Les rédacteurs de Lojiciels.com examinent les produits de manière indépendante. Pour nous aider à soutenir notre mission, nous pouvons gagner des commissions d’affiliation à partir des liens contenus dans cette page.
Stingray est le nom de code d’un IMSI-catcher, qui est en fait une fausse tour de téléphonie cellulaire vendue par Harris Corporation à divers organismes d’application de la loi. (En fait, ce n’est qu’un appareil parmi une série d’autres portant des noms de poissons — Amberjack en est un autre — mais c’est le nom utilisé dans les médias). En gros, il s’agit de tromper les téléphones portables des environs pour qu’ils s’y connectent. Une fois que cela se produit, l’IMSI-catcher peut recueillir des informations d’identification et de localisation des téléphones et, dans certains cas, écouter les conversations téléphoniques, les messages textuels et la navigation sur Internet. (IMSI signifie International Mobile Subscriber Identity, qui est le numéro de série unique que votre téléphone portable diffuse pour que le système cellulaire sache où vous vous trouvez).
L’utilisation de capteurs IMSI aux États-Unis était autrefois un énorme secret de police. Le FBI a tellement peur d’expliquer cette capacité en public que l’agence fait signer à la police locale des accords de non-divulgation avant d’utiliser la technique, et leur a demandé de mentir sur leur utilisation devant les tribunaux. Lorsqu’il a semblé possible que la police locale de Sarasota, en Floride, puisse communiquer des documents sur les équipements d’interception de téléphones portables Stingray aux plaignants dans le cadre d’un procès pour atteinte aux droits civils, les maréchaux fédéraux ont saisi les documents. Plus récemment, la police de St. Louis a abandonné une affaire plutôt que de parler de la technologie au tribunal. Et la police de Baltimore a admis avoir utilisé le Stingray plus de 25 000 fois.
La vérité est que ce n’est plus un énorme secret de police. Nous en savons maintenant beaucoup sur les attrapeurs de l’IMSI. Et le gouvernement américain n’a pas le monopole de l’utilisation des IMSI-catchers. J’ai écrit dans Data et Goliath :
Des dizaines de ces dispositifs sont disséminés à Washington et dans le reste du pays, gérés par je ne sais quel gouvernement ou organisation. Les utilisations criminelles sont les suivantes.
Du Washington Post :
A quel point ? Turner et ses collègues affirment que leur smartphone spécialement équipé, appelé GSMK CryptoPhone, a détecté les signes de pas moins de 18 capteurs IMSI en moins de deux jours de conduite dans la région. Une carte de ces lieux, publiée mercredi après-midi, ressemble à un abécédaire de la géographie du pouvoir à Washington, avec les dispositifs de surveillance qui se trouveraient près de la Maison Blanche, du Capitole, des ambassades étrangères et du groupe d’entrepreneurs fédéraux près de l’aéroport international de Dulles.
Lors de la conférence RSA de la semaine dernière, Pwnie Express a fait une démonstration de son détecteur IMSI-catcher.
Il n’est ni difficile ni coûteux de construire son propre capteur IMSI. A Def Con en 2010, le chercheur Chris Paget a fait une démonstration de son capteur IMSI fait maison. Le tout a coûté 1 500 dollars, ce qui est assez peu cher pour les criminels et les amateurs curieux.
C’est encore moins cher et plus facile maintenant. Quiconque possède une carte radio définie par le logiciel HackRF peut transformer son ordinateur portable en un attrapeur IMSI amateur. Et c’est pourquoi les entreprises intègrent des détecteurs dans leurs équipements de surveillance de la sécurité.
Deux points ici. Le premier est que le FBI devrait cesser de traiter Stingray comme un grand secret, afin que nous puissions commencer à parler de politique.
La deuxième est que nous devrions cesser de prétendre que cette capacité est exclusive à l’application de la loi, et reconnaître que nous sommes tous en danger à cause de cela. Si nous continuons à permettre à nos réseaux cellulaires d’être vulnérables aux pirates de l’IMSI, alors nous sommes tous vulnérables à tout gouvernement étranger, à tout criminel, hacker ou hobbyiste qui en construit un. Si nous concevons nos réseaux cellulaires de manière à les protéger contre ce type d’attaques, nous sommes alors à l’abri de tous ces agresseurs.
Moi :
Nous avons une seule infrastructure. Nous ne pouvons pas choisir un monde où les États-Unis peuvent espionner et les Chinois non. Nous devons choisir un monde où tout le monde peut espionner, ou un monde où personne ne peut espionner. Nous pouvons être à l’abri de tout le monde, ou vulnérables à tout le monde.
Comme QUANTUM, nous avons le choix de construire notre infrastructure cellulaire pour la sécurité ou pour la surveillance. Choisissons la sécurité.
EDITED TO ADD (5/2) : Voici un attrapeur IMSI en vente sur alibaba.com. En ce moment, tous les dictateurs du monde utilisent cette technologie contre leurs propres citoyens. En Chine, ils sont largement utilisés pour envoyer des SMS de spam sans payer de frais aux opérateurs de télécommunications. Dans une émission de Food Network intitulée « Mystery Diners » — épisode 108, « Cabin Fever » — quelqu’un a utilisé un IMSI catcher pour intercepter un appel téléphonique entre deux employés de restaurant.
Le nouveau modèle de l’IMSI de la Harris Corporation s’appelle Hailstorm. Il a la capacité d’injecter à distance des logiciels malveillants dans les téléphones portables. Les autres noms de code de l’IMSI-catcher de Harris sont Kingfish, Gossamer, Triggerfish, Amberjack et Harpoon. Le concurrent est DRT, fabriqué par la filiale de Boeing Digital Receiver Technology, Inc.
EDITED TO ADD (5/2) : Voici un attrapeur IMSI appelé Piranha, vendu par la société israélienne Rayzone Corp. Il prétend fonctionner sur les réseaux GSM 2G, 3G et 4G (plus CDMA, bien sûr). Le Stingray de base ne fonctionne que sur les réseaux GSM 2G, et intercepte les téléphones sur les réseaux plus modernes en les forçant à passer aux protocoles 2G. Nous pensons que les attrapeurs ISMI plus modernes fonctionnent également contre les réseaux 3G et 4G.
ÉDITÉ POUR AJOUTER (5/13) : Le FBI a récemment publié plus de 5 000 pages de documents sur Stingray, mais presque tout est censuré.
[This article originally appeared on Schneier.com. Reprinted with permission from the author.]
[ Hacker at computer image via Shutterstock].
