex., accès commuté ou à travers Internet). De plus, il se peut que la protection physique des installations où se trouvent ces systèmes soit minime; les risques que représentent les menaces internes sont donc élevés puisque le GC n effectue aucune vérification de sécurité auprès de ces fournisseurs de services cellulaires Sécurité de bout en bout Les réseaux cellulaires sans fil n offrent pas de sécurité de bout en bout (ou de dispositif mobile à dispositif mobile). Lorsqu une fonction de cryptographie est présente, l information est déchiffrée durant l appel puis potentiellement rechiffrée pour une autre station mobile, de sorte qu'elle se retrouve en clair (non chiffrée) à un certain point du processus de communication. 7 Pour la cryptanalyse de l algorithme A5/1, voir le site 36 Mai 2009 Vulnérabilités des SCP et des systèmes cellulaires

53 Quiconque au sein de l entreprise du fournisseur de services qui a accès à l'infrastructure de cette dernière est en mesure d'accéder à cette information. La station de base pourrait également être «piratée» et toute information transmise en provenance ou en direction de la station pourrait être acheminée vers le système de collecte d information de l'adversaire. Les systèmes cellulaires n offrent pas de mécanisme d identification ou d authentification de bout en bout Sécurité des émissions (EMSEC) Pour de plus amples renseignements sur les problèmes liés à l'emsec concernant les dispositifs sans fil, prière de communiquer avec le CSTC Sécurité acoustique Les dispositifs sans fil utilisés pour les communications voix (comme les téléphones cellulaires) peuvent transmettre les conversations et les sons ambiants. Ces appareils ne doivent pas être utilisés près des endroits où l on discute de renseignements de nature délicate puisque les microphones sont très sensibles et peuvent capter des conversations à plusieurs mètres de distance. Vulnérabilités des SCP Mai 2009 et des systèmes cellulaires 37

54 Page intentionnellement laissée en blanc. 38 Mai 2009 Vulnérabilités des SCP et des systèmes cellulaires

55 5 Solutions de SCP et de systèmes cellulaires sécurisés 5.1 Généralités Le développement de téléphones cellulaires et de dispositifs sécurisés, capables d acheminer l information désignée et classifiée du GC, permet de corriger plusieurs des vulnérabilités de sécurité mentionnées précédemment. Les sections qui suivent décrivent brièvement certains de ces appareils. 5.2 BlackBerry de RIM Le dispositif sans fil portatif BlackBerry, mis au point par Research In Motion Limited (RIM ), est un assistant numérique (PDA pour Personal Digital Assistant) de petite taille mais puissant, qui offre diverses applications dont un calendrier, un carnet d adresses, une liste des tâches. De plus, il peut transmettre et recevoir des courriels sans fil. Le système BlackBerry peut être configuré pour fonctionner selon 4 modes différents : BlackBerry version Internet BlackBerry à BlackBerry, BlackBerry Redirector et Serveur d'entreprise BlackBerry (BES). Le CSTC a évalué les vulnérabilités du système BlackBerry et juge que les fonctionnalités de chiffrement offertes par la version Enterprise est adéquate pour protéger les courriels aux niveaux de classification de sécurité allant jusqu'à PROTÉGÉ B inclusivement. Le CSTC a collaboré avec RIM afin de mettre au point une solution parrainée par le gouvernement, dite S/MIME-Enabled BlackBerry, qui transmet de manière sécurisée les courriels sensibles en faisant appel à une la cryptographie de bout en bout à l'aide du protocole S/MIME. Cette solution utilise l ICP GC déjà en place. Le module S/MIME est maintenant disponible pour tous les dispositifs BlackBerry utilisés par le GC, pour autant que les mises à niveau appropriées aient été apportées au BES et que les utilisateurs individuels possèdent des certificats ICP GC. Cette application est approuvée pour la protection des courriels aux niveaux de classification de sécurité allant jusqu'à PROTÉGÉ B inclusivement. Voir le document [6]. À noter que, en plus de la capacité de courriel, les dispositifs BlackBerry TM offrent également une capacité voix et fonctionnent comme des téléphones cellulaires non sécurisés. Ils sont donc exposés aux mêmes vulnérabilités que celles présentées dans le présent rapport. L'utilisation des dispositifs BlackBerry TM actuels n'est pas approuvée pour les communications sensibles ou classifiées. Les dispositifs plus récents comprennent une capacité GPS et une caméra, fonctions qui peuvent également avoir une incidence sur la sécurité. 5.3 Module de sécurité GSM Sectéra (SGSM) Le SGSM Sectéra offre des fonctions de sécurité de bout en bout avec un niveau élevé d assurance, pour les utilisateurs des systèmes commerciaux de téléphonie cellulaire GSM dans le monde entier, afin de protéger l information désignée et classifiée, jusqu au niveau TRÈS SECRET inclusivement. Un module enfichable gère les fonctions de sécurité pour le modèle Solutions de SCP Mai 2009 et de systèmes cellulaires sécurisés 39

56 approprié de téléphones cellulaires GSM commerciaux de la série Timeport de Motorola. Le téléphone Timeport fonctionne dans les bandes de 900, et MHz sur les réseaux commerciaux. Le module de sécurité (SM pour Security Module) se greffe au dos du téléphone GSM et l interface avec l hôte est assurée par le module enfichable. Le SM réutilise le noyau de sécurité de type I qui a été mis au point pour les produits sécurisés Iridium, Omega et iden de Motorola. Il offre des communications voix sécurisées de bout en bout, sur des téléphones filaires ou sans fil qui mettent en oeuvre le protocole d'interopérabilité des communications sécurisées (SCIP pour Secure Communications Interoperability Protocol). Le module de sécurité comprend un port de données ROUGE permettant une mise à la clé manuelle au moyen de dispositifs de remplissage de type I. Des mises à jour logicielles sécurisées du module permettront d en bonifier les fonctionnalités. Les ajouts futurs pourront comprendre les fonctions suivantes : remise à clé électronique avec reprise sur compromission, données sécurisées, numérotation sécurisée pour prendre en charge des interfaces aux commutateurs ROUGES et jeux de clés multiples pour prendre en charge l interopérabilité parrainée par le gouvernement des États-Unis (p. ex., pays alliés et coalition de l OTAN). Le fournisseur prévoit offre également une version commerciale du module de sécurité incorporant l algorithme AES (Advanced Encryption Standard). Figure 7 Téléphone GSM et module de sécurité 40 Mai 2009 Solutions de SCP et de systèmes cellulaires sécurisés

57 5.4 Dispositif SME PED (Secure Mobile Environment Personal Electronic Device) Le dispositif SME PED est un portatif qui intègre une capacité voix sécurisée ainsi que des fonctions de courriel et d assistant numérique personnel. Ses caractéristiques incluent la transmission sécurisée jusqu au niveau TRÈS SECRET pour la voix et jusqu au niveau SECRET pour les données. Le dispositif, relativement petit et intégré, permet aux utilisateurs de tirer profit de ces fonctions pendant leurs déplacements. Évidemment, en modes voix et données sécurisés, l utilisateur devra communiquer avec un dispositif conforme à la norme. Le SME PED peut également communiquer en mode courriel Internet à l'aide du protocole S/MIME, et peut donc transmettre et recevoir des courriels sécurisés avec toute application de courriel conforme à la norme S/MIME. Voici quelques photos du dispositif SME PED : Figure 8 Sectéra Edge de General Dynamics Figure 9 Guardian de L-3 Communications Solutions de SCP Mai 2009 et de systèmes cellulaires sécurisés 41