Laurent Ghigonis, P1 Security, chasse les failles SS7, protocole majeur dans les infrastructures de téléphonie mobile
C’est Laurent Ghigonis, de P1 Security, qui a ouvert le feu en s’en prenant aux serveurs d’opérateurs de téléphonie mobile : Home Location Register (HLR) et Home Subscriber Server (HSS). HLR est utilisé dans la totalité des réseaux 2G (qui sont déployés sur la totalité du territoire européen) alors que HSS est utilisé dans les infrastructures 3 et 4G. Sur ces serveurs se trouvent stockés, pour chaque appelant, ses identifiants IMSI, ses clefs de chiffrement, sa position géographique par triangulation de cellule et les « options » d’abonnements propres à leur carte SIM. Si une attaque parvient donc à impacter ces machines, il n’est pas difficile de deviner les conséquences : le réseau tout entier tombe. Après analyse des serveurs en question (des VM Oracle exécutant un noyau « unix like » standard), l’équipe de P1 Security a commencé à collecter un nombre impressionnant de failles, certaines d’entre elles faisant partie des « grands classiques » du genre, notamment des élévations de privilège assez simples, d’autres étant plus spécifiques (fuzzing de la couche SS7, protocole de signalisation téléphonique). Et c’est précisément en expédiant deux paquets SS7 forgés (les MSU, (Message Signal Unit)) que Laurent Ghigonis est parvenu à faire tomber le HLR durant deux minutes entières, deux minutes durant lesquelles aucun abonné, sur l’ensemble du territoire, ne peut recevoir le moindre appel. En injectant ces deux « MSU of death » toutes les deux minutes, le réseau d’opérateur est bloqué en permanence.
Une cartographie des serveurs HLL/HSS. Avec l’équivalent SS7 d’un « ping of death », il est possible de faire tomber le réseau téléphonique national d’un opérateur
Qui peut expédier de tels paquets forgés ? Une machine intruse branchée dans le système de l’opérateur… ou une infrastructure tierce connectée directement à cet opérateur.
Et ce n’est là qu’un aspect des recherches de l’équipe Ghigonis. D’autres protocoles se sont avérés presque aussi destructeurs. Ainsi MAP (Mobile Application Part, une couche applicative SS7) qui, toujours à l’aide de paquets forgés, peut faire tomber un réseau avec l’envoi de moins de 5 MSU par seconde (avec seulement un MSU par seconde, le HLR ne répond plus à plus de la moitié des requêtes MAP, rendant le réseau difficilement utilisable). « Et n’allez pas croire que la redondance des équipements permet d’éviter ou de minimiser quoi que ce soit : même attaque, même crash sur la totalité des front-end de même type. Il suffit d’émettre autant de messages qu’il y a d’équipement ».
Les parades à de telles attaques existent. Encore faut-il les mettre en œuvre : segmenter les zones des systèmes d’exploitation utilisés par ces serveurs (essentiellement Solaris), auditer régulièrement l’infrastructure, inciter les fournisseurs à appliquer le plus rapidement possible les correctifs chaque fois qu’une faille est découverte, améliorer le contrôle et le filtrage du trafic entrant, mettre en œuvre systématiquement des mécanismes de renforcement de la sécurité système, pourtant classiques (ainsi ASLR), installer un firewall sur la machine elle-même pour bloquer des attaques « intra muros » aboutissant sur le réseau d’infrastructure par un moyen insoupçonné…
L’attaque des serveurs est trop complexe ? Cherchons un moyen plus direct et plus pratique, disent Hendrik Schmidt et Brian Butterly d’ERNW. Leur intervention, intitulée LTE vs Darwin. La norme LTE (Long Term Evolution) ne semble pas franchement suivre avec rigueur les principes du père de l’évolutionnisme et contient en son patrimoine génétique pas mal de défauts pouvant conduire à son extinction. Et l’une de ces vulnérabilités se trouve sur les toits d’immeubles, entre l’antenne et le boîtier 3G/4G qui, comme tous les équipements de ce type, disposent d’une prise Ethernet, porte ouverte au réseau amont de l’opérateur. Le « tout IP », si pratique si économique, peut parfois coûter cher. D’autant plus que de relativement monolithique, les ramifications des réseaux de téléphonie mobile se diversifient. Aux cellules traditionnelles se sont ajoutés des relais, des picocell, des femtocell, autant de points de vulnérabilité potentiels. Schmidt et Butterly avaient déjà présenté leurs travaux durant la dernière Schmoocon et leur intervention filmée. A récupérer dans les fichiers d’Archive.org.
Le troisième et dernier jour de la conférence donnait le coup de grâce à l’apparente invulnérabilité des réseaux d’opérateurs, avec une description détaillée, par Pierre-Olivier Vauboin et Alexandre De Oliveira (P1 Security), des protocoles utilisés lors de l’expédition d’un SMS et une description toute aussi précise des vulnérabilités prévisibles. A grand renfort de scan, les deux chercheurs ont montré comment cartographier un réseau SS7, suivre à la trace certains abonnés et leur expédier des SMS « spoofés » et autres avalanches de spam.
