2. Introduction
• GSM est une norme internationale nommée « Global System for Mobile
communications » en 1991.
• Il s'agit d'un standard de téléphonie dit « de seconde génération » (2G)
car, contrairement à la première génération de téléphones portables,
les communications fonctionnent selon un mode entièrement
numérique.
• Le réseau GSM autorise un débit maximal de 13,4 kbps, ce qui permet
de transmettre la voix ainsi que des données numériques de faible
volume, par exemple des messages textes (SMS,pour Short Message
Service).
3. Introduction
Concept de cellules
Les réseaux de téléphonie mobile sont basés sur
la notion de cellules, c'est-à-dire des zones
circulaires se chevauchant afin de couvrir une
zone géographique.
Notion de PLMN Un réseau mobile terrestre
public (en anglais Public Land Mobile
Network ou PLMN), également appelé réseau public
terrestre, est un réseau de télécommunications qui
permet aux utilisateurs autorisés d'accéder à différents
services (téléphonie, messagerie, transmissions de
données, diffusions de contenus audiovisuels…) en
situation de mobilité à partir de terminaux mobiles ou
portatifs. Selon le pays et l'opérateur, il peut reposer sur
différentes architectures normalisées
4. Introduction
Notion de PLMN
Un réseau mobile terrestre public (en anglais Public
Land Mobile Network ou PLMN), également
appelé réseau public terrestre, est un réseau de
télécommunications qui permet aux utilisateurs autorisés
d'accéder à différents services (téléphonie, messagerie,
transmissions de données, diffusions de contenus
audiovisuels…) en situation de mobilité à partir de
terminaux mobiles ou portatifs. Selon le pays et
l'opérateur, il peut reposer sur différentes architectures
normalisées
MS BSS NSS
Réseau d’accés Réseau cœur
6. Identification du mobile
Mobile Subscriber Integrated Services Digital Network (MSISDN)
Country Code (CC ou code pays) : indicatif du pays dans lequel l’abonné a souscrit son
abonnement (216 pour la Tunisie) ;
National Destination Code (NDC): C'est l'indicatif déterminant principalement (attention à
la portabilité) l'opérateur du réseau.
SN ou Subscriber Number. C'est le numéro de l'abonné attribué par l'opérateur du réseau
GSM.
7. Identification du mobile
IMSI (International Mobile Subscriber Identity)
IMSI est un numéro unique, qui permet à un réseau de téléphonie mobile de type GSM, UMTS ou LTE
d'identifier un usager. Ce numéro est stocké dans la carte SIM (ou USIM en UMTS et LTE) et n'est pas
connu de l'utilisateur.
Mobile Country Code (MCC) : indicatif du pays domicile de l’abonné mobile
Mobile Network Code (MNC) : C'est l'identifiant de l'opérateur du réseau.
Mobile Subscriber Identification Number (MSIN): numéro de l’abonné mobile à l’intérieur
du réseau GSM.
8. Identification du mobile
TMSI (Temporary Mobile Station Identity)
A l’intérieur d’une zone gérée par un VLR, un abonné dispose d’une identité temporaire, le
TMSI, attribuée au mobile de façon locale, c’est-à-dire uniquement pour la zone gérée par
le VLR courant du mobile.
La structure du TMSI est laissée libre à l’opérateur. Il est codé sur 4 octets.
MSRN (Mobile Station Roaming Number)
Le MSRN a pour fonction de permettre le routage des appels entrants directement du
commutateur passerelle (GMSC) vers le commutateur courant (MSC) de la station mobile.
Le MSRN a même structure que le MSISDN:
- champ CC : code pays du VLR courant du mobile,
- champ NDC : code du PLMN du VLR courant du mobile,
- numéro d’abonné.
9. Identification du mobile
IMEI (International Mobile Equipement Identity)
L’objectif est de prévenir l’utilisation de mobiles volés. Les éléments mis en œuvre sont :
IMEI et l’EIR (Equipement Identity Register)
L’IMEI est un numéro de série unique pour chaque mobile, c'est en quelque sorte l'ADN de
votre mobile. Composé de 15 à 17 chiffres, il permet d’identifier un mobile volé et de le
bloquer donc autant vous dire qu'il faut le conserver précieusement. Pour l'obtenir, il vous
suffit de composer " *#06# " sur le clavier de votre mobile ; mais il peut également être inscrit
sous la batterie et sur l'étiquette du coffret d’emballage à côté du code-barre. Précision
importante, il n'existe aucun autre moyen de l'obtenir donc notez-le et gardez-le en lieu sûr
(pas sur votre téléphone).
10. Identification du mobile
l’EIR (Equipement Identity Register)
EIR est une base de données centralisée pour valider les numéros IMEI (Identité
d'Equipement de la Station Mobile Internationale). Cette base de données ne concerne que les
équipements MS provenant de l’opérateur et non l’ensemble des équipements dans le réseau.
On distingue 3 listes de numéros au niveau de la base de données EIR des opérateurs :
List blanche : elle contient les numéros IMEI qui ont été affectés à des stations mobiles
autorisées. La connexion est autorisée.
Liste grise : contient la liste des numéros IMEI en observation pour d’éventuels problèmes.
Liste noire : elle contient les numéros IMEI des mobiles qui ont été signalés comme volés ou
non compatible GSM. La connexion est refusée.
11. Vulnérabilité des communications radio Besoin de
- Confidentialité de l’IMSI
- (International Mobile Subscriber Identity (IMSI) est un numéro unique, qui permet à un réseau de téléphonie mobile
de type GSM, UMTS ou LTE d'identifier un usager)
- Authentification
- Confidentialité des données de trafic et de signalisation
- Intégrité !
Les réseaux GSM assurent:
- La gestion des vols des équipements usagés
- Utilisation d'une identité temporaire TMSI attribuée par le VLR
- Authentification de chaque abonné auprès du réseau
- Chiffrement des communications entre le MS et la BTS
Sécurité GSM
12. Authentification et confidentialité de l’utilisateur
L’objectif est de vérifier que l’abonné est celui qu’il prétend être. Ici c’est la carte
SIM et l’AuC qui interviennent. La carte SIM contient l’IMSI (International Mobile
SubscriberIdentity) et la clé secrète ou Ki.
L’AuC est le centre d’authentification.
Le centre AuC gère toutes les mesures de sécurité concernant l'abonné.
Par exemple, pour avoir accès au système, le mobile doit fournir la réponse signée
correcte (SRES) en réponse à un numéro aléatoire (RAND) généré par le centre AUC
Sécurité GSM
13. Authentification et confidentialité de l’utilisateur
Dans un premier temps, le mobile transmet son IMSI au réseau.
Le réseau ayant reçu l’IMSI va chercher la clé Ki ou clé secrète (sur 64 bits dont 54 utiles et le reste à 0) de
correspondant à l’IMSI du mobile.
L’AuC génère un nombre aléatoire (le jeton) appelé dans notre cas le RAND.
Le réseau plus précisément le centre d'authentification, ou AuC transmet au mobile le jeton, ou RAND, sur 128
bits au mobile qui l’utilise pour générer une réponse.
Le SRES (Signal RESponse), sur 32 bits est obtenu en chiffrant le jeton avec la clé secrète grâce à l’algorithme A3.
Le SRES est transmis au réseau. De son côté, le réseau calcule également le SRES et le compare avec celui du
mobile.
Si les deux résultats concordent, le mobile est authentifié.
Sécurité GSM
15. Sécurité GSM
Procédure de chiffrement
Le cryptage des communications sur l'interface radio permet de protéger la transmission
d'écoutes inopportunes.
On a 3 possibilités pour les opérateurs suivant les pays :
Aucun chiffrement
A5/1 chiffrement fort : pays membres de l’ETSI
A5/2 chiffrement faible pays non membres
L’algorithme A8 permet la génération de la clé de session tandis que l’algorithme A5 le
chiffrement de la trame.
En pratique, à partir de la clé Ki, du nombre aléatoire RAND et d’un autre algorithme A8, le
mobile calcule une clé Kc qui est utilisée pour le cryptage des transmissions. Longue de 64
bits, la clé Kc est utilisée conjointement avec le numéro de la trame en cours.
16. Sécurité GSM
Procédure de chiffrement
L'algorithme de cryptage consiste à transformer le train de bits à émettre en un autre train
de même longueur, en additionnant chaque bit à un bit d'une séquence générée par
l'algorithme A5 à partir de la clé Kc et du numéro de la trame en cours.
Le récepteur effectue alors l'opération inverse.
Le passage d'une transmission cryptée à une transmission en clair est géré par la couche de
gestion des ressources radio, ou RR (Radio Resource).
RAND, SRES et Kc constituent un ensemble appelé TRIPLET.
Remarque: la clé Ki n'est connue que de la carte SIM et du réseau. Elle ne transite jamais sur
la voie radio et reste inconnue de l'utilisateur
19. Faille du système GSM
En dépit des mesures de sécurités mises en place on observe quelques failles de sécurité.
Des failles intégrées à la conception (Agences de renseignements)
Clé secrète trop petite (54 bits)
Algorithmes de chiffrement fragiles (15 ms pour casser l ’A5/2 avec un Pentium II)
Apparition de cellules virtuelles qui permettent l’écoute en temps réel.
Vulnérable au « Clonage ».
Le GSM a été conçu dès le départ en coopération avec plusieurs agences de renseignement pour pouvoir
être écouté.
La cellule virtuelle : S’intègre entre le mobile et la station de base (BTS) permet d’écouter les
communications en temps réel.
Le GSM est vulnérable au clonage : Un pirate peut réaliser une copie de la carte SIM d’un utilisateur et
l’utiliser pour passer ses appels
20. Le General Packet Radio Service GPRS (2.5G)
Le GPRS n'était qu'une extension de l'ancienne technologie GSM et n'avait pas besoin d'une
refonte complète du système.
Pour cette raison, GPRS a été introduit sans faille sur le marché et ceux qui ont eu des
téléphones compatibles GPRS peuvent bénéficier de vitesses plus rapides.
Une fonctionnalité qui utilisait la technologie GPRS était le système de messagerie multimédia
ou MMS.
Il permettait aux abonnés de se transmettre des vidéos, des images ou des clips audio comme
des messages texte.
GPRS a également donné aux téléphones mobiles la possibilité de surfer sur Internet à des
vitesses d'accès commuté via des sites compatibles WAP.
21. Sécurité dans les réseaux GPRS (2.5G)
Attribution d’un identifiant temporaire P-TMSI par le SGSN
Procédure d’authentification très similaire à celle du GSM (GPRS- Rand, GPRS-RES, GPRS-SRES)
Génération similaire des clés de sessions GPRS-Kc
Le chiffrement ne se fait plus au canal physique mais au niveau de la couche LLC (trame logique): avant
segmentation des trames
Le chiffrement se fait entre l’utilisateur et le SGSN
Des algorithmes GEA (GPRS Encryption Algorithm) sont utilisés pour le chiffrement des paquets (très
similaires aux algos A5)