Pour mon deuxiéme
article, je vais vous parler de la gestion de la sécurité d'un GSM (réseau et
appels).
Dans un premier lieu, vous devez savoir que dans tout les réseaux GSM, le systéme
doit pouvoir connaitre la localisation d'un abonné, d'une maniére plus ou moins
précise, et ceci afin de pouvoir lui attribuer un appel.
Pour vous apporter une petite notion de téléphonie, il existe des réseaux fixe
(habitation) ou mobile (qui ne pas raccordé à une prise de maniére physique).
Dans un réseau fixe, une adresse physique fixe (prise téléphonique) a pour attribution
un numéro, alors que dans un réseau GSM, le numéro d’un mobile est une adresse
logique constante à laquelle s'associe une adresse physique variant par rapport
aux déplacements de l'abonné.
La gestion de GSM nécessite la mise en œuvre d’une identification spécifique
de l'utilisateur (ça ressemble un "petit peu" à internet). On pourrait employer
un canal radio mais il rendrait les communications vulnérables d'écoutes téléphoniques
ainsi que d'utilisations frauduleuses ...
Comme il ne peut employer ce systéme il se sert des procédés suivants :
authentification
de chaque abonné.
utilisation
d’une identité temporaire.
cryptage
des communications.
En conséquence de
sa mobilité, le système GSM utilise quatre types d’adressage tous liés
à l’abonné :
L’IMSI
(identité invariante de l’abonné) : n’est connu qu’à l’intérieur du réseau GSM.
Le
TMSI : identitée
utilisée pour identifier le mobile appelé ou appelant lors d'une communication.
Le
MSISDN :
numéro de l’abonné ( unique identifiant de l’abonné connu à l’extérieur du réseau).
Le
MSRN : numéro
attribué lors d'un appel.
Authentification et chiffrement
Via l’utilisation du canal radioélectrique pour transporter les informations,
les abonnés sont vulnérables :
utilisation frauduleuse de leur compte par des phreakers possédant des mobiles
"pirates" (héhé), qui se présentent avec comme identité, l’identité d’abonnés
autorisés.
mise sur écoute via le canal radio.
Le système GSM intègre donc des fonctions de sécurité :
authentification
de l'abonné.
protection
via cryptage des données.
confidentialité
des informations de signalisation.
confidentialité
de l’IMSI (identité invariante de l’abonné).
PS : Je vous détaillerais ces fonctions dans le prochain volume (non
pas par fléme mais pour vous faire attendre avec envis le n°5 =))
Autres méthodes de sécurité
Ils permettent d’obtenir des niveaux de protection très élevés pour le système
et pour les abonnés. En effet il faudrait par exemple plusieurs milliards de
couples (RAND, SRES) afin de déterminer l’algorithme A3 (je n'entre pas dans
les détails, car ça devient de la crypto...). Le réseau GSM a recours à des
systèmes de sécurité internes propres aux terminaux mobiles. L’opérateur du
réseau GSM peut vérifier l’identité IMEI d’un mobile (*#06#). Si le IMEI n’est
pas reconnue par le réseau ou si elle est dans la liste des terminaux dérobés
ou pirates, l’accès du mobile au réseau est alors refusé (plus moyen d'appeller
et de recevoir...). Le réseau peut aussi mémoriser l’identité IMSI...
La carte SIM contient également des codes personnalisables par son détenteur.
Ces codes sont utilisés pour identifier l’abonné, tel le code
PIN (Personnal Identity Number) demandé à l’utilisateur à chaque mise
sous tension de son portable. La carte peut aussi contenir d’autres codes, mais
ça on s'en fout un peu...
Je m'arréte la pour cet édition. Je compléterait dans le n°5...