Cartographie et audit du réseau GSM avec des outils Open Source Renaud Lifchitz Toulouse Hacker Space Factory 25-27 mai 2012, Toulouse

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 2 Introduction Les réseaux mobiles sont le quotidien de millions de citoyens et reposent sur des technologies fermées et propriétaires. L’atelier analyse les signaux radios utilisés et les problèmes liés à la sécurité des utilisateurs: géo­localisation et traçage des utilisateurs de téléphone mobile, atteinte à la confidentialité des communications, information et repérage des mouvements des portables. Les outils utilisés sont d'anciens téléphones mobiles modifiés.

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 3 Bio ● Ingénieur en sécurité informatique français ● Activités principales : – Audits de sécurité et tests d'intrusion – Formations sécurité – Recherche en sécurité ● Intérêts : – Sécurité des protocoles (authentification, cryptographie, fuites d'information, preuves zero-knowledge...) – Théorie des nombres (factorisation, tests de primalité, courbes elliptiques...)

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 4 Infrastructure du réseau GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 5 GSM ● “Global System for Mobile Communications” ● En Europe, 2 normes principales : – GSM 900 – GSM 1800 (aussi appellée DCS 1800) ● Confidentialité assurée par les chiffrements A5/1 et A5/2 ● Couverture d'une cellule GSM jusqu'à 50 km !

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 6 GSM - Fréquences

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 7 Structure simplifiée du réseau GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 8 Quelques moyens d'identifier les utilisateurs d'un réseau GSM... ● Numéro de téléphone (MSISDN) ● IMSI (« International Mobile Subscriber Identity ») : numéro d'abonné international unique = MCC (pays) + MNC (réseau) + HLR (h1 h2) + MSIN ● CCID : numéro de série de la carte SIM ● IMEI : numéro de série du téléphone (*#06#)

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 9 Présentation d'OsmocomBB

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 10 OsmocomBB ● “Open Source Mobile COMmunications Base Band” ● Projet Open Source d'ouverture du protocole GSM ● Créé par Harald Welte en Janvier 2010 ● Compatible avec de vieux téléphones (20 à 30€) : Motorola C115/C123/C140/C155...

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 11 Scan et cartographie des opérateurs et antennes GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 12 Scan des opérateurs et antennes GSM ● Parcours des fréquences GSM (channel hopping) à l'écoute d'informations émises par les réseaux (broadcast) ● Recensement des ARFCN utilisées ● Récupération des informations sur les cellules voisines

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 13 Géolocalisation des cellules ● Chaque cellule GSM (BTS) est identifiée par 4 nombres : – MCC: Mobile Country Code – MNC: Mobile Network Code – LAC: Location Area Code – CID: Cell ID  (MCC: 262, MNC: 01) = T-Mobile® Deutschland

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 14 ● Plusieurs tentatives ont vu le jour pour recenser et géolocaliser les cellules : Source: Wikipedia (http://en.wikipedia.org/wiki/Cell_ID) Géolocalisation des cellules

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 15 ● Pourquoi ne pas utiliser la puissance de Google ? ● Base gigantesque et continuellement mise à jour grâce aux : “Google Cars” & Téléphones Android Flickr photo by PhyreWorX Licensed under theCC Attribution-Share Alike 2.0 Generic license Géolocalisation des cellules

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 16 Géolocalisation des cellules POST /loc/json HTTP/1.1 Accept­Charset: utf­8 Accept­Encoding: plain Cache­Control: no­cache Connection: close Content­Length: 242 Content­Type: application/json Host: www.google.com {"radio_type": "gsm", "address_language": "fr_FR", "host": "maps.google.com", "version": "1.1.0", "cell_towers": [{"mobile_network_code": 1, "cell_id": 32755, "mobile_country_code": 208, "location_area_code": 24832}], "request_address": true} Requête sur l'API de géolocalisation GSM de Google Gears

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 17 Géolocalisation des cellules {"location": {"latitude":48.886363,"longitude":2.246213,"address": {"country":"France","country_code":"FR","region":"Ile­de­ France","county":"Hauts­de­ Seine","city":"Puteaux","street":"Rue Paul Lafargue","street_number":"16","postal_code":"92800"},"acc uracy":500.0},"access_token":"2:1dxrwvFk6ejLzSpv:BDHb9oizx wm0bwsb"} Corps de la réponse ● Détails intéressants : – Latitude et longitude – Adresse postale (comprenant numéro et nom de rue, code postale, ville, région et pays !) – Précision (en mètres) → couverture de la cellule ?

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 18 Géolocalisation des cellules Extraction des numéros de cellule GSM $ tshark ­i lo udp ­V gsm_a.cell_ci | grep ­A2 'Cell CI' Cell CI: 0x3198 (12696) Location Area Identification ­ LAC (0x1005) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0x31fe (12798) Location Area Identification ­ LAC (0x1005) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0x3806 (14342) Location Area Identification ­ LAC (0x044c) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10 ­­ Cell CI: 0xe0ba (57530) Location Area Identification ­ LAC (0x044c) Mobile Country Code (MCC): 208, Mobile Network Code (MNC): 10

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 19 Recensement et identification des utilisateurs GSM dans un périmètre

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 20 Utilisateurs GSM ● Normalement, les IMSI utilisateurs ne doivent peu ou pas transiter en clair sur le réseau ● Utilisation d'identifiants temporaires (TMSI) ● En pratique, les IMSI en clair sont fréquents et nombreux (reconnexions fréquentes au réseau) ● Il est donc facile d'avoir des statistiques précises sur : – Les pays d'origine des utilisateurs – Leur opérateur GSM d'origine – Les réseaux sur lesquels ils sont

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 21 Présentation d'un outil de visualisation des réseaux et utilisateurs GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 22 Fonctionnalités de l'outil ● Upload du firmware modifié dans le téléphone (couche 1) ● Lancement des couches 2 et 3 côté PC ● Ecoute des trames GSM côté PC ● Pilotage du téléphone par l'interface telnet d'OsmocomBB ● Recensement et identification des opérateurs, antennes et utilisateurs GSM ● Cartographie automatique des antennes GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 23

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 24

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 25 Bref état de l'art sur les attaques GSM

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 26 GSM : les risques ? ● Géolocalisation ● Déni de service : brouillage radio, demande de slots radio en boucle, flood des téléphones... ● Interception / Ecoute : communications de service, SMS, voix, data, ... ● Falsification / Usurpation d'identité

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 27 Pour aller plus loin... ● Projet OsmocomBB : http://bb.osmocom.org/trac/ ● API Google Gears Geolocation (obsolète !) : http://code.google.com/p/gears/wiki/GeolocationAPI ● OpenLayers : http://openlayers.org/

THSF 2012 “Cartographie et audit du réseau GSM avec des outils Open Source” Renaud Lifchitz 28 Merci ! Des questions ?