Accueil🇫🇷Chercher

IMSI-catcher

Un IMSI-catcher, parfois traduit en intercepteur d'IMSI, est un appareil de surveillance utilisé pour intercepter le trafic des communications mobiles, récupérer des informations à distance ou pister les mouvements des utilisateurs des terminaux. Le terme IMSI-catcher est en réalité non exhaustif, l'appareil permettant de faire bien plus que simplement récupérer le numéro IMSI. Pour arriver à ses fins, un IMSI-catcher simule une fausse antenne-relais en s'intercalant entre le réseau de l'opérateur de téléphonie et le matériel surveillé.

IMSI-catcher
Fonctions
Type
Appareil de communication (en) et matériel policier (d)

Fonctionnement, et enjeux Ă©thiques

Principe illustré de l'IMSI-catcher.

Un IMSI-catcher (International Mobile Subscriber Identity) est un matériel de surveillance cachée, utilisé pour intercepter des données de trafic de téléphonie mobile et pour suivre les données de localisation des terminaux et donc de leurs utilisateurs. Il simule une fausse antenne-relais en agissant entre le téléphone mobile espionné et les antennes-relais de l'opérateur téléphonique ; exploitant des « faiblesses » dans les protocoles de communication 2G, 3G et 4G.

Les IMSI-catchers sont utilisés dans certains pays par la police ou les services de renseignement, parfois illégalement car enfreignant la liberté civile et la protection de la vie privée.

Diverses associations de défense des droits fondamentaux, et en particulier de la vie privée et des droits de l'Homme et des parlementaires le contestent, car il s'agit en fait d'une attaque de l'intercepteur, et car l'IMSI-catcher est notamment « exploité par des officines privées œuvrant dans la plus parfaite illégalité » et il permet d'écouter indistinctement toutes les personnes se trouvant dans son rayon d'action et pas uniquement la (ou les) personne(s) soupçonnée(s), ce qui le rend « plus attentatoire aux libertés que la classique interception des télécommunications »[1]. En France, au sein de l'Assemblée nationale, un rapport de mission parlementaire a en 2013 souligné son usage probable (et illégal) par des services de renseignements (or rappellent les auteurs du rapport, une écoute illégale perd sa valeur de preuve devant la justice). Ce rapport propose une légalisation de l'outil mais en précisant que « sa mise en place ne saurait donc revêtir qu'un caractère très exceptionnel et n'intervenir qu'en dernier ressort, lorsque tous les autres moyens spéciaux d'investigation auraient échoué (principe de proportionnalité). Elle devrait par ailleurs être soumise au contrôle continu d'une autorité extérieure, afin de prévenir tout abus et d'exclure immédiatement les conversations non pertinentes de l'enregistrement. Des garde-fous supplémentaires seront nécessaires afin d'éviter la censure constitutionnelle »[1].

Il existe peu de contre-mesures pour se prémunir d'être espionné par un IMSI-catcher, mais son utilisation peut être détectée à l'aide de certains outils.

Faiblesses des protocoles

Authentification

La station mobile doit prouver son identité, mais à aucun moment le contrôleur de station de base[note 1] ne doit prouver la sienne. Dans le protocole GSM, la station mobile envoie une requête de mise à jour de position[note 2] lorsqu'elle doit se connecter à un nouveau réseau (IMSI attach). Le contrôleur de station de base peut alors lui demander son IMSI et la station mobile se doit de lui répondre[2].

Une attaque peut se dérouler ainsi :

  • un IMSI-catcher est prĂ©sent dans les environs de la station mobile concernĂ©e,
  • la station mobile essaye de se connecter grâce Ă  une requĂŞte de mise Ă  jour de position Ă  l’IMSI-catcher, la prenant pour une antenne-relais « normale »,
  • la requĂŞte de mise Ă  jour de position utilisant le TMSI (en)[note 3], l’IMSI-catcher ne peut pas connaĂ®tre l'identitĂ© du requĂ©rant,
  • elle peut cependant lui demander son IMSI grâce Ă  une requĂŞte d’identitĂ©[note 4],
  • la station mobile qui reçoit cette requĂŞte renvoie une rĂ©ponse d’identitĂ©[note 5] contenant son IMSI.

De cette façon, l'IMSI est récupérée par l’IMSI-catcher.

Chiffrement

Quatre algorithmes de chiffrement A5/1, A5/2, A5/3 (aussi appelé KASUMI) et A5/4 sont définis. Il en existe aussi un dernier, l’A5/0, qui est l’absence de chiffrement (aussi appelé « le mode français »). L’implémentation de ces algorithmes n’a pas été révélée, mais la rétro-ingénierie a permis de détecter des faiblesses dans certains des algorithmes.

Adi Shamir a prouvĂ© en 2000 qu’il Ă©tait possible de dĂ©chiffrer l’A5/1, mais cela demandait d’avoir des donnĂ©es dès le dĂ©but de la conversation et d’avoir effectuĂ© un prĂ©calcul de certaines donnĂ©es entre 42 et 248 Ă©tapes[3]. Lors de la Chaos Communication Congress, Chris Paget et Karsten Nohl ont dĂ©montrĂ© une attaque portant sur l’A5/1 permettant de le dĂ©chiffrer. L’attaque se base sur la gĂ©nĂ©ration d’un livre-code des entrĂ©es et sorties de l’algorithme. MalgrĂ© la taille consĂ©quente (128 PĂ©taoctets) du livre-code brut[4], il serait possible selon les auteurs de pouvoir rĂ©duire sa taille en cumulant une rainbow table et une table prĂ©calculĂ©e pour un rĂ©sultat de seulement TĂ©raoctets[5]. Cette mĂ©thode permettrait d’avoir un dĂ©chiffrement des connexions presque instantanĂ©, avec un rĂ©seau distribuĂ© dĂ©diĂ© pour casser les clĂ©s.

L’A5/2 est un algorithme moins sĂ©curisĂ© que l’A5/1. La GSM Association a dĂ©clarĂ© qu’elle ne l’implĂ©mentait plus depuis 2006[6]. Il existe un logiciel A5/2 Hack Tool permettant de dĂ©chiffrer les communications utilisant l’A5/2. Le logiciel a Ă©tĂ© utilisĂ© afin de dĂ©montrer que pour dĂ©chiffrer les communications, il est nĂ©cessaire d’utiliser et d’avoir prĂ©alablement calculĂ© une matrice de donnĂ©es d’environ 4,08 Go. Cette Ă©tape a pris 2 heures 23 minutes et 44 secondes lors de la dĂ©monstration et il a Ă©tĂ© possible de dĂ©chiffrer complètement une connexion chiffrĂ©e en A5/2 en 9 secondes[7].

Une attaque appelĂ©e « attaque sandwich » a permis de dĂ©chiffrer une clĂ© 128 bits de l’A5/3 en moins de 2 heures. Pour cela, il est nĂ©cessaire d’avoir Gio de mĂ©moire, 64 Mio de donnĂ©es et un temps de 232 secondes. En plus de cela, il est nĂ©cessaire d’avoir des messages choisis chiffrĂ©s et d’avoir 4 clĂ©s par clĂ© apparentĂ©e[8].

L’A5/4, spécifié en 2015 et n’étant pas encore globalement déployé, n’a pas encore bénéficié de recherches sérieuses permettant de casser son algorithme[9].

Il est possible d'Ă©couter une conversation chiffrĂ©e sans avoir besoin de casser l'algorithme. Pour cela on doit prĂ©alablement avoir une conversion en clair et chiffrĂ©e avec la station mobile. Cela peut se faire en appelant la station mobile (ce qui donne la conversation en clair) et en Ă©coutant le rĂ©seau pour avoir la version chiffrĂ©e[10]. Cela permet d'avoir les 2 premiers blocs du gĂ©nĂ©rateur pseudo-alĂ©atoire pour la fenĂŞtre FN utilisĂ©e.

Si la station mobile est connectĂ©e Ă  l’IMSI-catcher, celui-ci peut forcer l'utilisation de la fenĂŞtre ayant le numĂ©ro FN dans lequel les 2 premiers blocs du gĂ©nĂ©rateur pseudo-alĂ©atoire sont connus. Cela permettra de dĂ©chiffrer les futures conversations tant qu'on pourra forcer le numĂ©ro de fenĂŞtre[11].

Transmission de la position

La station mobile doit transmettre sa position quand l’opérateur lui demande afin que ce dernier mette à jour sa VLR[note 6] - [12].

Le contrôleur de la station de base peut indiquer la fréquence à laquelle la station mobile doit lui envoyer un message de mise à jour de position[12]. Si une station mobile se connecte à ce contrôleur de station de base, elle devra lui envoyer avant chaque fin de période sa position. Une fréquence très basse permet de connaître la position de la station mobile toutes les 6 minutes[13].

Une autre possibilité est d’émettre une commande paging request, soit avec l'IMSI, soit avec le TMSI (en). Une station mobile devant répondre à une paging request avec une paging response, il est possible de détourner ce mécanisme pour connaître à n’importe quel instant la position d’une station mobile.

Choix du chiffrement

La faille réside dans le fait que la station de transmission peut demander à utiliser un algorithme de chiffrement plus faible voire aucun[14]. La station mobile envoie d’abord la liste des algorithmes supportés. L’antenne renvoie le message au MSC[note 7] qui répond au contrôleur de station de base en envoyant la liste des algorithmes autorisés grâce à une commande cipher mode. L’antenne choisit alors par rapport aux deux listes reçues et renvoie à la station mobile l’algorithme à utiliser, toujours grâce à une commande cipher mode. Cela implique une utilisation potentielle d’un IMSI-catcher, le fait de toujours utiliser l’algorithme le plus faible supporté par la station mobile[15].

4G

Il est possible de faire un déni de service, de l'interception ou de l'impersonnalisation si l’IMSI-catcher reçoit une requête TAU[note 8] et renvoie un rejet TAU avec la cause du rejet. Il y a deux résultats possibles en fonction des deux motifs possibles du rejet :

  • « Service LTE non autorisĂ© »[note 9] signifie que le rĂ©seau n’autorise pas de connexion 4G, ainsi la station mobile passe en mode 2G/3G ou "identitĂ© de l'Ă©quipement utilisateur ne peut ĂŞtre dĂ©livrĂ©e par le rĂ©seau" dans ce cas on peut implĂ©menter une redirection, dans le code source faisant fonctionner l'eNode B, qui fait basculer l'Ă©quipement utilisateur en 2G[16] (par exemple) : ce qui permet l'interception par la suite Ă  l'aide des mĂ©thodes spĂ©cifiques Ă  la 2G.
  • Pendant la bascule de la 4G vers la 2G l'Ă©quipement utilisateur renvoie les identifiants nĂ©cessaires Ă  la connexion Ă  un rĂ©seau commercial ce qui permet de se connecter avec un Ă©quipement utilisateur malicieux au rĂ©seau commercial dĂ©crite ici [17] (ou encore « Attaque Ghost TĂ©lĂ©phonist »).
  • « Services LTE et non LTE non autorisĂ©s »[note 10] signifie que le rĂ©seau n’autorise ni la 4G, ni la 2G/3G, ainsi la station mobile passe en mode « urgence »[note 11]. Ceci l’empĂŞche de se connecter Ă  un nouveau rĂ©seau tant que l’utilisateur ne redĂ©marre pas la station ou qu’il enlève et remette la carte SIM.

Les requêtes TAU ne demandent pas d’authentification[18].

Il est aussi possible de récupérer les informations de positionnement grâce aux measurement reports qui permettent de connaître l’identifiant des antennes aux alentours. La récupération de ces rapports se fait sans protection d'accès à ces informations. Cela a été créé pour analyser les problèmes potentiels liés aux réseaux[19].

SS7

Sur les réseaux 2G et 3G, Il existe un moyen de connaître la position d’une station mobile grâce à son IMSI en la demandant directement au MSC/VLR grâce à une requête d’information sur un utilisateur par le protocole SS7[note 12]. Pour cela, il faut d’abord connaître l'IMSI. Il existe un moyen de se procurer l’IMSI d’une station mobile grâce à son numéro de téléphone. Il suffit d’envoyer une demande d’information de routage[note 13] à la HLR. Si en plus le titre global[note 14] de la MSC/VLR n’était pas connu, il est récupéré en demandant l’IMSI. Une fois l’IMSI récupéré en envoyant une requête d’information sur un utilisateur à la VLR, elle nous renvoie la position de la station mobile[20].

Il est possible de demander la position d’une station mobile grâce à un numéro de téléphone sans avoir besoin de demander préalablement à une HLR grâce à une requête sur le service de position[note 15] qui permet aux services d’urgences de connaître la position d’une station mobile. Pour cela il faut s’authentifier à la GMLC (en)[note 16], qui transmet la requête au serveur MSC et qui, par le RRLP[note 17]. Le serveur MSC vérifie l’adresse du service qui fait la demande, mais ne lui demande pas de s’authentifier, ce qui permet de lui demander directement en se faisant passer pour une GMLC[21].

Il est possible de créer un déni de service en connaissant l'IMSI et la VLR. En envoyant des requêtes telles qu’un cancel Location, il est possible d’autoriser ou d’empêcher les appels entrants ou sortants, les SMS, les connexions de données ou juste de supprimer la station mobile de la table[22].

Il est possible de rediriger les appels téléphoniques si la station mobile se trouve sur un réseau étranger. Il est alors probable que le réseau de l’opérateur envoie une requête d’insertion de données sur un utilisateur[note 18] à la VLR du réseau visité contenant l'adresse de la gsmSCF[note 19] et la liste d’événements à reporter. Il est alors possible pour un adversaire d’envoyer directement ce message à la VLR, pour qu’il indique sa propre gsmSCF, ce qui induit que lorsque la station mobile veut appeler un numéro, il est possible que le réseau visité envoie une demande à la gsmSCF de l’adversaire pour lui demander à quel numéro transférer (cas possible si le numéro appelé n’est pas un numéro international, mais un numéro interne au réseau de l’opérateur). La gsmSCF peut alors renvoyer à un autre numéro (un autre IMSI-catcher) pour pouvoir écouter[23]. Une autre forme de cette attaque serait de faire une updateLocation request à la HLR de l’opérateur pour donner son adresse en tant que VLR[24].

Il existe une attaque qui permet de « désanonymiser » les utilisateurs autour d’un IMSI-catcher. Lors d’une paging request, le TMSI (en) est envoyé non chiffré. Si un IMSI-catcher est à proximité, il peut le récupérer[25]. Avec cette donnée, il peut faire deux choses :

  • demander l'IMSI au MSC avec une sendIndentification request,
  • demander la clĂ© de session Ă  la MSC pour pouvoir dĂ©chiffrer toutes les donnĂ©es chiffrĂ©es qui seront utilisĂ©es pour cette connexion.

Implémentations

Gouvernementales

La première implémentation d'un IMSI-catcher a été faite par la société allemande Rohde & Schwarz (en) en 1993. Un brevet a été déposé le [26], mais celui-ci sera rendu invalide le , car l'invention est qualifiée non innovante[27].

L'implémentation la plus connue est le StingRay (en) de la société américaine Harris Corporation à cause de ses nombreuses utilisations par le gouvernement américain[28] - [29].

D'autres entreprises fournissent également des IMSI-catchers à destination des gouvernements, comme la société Digital Receiver Technology, Inc. avec sa Dirtbox (en), Bull Amesys, Septier Communication (en) ainsi que PKI Electronic[30].

Il y a Ă©galement des implĂ©mentations portables afin de pouvoir placer l’IMSI-catcher plus proche des cibles sans qu'elles s'en rendent compte, par exemple Gamma Group (en) propose un modèle prenant la forme d'un vĂŞtement[31].

Indépendantes

Les matériels et logiciels requis pour la mise en œuvre d'un IMSI-catcher sont devenus accessibles au grand public par des projets libres et l'utilisation de matériel générique[32].

Pour la partie logicielle, des projets libres comme OpenBTS, YateBTS, srsLTE, OpenLTE ou encore Osmocom mettent à disposition des implémentations des protocoles GSM et LTE.

Pour la partie matérielle, l'utilisation d'ordinateurs génériques ou de Raspberry pi, ainsi que des cartes de Radio logicielle génériques comme la bladeRF, HackRF, Ettus UB210-KIT ou spécialisées dans les télécommunications comme la umTRX[33].

Par exemple, le chercheur en sĂ©curitĂ© informatique Chris Paget a prĂ©sentĂ©, Ă  la DEF CON de 2010, la mise en place d'un IMSI-catcher Ă  base de matĂ©riel gĂ©nĂ©rique pour la somme de 1 500 $, dĂ©montrant que cette solution Ă©tait peu coĂ»teuse et accessible au grand public[34].

Les chercheurs en sécurité informatique Mike Tassey et Richard Perkins ont présenté à la Conférence Black Hat de 2011 l'implémentation d'un IMSI-catcher dans un drone spécialisé dans la surveillance des télécommunications[35].

Cas et exemples d'utilisation

Véhicule de surveillance à Chicago, disposant d'un mat avec des caméras et une antenne pour agir en tant que StingRay.

France

Le , le député Michel Boutant a confirmé l'utilisation d'un IMSI-catcher à Dammartin lors de la traque des frères Kouachi, responsables de l'Attentat contre Charlie Hebdo[36].

D'après Adrienne Charmet, porte-parole de La Quadrature du Net, des IMSI-catchers auraient été déployés face à l'Assemblée nationale lors de la manifestation contre le projet de loi relative au renseignement du [37] - [38].

D'après un article de Marie Barbier (Reporterre) et Jade Lindgaard (Mediapart), des IMSI-catcher ont été utilisés afin de préciser les relations entre les militants antinucléaires de Bure en février et [39].

Alors que le nombre d'IMSI-catchers était fixé à 60 dont 35 pour les services de renseignements, 20 pour la défense et 5 pour la douane, la commission nationale de contrôle des techniques de renseignement estime que ce nombre est insuffisant et passe à 100 en 2021[40].

Chine

La police chinoise a dĂ©mantelĂ© un rĂ©seau comprenant 2 600 IMSI-catchers envoyant des messages indĂ©sirables, leurrant les utilisateurs avec des messages d'hameçonnage, et interceptant les messages dĂ©diĂ©s aux codes d'authentification par SMS[41].

D'après l'expert en sécurité John McAfee, le gouvernement chinois utiliserait les IMSI-catchers pour espionner les communications des clients de quatre compagnies aériennes en installant une application malveillante chargée de récupérer des données du téléphone et de les envoyer à des serveurs en Chine[42].

États-Unis

En 2012, la police de Los Angeles a utilisĂ© le StingRay (en) 21 fois sur une pĂ©riode de quatre mois sur des enquĂŞtes n'Ă©tant pas en rapport avec le terrorisme, ce qui sort de l'usage prĂ©vu initialement des IMSI-catchers[43].

D'après des journalistes de The Intercept, la NSA utiliserait des IMSI-catchers pour géolocaliser des cibles grâce à leur téléphone mobile afin de fournir des coordonnées à d'autres organismes comme la CIA ou l'armée américaine, leur permettant d'organiser des enlèvements de personnes ou des assassinats avec des drones[44].

D'après l'Union américaine pour les libertés civiles, de nombreuses agences fédérales américaines ont accès aux IMSI-catchers[45].

Contre-mesures

S'il est difficile de se protéger totalement d'un IMSI-catcher, il existe des solutions pour détecter la présence éventuelle d'un tel dispositif. On parle alors d’IMSI-catcher-catcher ou d’IMSI-catcher-detector.

Fonctionnement des contre-mesures

Certaines implémentations, comme SnoopSnitch[46], surveillent diverses variables telles que le CID (en)[note 20] et le LAC (en)[note 21] pour déterminer si le réseau semble être relayé par un IMSI-catcher. En effet, si une tour de télécommunication identifiée par un CID possède un LAC incohérent ou changeant[47], elle peut être qualifiée de suspecte. De plus, il est possible de vérifier les couples CID/LAC des tours de télécommunication connues[47] pour confirmer les suspicions détectées par l'observation d'un LAC incohérent. D'autres suspicions peuvent être détectées si l'identifiant de cellule radio (CID) utilisé par la tour n'a jamais été rencontré dans cette zone géographique auparavant[48].

Il existe d'autres techniques, surveillant entre autres :

  • la frĂ©quence utilisĂ©e, certains IMSI-catchers peuvent changer la frĂ©quence utilisĂ©e par le rĂ©seau de tĂ©lĂ©communications afin de rĂ©duire le bruit sur ce rĂ©seau[49] ;
  • les aptitudes de la tour, et les paramètres du rĂ©seau[48] ;
  • la durĂ©e de vie de la connexion Ă  la tour. Des connexions discontinues et courtes, de bonne qualitĂ© peuvent rĂ©vĂ©ler la prĂ©sence d'un IMSI-catcher en mode identification des tĂ©lĂ©phones prĂ©sents sur son rĂ©seau[50].

Par exemple, le CryptoPhone utilise trois indices[51] pour déterminer que le réseau est suspect :

  • quand le tĂ©lĂ©phone passe d'un rĂ©seau 3G Ă  un rĂ©seau 2G ;
  • quand la connexion tĂ©lĂ©phonique n'est plus chiffrĂ©e ;
  • quand la tour ne communique pas la liste des tours voisines.

Applicatives

Plusieurs applications mobiles de détection d’IMSI-catcher existent, avec des degrés de fiabilité variables[52], dont quelques exemples :

  • SnoopSnitch[46]
  • Cell Spy Catcher[46]
  • Android IMSI-Catcher Detector[53] (AIMSICD)

Ces applications nécessitent que le téléphone soit débloqué, dit rooté ou jailbreak, et utilisent les techniques décrites ci-dessus.

Matérielles

Il existe deux types de solutions matérielles servant de contre-mesures aux IMSI-catchers : d'une part les solutions mobiles, d'autre part les solutions stationnaires.

Pour les solutions mobiles, il s'agit majoritairement de smartphones utilisant le chiffrement des communications, un accès Internet par un VPN[51].

Voici une liste non exhaustive d'exemples :

  • Le Blackphone (en),utilisant une version modifiĂ©e d'Android, nommĂ©e SilentOS.
  • Le GSMK Cryptophone 500
  • Le Privacy Phone de FreedomPop (en), basĂ© sur le Samsung Galaxy S II
  • Le T1 Communicator de TAG Consultation basĂ© sur la technologie d'encryption de Secure-Group

Parmi les solutions mobiles alternatives, la gamme de téléphones non smartphones de X-Cellular possède des défenses contre les IMSI-catchers différentes de celles des smartphones, notamment un IMEI dynamique[51].

Pour les solutions fixes, les équipements sont variés, allant du Raspberry Pi associé à divers équipements[54], à des implémentations industrielles, telles que le ESD America Overwatch ou le Pwnie Express.

LĂ©gislation

Problématique et controverse

Dans la loi française, les interceptions des communications sont réalisées et menées seulement après autorisation judiciaire[55]. Cependant, les autorités de surveillance ont les moyens techniques pour utiliser des IMSI-catchers quand ils veulent et contourner ainsi cette limitation. Il est donc difficile de prouver que des écoutes ont été effectuées en dehors du cadre du contrôle judiciaire. Il faut donc noter que des données illégalement collectées en amont d'un procès peuvent constituer des preuves non recevables lors de ce même procès, et peuvent entraîner des poursuites judiciaires[56].

Néanmoins des États comme certains des États-Unis, l'Autriche… autorisent les interceptions de communications sans l'accord préalable de la Justice. Les gouvernements les justifient en réponse à la menace terroriste, à des besoins d'enquêtes ou plus généralement à des fins de sécurité intérieure.

L'utilisation des IMSI-catchers soulève alors des questions et des inquiétudes concernant le respect de la vie privée et du droit civil. Les défenseurs de la vie privée et des libertés individuelles soulèvent par exemple le fait que ce dispositif n'est pas conçu pour effectuer des écoutes ciblées[57].

Allemagne

Le est entré en vigueur l’article 100i du Code de procédure pénale[58], qui définit les limites d’utilisation des IMSI-catchers par les services judiciaires. La loi les autorise à des fins d’enquêtes ou de recherches pour confirmer des preuves matérielles. Elle les interdit en tant qu'outil de prévention. Dans une décision du [59], la cour fédérale a confirmé la compatibilité entre l’utilisation des IMSI-catchers et la loi constitutionnelle allemande. Selon les juges, cette utilisation ne porte pas atteinte aux droits fondamentaux, qui sont ici la confidentialité des données privées et la préservation des droits individuels.

Autriche

L'utilisation des IMSI-catchers sans autorisation judiciaire a Ă©tĂ© rendue possible par la loi du , §53[60]. De par la menace pour la vie privĂ©e que cela constitue, le parti Ă©cologique Die GrĂĽnen a proposĂ© une pĂ©tition pour un rĂ©examen de cet amendement. MalgrĂ© 24 625 signatures[61] rĂ©coltĂ©es, aucune suite n’a Ă©tĂ© donnĂ©e. Une demande parlementaire du dĂ©putĂ© Alexander Zach (parti Liberales Forum) au ministre de l’IntĂ©rieur de l’époque GĂĽnther Platter a permis de rĂ©vĂ©ler que plus de 3 800 Ă©coutes (32 par jour) avaient Ă©tĂ© effectuĂ©es entre janvier et [62].

États-Unis

Il existe aux États-Unis des lois au niveau des états. Ces lois ne mentionnent cependant pas les termes « IMSI-catchers », « Stingray » ou « cell-site simulator »[63], mais font état d'"informations de localisation en temps réel"[note 22]. Ces lois permettent également aux autorités d'obtenir les informations de localisation des clients directement en en faisant la demande auprès des opérateurs téléphoniques. Cette pratique est théoriquement plus contrôlée que ce qui se faisait avant les premières révélations d'Edward Snowden en 2013[64]. Bien souvent, un mandat judiciaire est nécessaire, comme l'ordonne la Cour Suprême des États-Unis.

Certains états ont une réglementation spécifique. En Californie par exemple, la loi CalECPA - SB 178 (California Electronic Communications Privacy Act) adoptée le obligé les autorités à posséder un mandat pour accéder aux informations électroniques à distance[65]. Cette loi a été soutenue par des associations de défense de la vie privée[65] et par certaines des plus grandes entreprises technologiques américaines[66].

Dans l'état de Washington, la loi est semblable à celle de Californie, mais restreinte aux IMSI-catchers[67]. Elle est effective depuis le . En outre, les autorités de surveillance doivent limiter les collectes inutiles et supprimer toute information qui aurait été collectée de manière fortuite ou inopportune[68].

Utilisation par les services de renseignement

Les premières traces d'utilisation des IMSI-catchers par les services de renseignement français remontent à 2010[69]. À l'époque, l'utilisation des IMSI-catchers n'était pas réglementée, bien que réelle comme le montrent plusieurs documents[70] - [71].

L'article 20 de la loi de Programmation militaire votée en par le Sénat[72] est la première étape vers la légalisation des écoutes à distance. Cette loi autorise la collecte de données à des fins de lutte contre le terrorisme, contre la fraude fiscale, la contrefaçon, le délit de bande organisée.

L'article 3 de la loi relative au renseignement du [73] élargit les possibilités des services de renseignements en autorisant l'usage des IMSI-catchers. Ils peuvent permettre d'identifier rapidement le téléphone et le numéro - souvent d'une carte SIM prépayée - utilisés par un suspect et le placer sur écoute[74].

Ces mesures sont prises notamment dans le cadre de l'État d'urgence, en place depuis les attentats du . Désormais la loi autorise dans le cadre d'une enquête ou d'une instruction d'avoir recours aux IMSI-catchers, comme décrit dans l'article 706-95-20 du Code de procédure pénale[75]. Le juge des libertés et de la détention peut, sur réquisition du Procureur de la République, autoriser les officiers de police judiciaire à utiliser un IMSI-catcher. L'interception par IMSI-catcher des correspondances émises par les appareils téléphoniques est limitée à quarante-huit heures renouvelables une fois[76].

Enfin, en cas d'urgence absolue, le Procureur de la République peut lui-même donner l'autorisation d'utilisation d'un IMSI-catcher. Cette autorisation doit être confirmée dans un délai maximal de vingt-quatre heures par le juge des libertés et de la détention, sans quoi les données éventuellement collectées ne pourront pas être utilisées (706-95-4-III[77]).

Utilisation générale

Concernant la fabrication, l'importation, la dĂ©tention… y compris par nĂ©gligence et sans autorisation ministĂ©rielle, d'un tel dispositif, sont prĂ©vues par la loi cinq annĂ©es d'emprisonnement et 300 000 â‚¬ d'amende[78].

Pour l'installation de ce dispositif, ou l'interception, l'utilisation, la divulgation ou le dĂ©tournement de correspondances Ă©mises, transmises ou reçues par un moyen de tĂ©lĂ©communication (comme l’IMSI-catcher), la loi punit d'un an d'emprisonnement et de 45 000 â‚¬ d'amende[79].

Royaume-Uni

Au Royaume-Uni, les IMSI-catchers semblent être utilisés depuis plusieurs années en dehors du cadre de la loi[80].

En 2014, l'ONG militant contre la violation de la vie privée Privacy International pointe du doigt la non-transparence des autorités sur le sujet, ainsi que l'utilisation à priori abusive et disproportionnée des IMSI-catchers[81].

En 2015, des rĂ©vĂ©lations du mĂ©dia coopĂ©ratif citoyen The Bristol Cable montrent que l'A&S Police (en) a signĂ© avec la sociĂ©tĂ© CellXion un contrat de ÂŁ169 574 (environ 200 000 â‚¬) portant sur l'achat d'Ă©quipements CCDC (covert communications data capture : collecte secrète des donnĂ©es de communication), autrement dit des IMSI-catchers[82] - [83] - [84].

Néanmoins, la nouvelle loi britannique sur le renseignement du , autorise l'interception de masse des communications. Les autorités de police peuvent désormais collecter les données de tous les terminaux présents dans une zone, que leurs propriétaires soient suspects ou non[85] - [86] - [87]. Edward Snowden a tweeté sur la décision du Parlement britannique d'adopter cette loi :

« The UK has just legalized the most extreme surveillance in the history of western democracy. It goes farther than many autocracies. »

— Edward Snowden, [88]

« Le Royaume-Uni vient de légaliser la surveillance la plus poussée de l’histoire des démocraties occidentales. Elle va plus loin que certaines autocraties. »

— [89]

Historique

  • 1993 : Première mise en Ĺ“uvre d'un IMSI-catcher par la sociĂ©tĂ© allemande Rohde & Schwarz
  • 2000 : Rohde & Schwarz dĂ©posent un brevet le . Il sera invalidĂ© le , par la Cour d’appel d’Angleterre et du Pays de Galles, pour cause d'Ă©vidence (non-innovation)
  • 2002 : Les premières lois prenant en compte les IMSI-catchers apparaissent. En Allemagne par exemple, le Code de procĂ©dure pĂ©nale dĂ©finit ses limites d'utilisation par les services judiciaires
  • 2003 : Commercialisation du premier prototype par Rohde et Schwarz
  • 2006 : Le DĂ©partement de Police de Los Angeles achète un StingRay pour des investigations de terrorisme. Mais selon l'Electronic Frontier Fondation en 2013, la police l'utilise depuis Ă  d'autres fins que son usage officiel[90]
  • 2008 : En Autriche, Ă©criture dans la loi de l'utilisation des IMSI-catchers sans autorisation judiciaire
  • 2010 : PrĂ©sentation par Chris Paget Ă  la DEF CON d'un IMSI-catcher artisanal lui ayant coĂ»tĂ© 1 500 $ Ă  produire
  • 2015 : Utilisation d'un IMSI-catcher lors de la traque des frères Kouachi, après l'attentat contre Charlie Hebdo
  • 2016 : En France, le , la loi renseignement rend lĂ©gale l'utilisation des IMSI-catchers par les services de renseignement

Voir aussi

Généralités

Implémentations

Sécurité

Contre-mesures

LĂ©gislation

Historique

Articles connexes

Liens externes

Notes et références

Notes

  1. En anglais : Base station controller.
  2. En anglais : LocationUpdate Request.
  3. TMSI : Temporary Mobile Subscriber Identity.
  4. En anglais : Identity request.
  5. En anglais : Identity Response.
  6. VLR: Visitor Location Register.
  7. Mobile Switching Center.
  8. TAU: Tracking Area Update.
  9. LTE service not allowed.
  10. LTE and non LTE service not allowed.
  11. En anglais : emergency mode.
  12. En anglais : provideSubscriberinfo request.
  13. sendRoutingInfoForSM.
  14. En anglais : global title.
  15. Location service.
  16. Gateway Mobile Location Centre.
  17. RRLP = Radio Resource Location services Protocol.
  18. insertSubscriberData request.
  19. gsmSCF = GSM Service Control Function.
  20. Cell ID.
  21. Location Area Code.
  22. En anglais « real-time location information ».

Références

  1. Rapport d'information parlementaire, déposé en application de l'article 145 du Règlement par la Commission des lois constitutionnelles, de la législation et de l'administration générale de la République, en conclusion des travaux d'une mission d'information sur l'évaluation du cadre juridique applicable aux services de renseignement, présenté par MM Jean-Jacques Urvoas et Patrice Verchère, députés | date=14 mai 2013 | voir p. 49-50.
  2. MĂĽller1999, p. 6.
  3. Shamir 2000.
  4. Nohl 2009, p. 12.
  5. Nohl 2009, p. 19.
  6. Osmocom 2006.
  7. Paglieri 2011, p. 6.
  8. Shamir 2010, p. 2.
  9. 3GPP 2015.
  10. Patel 2004, p. 4.
  11. Patel 2004, p. 5.
  12. ETSI 1996, p. 9.
  13. ETSI 2010, p. 26.
  14. MĂĽller 1999, p. 6.
  15. Vodafone, p. 1.
  16. (en) Diego Castro-Hernandez et Raman Paranjape, « Walk test simulator for LTE/LTE-A network planning », 2016 17th International Telecommunications Network Strategy and Planning Symposium (Networks), IEEE,‎ (ISBN 978-1-4673-8991-4, DOI 10.1109/netwks.2016.7751153, lire en ligne, consulté le ).
  17. (en) Chuan Yu, Shuhui Chen et Zhiping Cai, « LTE Phone Number Catcher: A Practical Attack against Mobile Privacy », Security and Communication Networks, vol. 2019,‎ , p. 1–10 (ISSN 1939-0114 et 1939-0122, DOI 10.1155/2019/7425235, lire en ligne, consulté le ).
  18. Shaik 2016, p. 10.
  19. Shaik 2016, p. 11.
  20. Engel 2014, p. 16.
  21. Engel 2014, p. 24.
  22. Engel 2014, p. 30.
  23. Engel 2014, p. 33.
  24. Engel 2014, p. 41.
  25. Engel 2014, p. 47.
  26. Brevet de Rohde & Schwarz 2000.
  27. DĂ©cision de la cour d'appel civile de la cour royale de justice du Royaume-Uni 2012.
  28. Schneier 2015.
  29. InfoSec Institute 2016.
  30. Imsicatcher.info 2015.
  31. Goodin 2013.
  32. Paganini 2015.
  33. van Rijsbergen 2016.
  34. Zetter 2010.
  35. Zetter 2011.
  36. Rapports législatifs du Sénat 2015.
  37. Pair 2015.
  38. Brouze 2015.
  39. Marie Barbier et Jade Lindgaard (Mediapart), « La justice a massivement surveillé les militants antinucléaires de Bure », sur Reporterre, (consulté le ).
  40. Emmanuel Paquette, « Surveillance des smartphones : l’État met le paquet sur les "valises espions" », sur LExpress.fr, .
  41. Russon 2014.
  42. Paganini 2015.
  43. Campbell 2013.
  44. Greenwald 2014.
  45. American Civil Liberties Union 2016.
  46. Brenninkmeijer 2016, p. 10.
  47. Ooi 2015, p. 21.
  48. Dabrowski 2014, p. 3.
  49. Ooi 2015, p. 18.
  50. Dabrowski 2014, p. 4.
  51. Ooi 2015, p. 23.
  52. Brenninkmeijer 2016, p. 8.
  53. Brenninkmeijer 2016, p. 11.
  54. Dabrowski 2014, p. 5.
  55. Code de la sécurité intérieure - Article R851-5 2016.
  56. Proposition de loi tendant à renforcer l'efficacité de la lutte antiterroriste 2016.
  57. Publication de l’avis sur le projet de loi relatif au renseignement 2015.
  58. §100i 2002.
  59. Bundesverfassungsgericht 2006.
  60. Bundeskanzleramt : Rechtsinformationssystem 2016.
  61. Petition SOS Ăśberwachung 2007.
  62. Polizei: 32 SPG-Abfragen pro Tag 2008.
  63. State Laws Start Catching Up to Police Phone Spying 2015.
  64. Aux États-Unis, un vaste programme de surveillance téléphonique bien avant la NSA 2015.
  65. California's Electronic Communications Privacy Act (CalECPA) - SB 178 2015.
  66. California's Electronic Communications Privacy Act (CalECPA) - SB 178 2015.
  67. Cops must now get a warrant to use stingrays in Washington state 2015.
  68. CELL SITE SIMULATOR DEVICES--COLLECTION OF DATA--WARRANT 2015.
  69. Les douanes ont acheté des appareils de surveillance des mobiles dont l’utilisation est illégale 2015.
  70. Tweet de Jules Bonnard 2015.
  71. Recensement des Marchés Publics de la DGDDI 2012.
  72. Dispositions relatives aux objectifs de la politique de défense et à la programmation financière 2013.
  73. Loi no 2016-731, article 3 2016.
  74. Modernisation des techniques spéciales d'enquêtes (justice.gouv.fr) 2016.
  75. LOI no 2019-222 du art 706-95-20 du CPP.
  76. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038270474.
  77. Loi no 2016-731, article 706-95-4, alinéa 3 2016.
  78. LOI no 226-3 du .
  79. LOI no 226-15 du .
  80. Met police using surveillance system to monitor mobile phones 2011.
  81. Behind the curve: When will the UK stop pretending IMSI catchers don't exist? 2014.
  82. Revealed: Bristol’s police and mass mobile phone surveillance 2016.
  83. Controversial snooping technology 'used by at least seven police forces' 2016.
  84. PCC-Contracts-Disclosure-05.05.16-3 2016.
  85. Trois ans après les révélations Snowden, la surveillance de masse se porte bien 2016.
  86. Britain has passed the 'most extreme surveillance law ever passed in a democracy' 2016.
  87. 'Extreme surveillance' becomes UK law with barely a whimper 2016.
  88. tweet du 17 nov. 2016
  89. tweet du 17 nov. 2016
  90. LAPD Spied on 21 Using StingRay Anti-Terrorism Tool 2013.
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.