Des chercheurs ont identifié trois nouvelles techniques d’attaques, deux passives et une active, permettant à l’aide d’une antenne relais d’intercepter le trafic d’un terminal sur le réseau LTE et même de « modifier » les données qu’il reçoit de sorte à rediriger la cible vers un site malveillant.
On est certes loin d’un WPA2 aussi troué qu’un emmental, mais les protocoles des réseaux 4G ne sont pas exempts de failles. La preuve en est cette vulnérabilité découverte par des chercheurs en Allemagne et aux Emirats Arabes Unis. Et cette fois-ci, c’est sur la deuxième couche que les universitaires ont trouvé trois techniques d’attaques.
Deuxième couche, kézako ? Il s’agit de la partie des spécifications du LTE sur laquelle repose la transmission de données entre l’utilisateur et le réseau. « La couche deux organise la manière dont plusieurs utilisateurs peuvent accéder aux ressources du réseau, aide à corriger les erreurs de transmission et protège les données grâce au cryptage » expliquent les chercheurs. On parle aussi de Data Link Layer.
Ready Layer Two
« Des travaux antérieurs sur la sécurité du protocole LTE ont identifié des vecteurs d'attaque cruciaux pour les couches physiques (Layer One) et réseau (Layer Three). Cependant, la Data Link Layer demeure un angle mort dans la recherche en sécurité du protocole » écrit l’équipe dans sa synthèse. Y a été découvert trois exploitations possibles d’un même vecteur.
Notons qu’il est question de tests en laboratoire, en environnement contrôlé, et que ces attaques requièrent tout de même l’emploi d’une antenne relais à proximité du ou des utilisateurs ciblés… ce qui n’est pas forcément donné à tout le monde. Les chercheurs eux-mêmes soulignent qu’il est complexe d’évaluer la faisabilité de ces attaques en situation réelle. Toujours est-il que cette vulnérabilité peut être, même théoriquement, exploitée et l’équipe appelle en conséquence sa correction dans les standards 5G.
Deux passives, une active
Les deux premières attaques sont passives, elles consistent à intercepter des données de manière assez similaires aux IMSI catchers. La première permet de localiser et d’identifier un terminal en recoupant l’identité réseau temporaire de l’utilisateur (TMSi) et son identité radio temporaire (RNTI) en récupérant ces métadonnées sur la sous-couche MAC. La seconde fonctionne de manière assez similaire mais récupère pour sa part la navigation Internet de sa cible. A chaque fois, il faut que le terminal de l’utilisateur soit connecté au « faux » relais 4G.
La dernière attaque identifiée est cette fois-ci active. Baptisée aLTEr, elle correspond à son nom : elle permet à l’attaquant de modifier les données reçues par le terminal. Les paquets envoyés sont certes chiffrés en utilisant AES en mode compteur (AES-CTR) mais la technique consiste à intercepter les métadonnées et à distinguer les paquets DNS des autres, avant de leur appliquer un « masque » changeant l’adresse IP de destination d’origine pour l’adresse IP d’un site malveillant. Plus simplement, cette attaque permet de rediriger un utilisateur vers un site vérolé.