Orange : une mise à jour de sécurité sur le réseau 2G bloquera certains téléphones
Suite à une recommandation de... 2011
Le 02 octobre 2017 à 14h24
6 min
Société numérique
Société
Dès mi-novembre, certains téléphones 2G ne fonctionneront plus sur le réseau d'Orange. Les modifications suivent une recommandation de l'ANSSI sur la sécurité du réseau, nous déclare l'opérateur. Explications.
Cela fait maintenant plusieurs mois qu'Orange envoie des courriers à des clients pour les informer que, prochainement, leur mobile ne « permettra plus de téléphoner ni d'échanger des SMS ». Seuls les terminaux ne supportant que la 2G sont concernés, pas les modèles 3G et/ou 4G.
Dans sa lettre, l'opérateur explique vaguement « procéder régulièrement à des évolutions techniques afin d'augmenter la fiabilité et la protection de vos communications via le réseau 2G ». Dans certains cas, « cette modernisation va entrainer une incompatibilité de fonctionnement de certains mobiles d'ancienne génération ».
Afin d'avoir de plus amples informations, nous avons contacté Orange.
Six ans plus tard, Orange suit la recommandation de l'ANSSI
Côté technique, Orange nous indique que « les améliorations font suite au passage à l’algorithme standardisé A5/3 Kasumi sur [son] réseau, fortement recommandé par l’ANSSI ». Effectivement, dans les conclusions de son état des lieux de la sécurité des communications cellulaires de 2011, l'Agence nationale de la sécurité des systèmes d'information préconise son utilisation sur les réseaux GSM « afin d’empêcher a minima les interceptions passives de communications ».
Suite à cela, Orange mettra à jour le logiciel de son cœur de réseau voix (MSC) : certains « terminaux ne pourront plus se localiser correctement sur le réseau 2G et ne pourront donc plus émettre d’appels » nous explique l'opérateur. Cette évolution débutera le 20 novembre 2017 pour se terminer en février 2018.
Tous les clients concernés sont prévenus par courrier trois mois avant le changement, doublé d'un SMS de rappel un mois en amont. Pour rappel, la Cour de cassation a récemment rappelé qu'un « opérateur téléphonique doit informer et conseiller ses clients sur la nécessité de détenir un téléphone compatible avec le réseau fourni ». Free Mobile en avait fait les frais et avait été condamné à payer 3 000 euros à un de ses clients.
En 2G, l'authentification est unilatérale, contrairement à la 3G
Pour comprendre de quoi il en retourne exactement, commençons par un rappel sur le fonctionnement des réseaux de téléphonie mobile. « Dans le cas des réseaux 2G, l’authentification est unilatérale : seul le terminal s’authentifie auprès du réseau d’opérateur. Dans le cas des réseaux 3G, l’authentification est mutuelle » explique l'ANSSI.
Elle ajoute que « cette évolution est fondamentale car elle permet de contrer des attaques par le milieu, dans lesquelles un adversaire tente de se faire passer pour le réseau de l’opérateur auprès du terminal d’un abonné et tenter ensuite d’intercepter ses communications ».
Pour assurer la confidentialité et l'intégrité des données, un chiffrement est appliqué sur le réseau 2G (et 3G évidemment), plus ou moins robuste suivant les cas. Cela permet d'éviter une attaque passive ou un pirate ne fait qu'écouter les communications radio.
Remplacer un algorithme dépassé...
Ils sont au nombre de quatre dans le cas du GSM : A5/1 à A5/4. « L’algorithme A5/1 est massivement déployé, mais n’offre pas une protection absolue en confidentialité » note l'ANSSI dans son étude de 2011. Déjà à l'époque des attaques permettaient de déchiffrer une communication en quasi-temps réel (et la situation n'a pas dû s'arranger depuis). Une démonstration avait même été réalisée lors d'un Chaos Communication Congress par Karsten Nohl.
L'algorithme A5/2 est essentiellement conçu pour l'export, explique l'ANSSI, précisant qu'il n'est utilisé que dans certains pays limitant volontairement le chiffrement.
De leur côté, « A5/3 et A5/4 sont dérivés de l’algorithme Kasumi utilisé dans la 3G » et n'ont été « spécifiés » qu'en 2002. Si des faiblesses ont été détectées en 2010, « elles ne permettent toutefois pas de réaliser des attaques pratiques à l’heure actuelle ». C'était du moins le cas il y a six ans, qu'en est-il aujourd'hui ? Nous avons interrogé l'ANSSI sur le sujet, sans réponse pour le moment.
...à défaut de pouvoir supprimer la 2G pour le moment
Au final, l'ANSSI souffle le chaud et le froid. D'un côté, elle met en lumière « les faiblesses intrinsèques » des réseaux 2G, connues et exploitables depuis longtemps. De l'autre, elle reconnait que la couverture en 3G/4G n'est pas encore suffisante pour délaisser la 2G. « En attendant une généralisation des réseaux UMTS et LTE, ces vulnérabilités militent en faveur de l’utilisation de l’algorithme A5/3 au sein des réseaux GSM » recommande-t-elle en guise de conclusion.
De son côté, Orange nous affirme une nouvelle fois n'avoir aucun plan pour couper la 2G à court ou moyen terme. Pour rappel, Bouygues Telecom nous avait déjà déclaré la même chose au début de l'année et il devrait en être de même chez SFR. Outre-Atlantique, la situation est différente avec AT&T qui a déjà coupé son réseau 2G depuis plusieurs mois.
7 téléphones Samsung concernés, une offre de reprise de 30 euros pour les clients
Orange nous précise enfin que sept mobiles Samsung, « sortis en général entre 2010 et 2011 », ne pourront prochainement plus se connecter à son réseau 2G. Les références ne sont pas détaillées, mais il est au moins question du 1150(i) d'après le forum de Sosh et des retours d'utilisateurs.
Le cas échéant, une offre de reprise de 30 euros est proposée aux clients Orange. Elle « permet par exemple d’acquérir un Orange Hapi 30 à 9,90 euros au lieu de 39,90 euros (ou un autre terminal au choix du client) » comme l'Alcatel 2035 et les mobiles Doro. De leur côté, « les clients Sosh se rééquipent sur sosh.fr parmi les modèles de marque Orange avec une remise de 30 euros ».
Nous avons contacté Bouygues Telecom et SFR afin de savoir s'ils avaient déjà déployé l'algorithme A5/3 ou s'ils comptaient le faire prochainement, sans réponse pour le moment. Pour rappel, Free Mobile ne dispose pas de licence 2G et exploite le réseau d'Orange en itinérance.
Orange : une mise à jour de sécurité sur le réseau 2G bloquera certains téléphones
-
Six ans plus tard, Orange suit la recommandation de l'ANSSI
-
En 2G, l'authentification est unilatérale, contrairement à la 3G
-
Remplacer un algorithme dépassé...
-
...à défaut de pouvoir supprimer la 2G pour le moment
-
7 téléphones Samsung concernés, une offre de reprise de 30 euros pour les clients
Commentaires (46)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/10/2017 à 14h41
“Pour rappel, Free Mobile ne dispose pas de licence 2G et exploite le réseau d’Orange en itinérance.” et qu’en est-il pour ses clients ? Pourront-ils continuer à utiliser leurs mobiles 2G ou non ? Suivant qui fait l’authentification (Orange ou Free), la réponse pourrait être différente. Comme c’est du roaming, j’aurais tendance à dire que c’est fait chez Free, mais pas très sûr.
Donc pourquoi ne pas leur poser à eux aussi la question ?
Et corrigez vos fautes, j’en au marre de les signaler si souvent ! :
l’authentification et unilatérale
s’ils avaient déjà déployé l’algorithme A5/3 où s’ils comptaient
Le 02/10/2017 à 14h43
Le 02/10/2017 à 14h43
Ah, la bonne question…
J’utilise un abonnement free à 2€ pour un tracker GPS, je sens que je vais avoir une surprise sur la compatibilité.
Le 02/10/2017 à 14h44
Effectivement ça serait bien de savoir si Free en itinérance Orange est concerné.
En effet, mes beaux parents pourraient être potentiellement concernés par ce problème (vieux portables Nokia ou Samsung)
Merci d’avance :)
Le 02/10/2017 à 14h47
J’imagine que si des mobiles de 2010 ne pourront plus se connecter, ce sera également le cas pour les téléphones 2G plus anciens ? (je pense en particulier au vieux 3310 qui traîne dans mon placard)
Edit, je me réponds à moi-même : si l’algo A5/3 a été spécifié en 2002, alors le 3310 sorti en 2000 n’est très vraisemblablement pas compatible. Mais la question se pose pour les mobiles sortis entre 2002 et 2010.
Le 02/10/2017 à 14h55
Serait-il possible d’obtenir une liste plus étoffée pour savoir quels sont les modèles concernés ?
Je connais du monde qui utilise encore des Nokia C2-02 (de 2011), comment savoir s’ils sont compatibles ?
Et les personnes concernées sont sur le réseau Orange, mais chez Coriolis telecom (MVNO)… c’est le flou total.
Le 02/10/2017 à 15h02
" /> la belle faute de frappe !
Le 02/10/2017 à 15h32
Donc avec mon vieux Nokia, si Free ne me prévient pas que ça va couper, et que je l’attaque il me devra 3000EUR, de quoi s’en payer un neuf. Et je peux aussi l’attaquer pour obsolescence programmé d’un téléphone qui fonctionne parfaitement? " />
Sinon la raison d’Orange est de protéger contre le piratage des téléphones, et pour ça il interdit les téléphones d’appeler… forcément si il n’y a plus de conversations à pirater, ça rend leur piratage plus compliqué :smileyshadocks:
Le 02/10/2017 à 15h49
Euh alors c’est pas Orange qui pointe du doigt de vieux téléphones en se disant : toi, toi et toi, fini les appels.
Lorsque la 2G sera coupée dans quelques années, personne ne versera une larme pour les téléphones des années 2000. La rétrocompatibilité n’est pas, à ma connaissance, une obligation des opérateurs (sauf pour la couverture que la 2G permet d’avoir), mais bien un intérêt commercial (au contraire des chargeurs USB qui proviennent d’une directive européenne).
Bref, si du jour au lendemain, Orange pouvait assurer 100% de couverture en 4G et supprimer 2G et 3G, forçant les utilisateurs à n’avoir que des mobiles VoLTE, ils se tireraient une balle dans le pied. Par contre, si 99,9% des utilisateurs étaient équipés, ils le feraient sans hésiter.
Le 02/10/2017 à 16h18
Je pense aussi à certains terminaux (alarmes GSM) qui risquent d’avoir des soucis…
Le 02/10/2017 à 16h30
s/au/ai/2
" />
Le 02/10/2017 à 16h39
Le 02/10/2017 à 16h40
Six ans plus tard, Orange suit la recommandation de l’ANSSI
" />
Le 02/10/2017 à 20h15
L’incompatibilité ne concerne que certains terminaux en 2G qui ont un problème. Nombreux seront ceux qui pourront encore fonctionner ;)
Le 02/10/2017 à 20h19
Oui mais c’est le soucis, la liste précise n’est pas connue.
Le 02/10/2017 à 21h20
" />
Ton téléphone est plus vieux que le mien (Samsung D500E de 2005)!
Etant chez Free je pense que je ne vais pas y couper et devoir le changer " />
Le 03/10/2017 à 06h58
Le 03/10/2017 à 07h31
Free n’utilise pas de réseau 2G
Le 03/10/2017 à 08h44
On peut noter que la spécification date de 2002 et la recommandation de 2005, on a une chance ?
J’ai posé la question au fabriquant, je pense que les mecs vont tomber de leur chaise s’ils n’étaient pas au courant et que le produit n’est pas compatible !
Le 03/10/2017 à 09h18
Broarf, ça fait 10 ans que j’entend que les AS400 des comptes pour qui j’ai travaillé doivent disparaître depuis 10 ans.
Le 03/10/2017 à 09h22
;Ah bon et depuis quand l’accord de roaming 2G entre Free et Orange est-il fini ?
Il n’a pas de réseau 2G en propre, soit, mais il utilise le réseau 2G d’Orange. C’est même écrit dans le passage que j’ai cité.
Généralement, en cas de roaming, c’est l’opérateur du client, donc Free dans le cadre de cette discussion, qui gère l’authentification.
D’où ma remarque.
Le 03/10/2017 à 15h28
Jusqu’à cette année, c’était une phase de transition, et il me semble que rien n’était obligatoire. Je ne sais pas si les choses ont évolué depuis 2014, notamment si on a bien défini ce qu’était le chargeur universel (type-A, type-C ou micro-B, intensité minimale…).
Le 03/10/2017 à 15h49
Le 03/10/2017 à 15h51
Est ce qu’une annonce officielle d’Orange existe sur leur(s) site(s) ?
Le 03/10/2017 à 16h54
Après avoir épluché les specs de mon TK102-2 et de sa puce GSM SIM9000, je ne suis sûr que d’une chose :
Je ne suis pas sûr.
Comme il ne fait pas de 3G, le danger ne peut être écarté.
Niveau specs, la seule indication est 2G/2G+ mais sans précision du support des algos de chiffrement et authentification.
Voilà quoi… Les specs du matériel ne vont presque jamais autant dans le détail, c’est malheureux.
Le 03/10/2017 à 18h33
Le 03/10/2017 à 18h43
en fait j’ai ma réponse, le composant GSM est le SIM900. (vu qu’on peut pas éditer…)
Mais globalement, c’est pas la peine de paniquer si le terminal est actif et que vous ne recevez pas de lettre d’Orange " />
Le 04/10/2017 à 07h58
Et free va prévenir les gens avec du matos en 2G qui est en itinérance sur le réseau d’orange ?
Si c’est par SMS, c’est mort, il jette tout ce qui n’est pas une commande reconnue. Et j’ai eu un autre téléphone sur la SIM avant, ce qui pourrait ajouter à la confusion…
Bah je laisse tomber toute recherche et réflexion, un jour, si ça marche plus, je m’en occuperai.
Le 05/10/2017 à 08h46
Le 02/10/2017 à 16h48
Abonné Free au forfait 2 euros avec un bon vieux Nokia 3310 qui fonctionne toujours après 16 ans de service, je constate depuis 2 mois des pertes intermittentes de réseau.
Cela pourrait il venir d’Orange qui fait des tests ?
Et sinon, aucun courrier de Free pour annoncer ce changement.
Et puis si mon tel n’est pas compatible, jvais être obligé de le changer…
J’avais déjà essayé il y a qq années de trouver un téléphone simple avec une qualité de son équivalente à celle de mon Nokia, mais je n’avais rien trouvé à l’époque. Si l’un d’entre vous à un modèle à proposer ? (Pake oui mais aussi solide soit il, au bout de 16 ans, il n’est plus en super état ^^)
Le 02/10/2017 à 16h53
Ça aurait été intéressant et pertinent que vous mentionniez le cas de Free également.
Le 02/10/2017 à 16h55
Cette mise a jour empêchera les ISMI Catcher de fonctionner ?
Le 02/10/2017 à 17h31
Le 02/10/2017 à 17h36
Punaise faut que je regarde, ma mère a un téléphone à clapet samsung, elle ne semble pas avoir reçu ce genre de courrier, mais c’est bien un tel 2g only, il faut que je regarde ça…
Et bien sûr la liste n’est pas connue.
On fait comment pour savoir quels téléphones ne seront plus supportés?
EDIT: idem pour mon père qui a aussi un vieux samsung à clapet encore plus basique…
Le 02/10/2017 à 17h56
Ça aurait été intéressant que tu lises la fin de l’article " />
Le 02/10/2017 à 18h25
Le 02/10/2017 à 19h00
Le 02/10/2017 à 19h06
et quid des alarmes qui envoient des sms par le reseau GSM ?
elles sont concernées ?
Le 02/10/2017 à 19h11
Ah oui tien aussi bonne question!
Après il doit être possible de changer la partie GSM, mais effectivement c’est une question…
Clairement ça serait bien qu’ils communiquent plus sur les téléphones et matériels qui poseront problèmes….
Le 02/10/2017 à 19h23
Le 02/10/2017 à 19h30
Tiens, comme tu as l’air au courant (c’est le cas de le dire" />), tu saurais pourquoi Apple n’a pas de problème alors qu’il utilise un autre connecteur ?
Peut-être parce qu’ils vendent (25 € quand même !) unadaptateur permettant d’utiliser un chargeur micro usb ?
Le 02/10/2017 à 19h32
Le 02/10/2017 à 19h35
Le 02/10/2017 à 19h51
Le 02/10/2017 à 20h09
C’est fou ça, le 3310 continuerait de fonctionner mais pas des tels plus récent??? " />
Le 05/10/2017 à 10h18
Je pensai surtout à un lien “publique” pour pouvoir le diffuser aux différents prestataires de services qui peuvent être concernés par ce problème