Europol a un problème avec les cartes SIM étrangères et le « home routing »

Le « home routing » permet aux abonnés voyageant à l'étranger de continuer à voir leurs télécommunications être relayées par leurs opérateurs nationaux. Cette technique d’itinérance entraverait les forces répressives dans leurs velléités de surveillance des utilisateurs de cartes SIM étrangères.

Europol aurait des problèmes avec les cartes SIM étrangères, rapportent un certain nombre de médias. L'agence déplore que « les cartes SIM étrangères sont plus compliquées à mettre sur écoute », rapporte ainsi DataNews. « Europol déclare que la fonction de chiffrement mobile Home Routing aide les criminels », titre de son côté BleepingComputer, quand The Register avance qu' « Europol estime que la technologie de l'itinérance mobile lui rend la tâche trop difficile ».

Europol reste flou sur les types de réseaux concernés

Toutes les générations de réseaux (2G, 3G, 4G, 5G…) sont-elles concernées ? Le communiqué de presse d'Europol ne donne pas vraiment de détails. Il affirme simplement que « le Home Routing limite la collecte de preuves par les services répressifs », au point que « les criminels peuvent agir en toute impunité car les demandes légales de preuves sont rendues impossibles ».

En introduction de sa « prise de position » sur les risques posés par le « home routing », Europol précise que ce sont « les normes de sécurité élevées et l'architecture fragmentée et virtualisée de la 5G autonome [qui] rendront plus difficile l'interception légale », au point que « les autorités policières et judiciaires risquent de perdre l'accès à des données précieuses ».

Qu’est-ce que le home routing ?

Le « home routing », explique Europol, permet en effet à un fournisseur de services de télécommunication de continuer à fournir un service à ses client lorsqu'il voyage à l'étranger. On parle aussi d’itinérance ou de roaming. Mais le home routing a une particularité : les communications (appels, messages et données) sont « toujours traitées par le réseau de son pays d'origine plutôt que par le réseau du pays qu'il visite ».

« Par conséquent, cela signifie que le fournisseur de services à l'étranger n'est pas en mesure de fournir des données de communication interceptées en clair (non chiffrées) aux services répressifs sur demande judiciaire » si le service national fourni a activé les technologies d’amélioration de la vie privée (« privacy enhancing technologies », ou PET) :

« Si la technologie PET est activée, le réseau visiteur n'a plus accès aux clés utilisées par le réseau d'origine et les données en clair ne peuvent donc pas être récupérées. »

Le « home routing » n’est pas une nouveauté de la 5G. Frederic Launay (maître de conférences à l'IUT de Poitiers département réseaux et télécoms) expliquait déjà en 2014 qu’en 4G (LTE) « il existe deux méthodes de routage, le Home Routing et le Local breakout ». Mais faute de précision de la part d’Europol, impossible de savoir en l’état ce qui pose exactement un problème.

5G Standalone, 4G VoLTE et chiffrement des données

Au début de la 4G, les appels passaient par la 3G. Il a fallu attendre la Voix 4G (ou VoLTE) pour passer des appels en 4G. La fermeture programmée des réseaux 2G et 3G pousse d’ailleurs cette technologie. En 5G, il faut également distinguer la 5G Non Standalone (5G NSA) que l’on a actuellement en France par exemple, de la 5G SA (Standalone). La première nécessite un cœur de réseau 4G (la 4G est donc utilisée pour la voix même si vous êtes en 5G), quand la seconde fonctionne de manière autonome.

Europol rappelle que dès 2019, le Conseil européen avait souligné, dans un document intitulé « Conclusions sur l'importance de la 5G pour l'économie européenne et la nécessité d'atténuer les risques de sécurité liés à la 5G », la « nécessité d'aborder et d'atténuer les défis potentiels pour les services répressifs découlant du déploiement des réseaux et des services 5G ».

D’ailleurs, dans son « premier rapport sur le chiffrement », publié en juin, le centre d'innovation de l'UE pour la sécurité intérieure (qui réunit notamment Europol, Eurojust, le coordinateur de la lutte contre le terrorisme du Conseil européen et l'agence EU-LISA), soulignait lui aussi les problèmes que le « Home Routing », mais pas seulement, pose aux services répressifs dans l'exercice de leurs fonctions :

« L'utilisation du chiffrement dans les technologies de télécommunication 4G (VoLTE) et 5G (Standalone 5G) complique la capacité des autorités policières et judiciaires à mener des enquêtes. Ces normes introduisent le chiffrement de bout en bout (E2EE) pour les appels vocaux sur le réseau, ce qui complique l'interception légale des communications criminelles dans les scénarios d'itinérance. C'est pourquoi il est important que les fournisseurs de services de communication désactivent les technologies de protection de la vie privée dans les scénarios de "home routing". »

Le déploiement de la 4G VoLTE et de la 5G SA ne va dans tous les cas pas arranger les affaires des autorités en charge des techniques de surveillance et de renseignement. D’autant que la GSMA recommande depuis au moins 2020 de déployer de la 4G VoLTE en utilisant le HR (Home Routing), à la place du LBO (Local Break-Out).

Des demandes d'entraide qui peuvent prendre jusqu'à 120 jours

Europol estime dès lors qu'il devient plus difficile pour les polices judiciaires ou administratives d’enquêter sur les suspects possédant une carte SIM étrangère. Elles doivent, en effet, adresser leurs requêtes à des opérateurs étrangers, ce qui peut prendre « jusqu'à 120 jours, ce qui est trop long lorsqu'une interception d'urgence est nécessaire ».

« En l'absence d'accord et de coopération avec le fournisseur étranger, les autorités d'un État membre peuvent envoyer une demande d'information aux autorités d'un autre État membre », précise Europol. Mais « une réponse ne sera toutefois probablement pas donnée dans le délai nécessaire », lorsque les autorités n'ont que quelques jours devant eux pour pouvoir placer un suspect sous surveillance :

« Par conséquent, une fois le Home Routing déployé, à moins qu'un fournisseur de services national (auquel des ordres d'interception nationaux peuvent être envoyés) n'ait conclu avec le fournisseur de services d'un autre pays un accord de coopération interdisant le PET dans le Home Routing, tout suspect utilisant une carte SIM étrangère ne pourra plus être intercepté. »

Ce problème se pose aussi bien lorsqu'un ressortissant étranger utilise sa propre carte SIM (étrangère) dans un autre pays que lorsque des citoyens ou des résidents utilisent une carte SIM étrangère dans leur propre pays, souligne Europol. Il déplore que « les criminels connaissent cette faille et l'utilisent pour échapper aux forces de l'ordre ».

Une conséquence du marché unique européen

La seule exception est le cas où un fournisseur de services national, auquel des ordres d'interception peuvent être facilement et rapidement envoyés, a mis en place un « accord de coopération » qui désactive les PET quand le Home Routing est utilisé avec le fournisseur de services d'un autre pays.

Le problème serait un exemple emblématique des conséquences du marché unique européen, où les fournisseurs de services « peuvent opérer au-delà des frontières, mais les capacités d'application de la loi sont toujours limitées par leurs propres juridictions », relève Europol, pour qui « il est urgent de trouver une solution ».

Europol invite les parties prenantes à envisager deux solutions, qualifiées de « réalistes ». La première consisterait à désactiver les PET dans le Home Routing, afin de permettre aux fournisseurs de services nationaux d'intercepter les communications de personnes utilisant des cartes SIM étrangères.

L'agence indique que « cette solution est techniquement réalisable et facile à mettre en œuvre ». De plus, elle permettrait de maintenir le « niveau actuel de sécurité, y compris la confidentialité », et d'offrir un chiffrement « identique » aux itinérants et aux utilisateurs de cartes SIM nationales (à savoir déchiffrable par les autorités, avec l'aide des opérateurs nationaux).

Cette option aurait en outre l'avantage de ne pas avoir à divulguer d'informations sur les personnes concernées à des interlocuteurs étrangers.

Des « pistes potentielles » pour travailler ensemble à une solution

La seconde proposition consisterait à mettre en place un « mécanisme transfrontalier » permettant aux services répressifs d'émettre, au sein de l'Union européenne, des demandes d'interception qui seraient « rapidement traitées » par les fournisseurs de services d'autres États membres de l'UE.

Europol souligne que cela permettrait, par contre, à des autorités et fournisseurs de services d'autres États membres d'être informés des personnes présentant un intérêt dans le cadre d'enquêtes effectuées par des services répressifs étrangers. Ce n’est « pas forcément souhaitable », et rendrait les autorités nationales « dépendantes de l'application de la loi par une autorité étrangère », comme c'est déjà le cas pour toute demande d'entraide internationale.

Cette seconde solution aurait, en outre, comme inconvénient de ne pas reposer sur les plateformes et interfaces utilisées avec les opérateurs nationaux et ce, alors qu'« il n'existe pas d'interface commune pour fournir/interpréter les données dans l'UE dans le cadre de la coopération entre les services répressifs et les fournisseurs de services ».

L'agence précise que ces deux propositions de solutions ne sont que des « pistes potentielles » et qu'elle souhaite ainsi attirer l'attention sur l'impact du Home Routing sur les enquêtes afin que les autorités nationales, les législateurs et les fournisseurs de services de télécommunications « puissent travailler ensemble pour trouver une solution à ce problème ».

Dans son « Premier rapport sur le chiffrement », susmentionné, le centre d'innovation de l'UE pour la sécurité intérieure évoquait par ailleurs les problèmes qui lui poseraient l'informatique quantique (notamment en matière de chiffrement), les cryptomonnaies, les données et systèmes biométriques, le protocole DNS, le machine learning et l'intelligence artificielle.