 |
Les écoutes en roulant.
|
Exemple suisse : 1997 :
2 OMC : OLTEN + LAUSANNE
Exemple belge pour Mobistar : 1 OMC + 3 MSC/VLR/HLR + 600 BTS
OMC superviseur des centraux GSM (MSC) :
TRACING : maps tracing, activate mode trace, desactivate
mode trace. pic1
|
Le GSM a été créé en 82 et lancé en 91 par la commission économique européenne (133 pays; 300 opérateurs)
Emission : 890,6915 Mhz
Réception : 935,6960
Mhz
Ecran PC dans un OMC concernant le mobile trace en temps réel :
|
|
Chiffrement :
L'abaissement du chiffrage a
produit les DG de chiffrage, les A5/2, A5/3...A5/7 exportés vers
les pays sensibles,
c'est-à-dire tous sauf
l'Europe A5/2 à A5/7 inférieur à 40 bits.
Les détails de cryptage GSM sont tenus secrets par le gouvernement anglais à Londres et supervisés par le groupe AEG, algorithme experts.
Les vonnées (voix + données) sont encryptées entre mobiles par une clé A5 de longueur théorique 64 bits et de longueur effective 40 bits.
Le transcodeur ou chiffrement/déchiffrement
du codage de la parole est implanté dans la BSS (BTS + BSC) :
ainsi, jusqu'au BSC, tout est
chiffré.
Codage de la voix (vocoder RPE
- LTP) à 13 Kbps en mode filaire à 270,833 Kbps. sur le canal
radio
par le système TDMA (modulation
différentielle c'est-à-dire soit 11,4 soit 22,8 Kbits/s;
Envoi du message paquets courts
ou bursts par groupe de 8 tranches cryptées de l'ordre du ms.)
Le mot burst seul ne signifie
rien : en effet, il existe plusieurs catégories de burst :
- channel reject burst;
- sécurisation burst;
- normal burst (58 +26+58 bits
codés = 142 bits);
- synchronisation burst;
- accès burst;
- correction de fréquence
burst...
La parole tout comme les canaux radio sont codés.
Erreurs à ce sujet dans la revue de Swisscom: COMTEC du 2.95 (burst à 557 ms de 116 bits) et du 9.95 (burst à 557 ms de 166 bits).
Déchiffrage
Toute transmission hertzienne
est toujours, toujours, toujours interceptable sur ordinateur et enregistrable
par des écoutes étatiques ou non.
Seul le matériel fait
la différence. Toutes les catégories de téléphones
disponibles en Suisse passent toujours par 3 types de centraux.
Les firmes Siemens, Alcatel,
Motorola, Matra, Nokia du groupe GSM sont toutes des firmes travaillant
pour la sécurité militaire.
Les scanners numériques
suivi d'un recollage des bursts par software n'obtiennent rien des transmissions
radio GSM :
il est impossible de déchiffrer
un GSM pour un privé en raison de la complexité du système
TDMA ou accès multiple en répartition temporelle créant
une montagne de papier vu les milliers de slot GSM (0,5769 ms) envoyé
par message.
Les services semi-publique réussie de décryptage du GSM avec du matériel classique.
A l'inverse, un bon scanner analogique
peut intercepter l'appel entrant ou sortant pour les Natels B et C. Un
très bon scanner obtient la
totalité de la conversation.
Une affichette dans les trains au-dessus des Natels fait remarquer que
la confidentialité n'est pas garantie.
Argument contre les fuites officielles.
Pour les Natels D GSM (écoutes euro-compatibles NT 2ab), un ordinateur non portable, un décodeur électronique et le numéro d'appel ne sont pas suffisant pour venir à bout des millions d'opérations mathématiques. Les TELECOM n'ont pas besoin de chercher la clef d'un algorithme sur leur réseau.
Nortel-Matra-Cellular déclare
à Science et Vie : "Les communications du réseau GSM sont
quasi indécodables". Soit c'est décodable.
Les clés semi-faibles
ou semi-semi faibles donnent des indices pour les attaques analytiques,
contrairement au système
MC2-PENTAGONE de 3 clés
à 16 chiffres. En matière de cryptographie comme l'a montré
l'affaire de Crypto SA,
il n'y a pas de place pour l'entre-deux.
L'illusion d'être protégé fait vendre et produit des
écoutes fructueuses.
Le véritable matériel
de codage cryptographique en premier lieu ne sort jamais de son pays et
ainsi n'est pas exportable
car d'origine militaire sous
contrôle des services de renseignements.
Pour le premier venu, le déchiffrage numérique de la parole ou des données est très difficile et onéreux.
Enfin, le plus grand hacker (codebreaking) est l'Etat.
Les super-ordinateurs (CRAY
T3D, NEC SX-4...) aux mains de l'Etat trouvent la clé de chiffrage
pour déterminer la redondance
de la clé
A5/2+A8.
Ce genre d'interception est inutile pour les
services de sécurité qui écoutent en clair sur le
réseau filaire les conversations GSM.
Ils disposent aussi du moyen de faire des
écoutes dans les BSC (Base Station Controller), armoire de circuits/modems
radio.
En conclusion, seuls les états (Autriche,
Italie,...) n'ayant pas accès à leur réseau GSM ont
recours à ce genre d'écoute
(scanner numérique + super-ordinateur
et une solide connaissance des bursts de transports, de sécurité,...).
Les 35 000 hachers privés
dans le monde sont une paille.
Sans déchiffrage :
Pour une écoute officielle,
tout passe par le secteur CIT Natel : A, B, C, D (GSM).
Le central Natel-1PMR pour le
canton de Vaud se trouve dans la centrale de Savoie à Lausanne.
Pour le Natel A + B, cela concerne
la centrale de Préville. Dans ce canton se trouvent 52 stations
ou cellules Natel A/B/C.
En pratique, les centaines de
fonctionnaires écoutent les conversations
des mobiles directement sur le réseau non crypté.
100 % des appels d'une station
fixe vers une station mobile sont écoutés sur le réseau
filaire.
Il n'est pas nécessaire
de décoder depuis le BSS (BTS + BSC) jusqu'au MSC (Savoie de Lausanne).
Ainsi, le déchiffrage du PIN ou la reconstitution des intonations de la voix brouillée (A5X) est superflu pour les TELECOM.
Le GSM a son propre système
de facturation (deux protocoles distincts : mobile terminating call + mobile
originaling call).
Les 3 premiers chiffres du format
interne de facturation GSM (exemple, 208 pour la France, 228 pour la Suisse,
262 pour l'Allemagne)
sont différents des autres
systèmes (MCC : mobile country code MCC).
Opérateurs privés
inexistant en Suisse garantissant l'absence d'écoutes privées
sur le réseau GSM jusqu'en 1998.
Le GSM pourra se brancher l'an
2000 automatiquement sur le réseau satellite au monde entier pour
les zones non couvertes au sol
(4 500 appels téléphoniques
simultanés par satellites).
Sans téléphoner :
Localisation instantanée prête à emploi pour 160 millions de GSM en standby à travers 133 pays.
Le plus important à retenir
est la fonction "mobile trace"
qui n'est ni une écoute, ni une localisation, mais un enregistrement
temporaire
ou non d'un passage d'un mobile
dans un pays ou une région donnée (liste de zones de passages
ou transit).
Chaque GSM enregistre en même
temps les 6 cellules les mieux positionnées;
5 niveaux de qualités
de transmissions hertziennes: route parfaite, bonne, normale, mauvaise,
très mauvaise;
4 niveaux pour les PAGERS.
 |
En effet, les données
en temps réel du fichier temporaire VLR (Visitor Location Register)
s'effacent quand l'abonné quitte la cellule donnée
mais se retrouvent enregistrées
sur divers supports (mémoire VLR LOG, analyseurs de protocoles,
bases de données comprenant le numéro
de la cellule...etc). Les télécom
disposent de trois catégories de mémoire (intermédiaires,
finaux) et dans le cadre du BACK-UP des listes de
transit GSM, l'enregistreur
VLR fournit ses informations à l'OMC, lui-même à l'OMCR,
lui-même à l'unique centre informatique suisse (Villars/Glâne).
Ce dernier travaille avec un tape-roboter qui gère 3.500 cassettes
(8.000 Gb).
L'OMC/OMCR disposent de mobile
BACK-UP (SSA chez Alcatel).
Le rayon des cellules varie entre 1 km en ville et au maximum 20 km en campagne.
De plus,
- le module VLR,
- l'analyseur de protocoles,
- le log au journal,
- le back-up mobile,
- la base de données
comprenant le numéro de cellule,
- le back-up,
- l'enregistreur de localisation,
- le centre de facturation ou
Administration Billing Center,
- la carte Visuelle
permettent de suivre les "TRACING
ACTIVITIES" à partir de central/MSC/VLR :
- MAPS PROTOCOLS : trace invocation
ex : CARTE E/trace subscriber
activity
CARTE D/activate trace mode
- Pour le cellulaire urbain DCS (Digital Communications System), le rayon varie de 0,1 à 4 km, pour l'instant.
De plus, les informations du
VLR (vérifiant la présence de l'abonné) connectées
au fichier HLR (information sur les abonnés) et au
fichier IMSI (identité
internationale de l'abonné inconnue de l'abonné) sont transportées
d'une cellule à une autre.
Chaque VLR gère et enregistre
ses zones de localisation. Chaque abonné a une adresse VLR (localisation
en temps réel) et
un n° unique HLR permettant
une localisation automatique et nominale par
l'intermédiaire de sa base de données.
Ces données sont mémorisées
et encryptées.
En somme, le téléopérateur
garde les traces du passage du mobile, qu'il peut retrouver à tout
instant en consultant des analyseurs
de protocoles. Tous les fichiers
(abonnés, équipement/EIR etc.) sont tous dans le MSC/OMC
et l'OMCR (Ostermundigen/Berne)..
Le fichier d'authentification comprend les numéros appelant et l'identité des équipements utilisés.
| Swisscom, ex-TELECOM SA enregistrait
en 1995
chaque jour la présence ! de 15 000 "visiteurs" GSM étrangers en standby ou non, |
et d'autre part, 8 00 000 abonnés
suisses
générant avec leur traçage permanent toutes les 180 mn, soit 700 000 communications par mois. |
Ces chiffres précis démontrent
l'utilité du fichier VLR. Affinage possible : nationalités
ou reconstitution de trajectoire
(entre 1 et 18 km selon le diamètre
des 6 bornes ou cellules les mieux positionnées).
Tout GSM enregistre en permanence
et en même temps les 6 cellules les plus proches pour choisir la
meilleure fréquence et
la meilleure balise BTS ce qui
complique les écoutes irrégulières.
Le journal du "mobile
trace" peut être consultable dans le
cas d'anomalies (causes diverses : channel reject, appels non reçus,
par exemple).
La position de tous les abonnés
est donc stockée en permanence. Un opérateur allemand reconnaît
en 98 conserver ses listes de transit 48h.
Tout cela se fait via le
OMCR (Opération Maintenance Central Register) d'Ostermuntigen
(Be) via
les deux OMC d'Ecublens ou d'Olten
pour toute la Suisse.
Le MSC ne peut sauvegarder tout
et fait appel au BSC (Base Station Controler) en cas de saturation.
Le BSC ou système de
commande de la station de base peut être distant de 100 km par exemple
du MSC.
Ex. : BSC de Coire-Gäuggeli.
Un BSC (concentration de circuits)
peut recevoir maximum 40 BTS (Base Transceiver Station).
Ceux-ci étant en général
près de l'antenne émettrice-réceptrice pour les GSM
(Natels, SFR,..)
La première mise en service
d'un BTS se fait avec un matériel Racal pour charger le soft.
Un BTS comprend une antenne,
une interface et des moderns radios. (100 communications simultanées).
Il est très important de noter que cette forme particulière d'écoute s'effectue uniquement sur un GSM en repos mais branché.
En conclusion temporaire, le HLR enregistre mais ne suit pas. Le VLR suit l'abonné en temps réel.
Les centaines de fonctionnaires
écoutant les GSM/Natels démontrent la facilité de
déchiffrage depuis une centrale MSC ou tout
autre lieu connecté à
celle-ci. Le seul problème comme pour d'autres catégories
de transmissions téléphoniques est la rapidité du
traitement.
De là, un débat trompe l'oeil :
Les codes d'identification échangés
entre le combiné et la station de base sont aussi communiqués
à la centrale.
On entretient le flou en ne
précisant jamais les limites pour assurer les fuites d'informations
des écoutes officielles
comme l'affirme le chef Mobilcom
Walter Heutschi : "Le GSM supranational est aussi plus difficile à
capter pour des écoutes illicites".
Interception des numéros appelant-appelés sur un GSM
La maison munichoise Rhode &
Schwarz est la seule au monde à vendre un appareil qui permet une
telle interception
Elle a participé avec
ATIS à un second logger, unique au monde, permettant l'air-interception
d'un GSM.
http://www.rsd.de/PRODUKT/22da.htm
http://www.rds.de/presse/default.htm
http://www.rsd.de/france/radioloc.htm
Fin 1997, cette maison propose
un produit permettant d'intercepter uniquement les numéros appelés:
| no IMSI :
Nr. (HH:MN) : Box erreicht : Text vollständ : Benach (SMS) : |