Le Department of Homeland Security (DHS) américain avance que la Chine, la Russie, l'Iran et Israël sont les « principaux » pays qui exploitent les failles de sécurité des réseaux de télécommunications pour espionner les personnes se trouvant aux États-Unis, selon des informations publiées par le sénateur Ron Wyden et relayées par 404 Media.

Ces informations figurent dans une lettre (.pdf) rédigée par le Department of Defense (DoD) en réponse à des questions posées par le bureau du sénateur Wyden. Elle indique qu'en septembre 2017, le personnel du DHS avait fait une présentation sur les menaces de sécurité SS7 lors d'un événement ouvert aux fonctionnaires du gouvernement américain.

Une diapositive identifiait alors les « principaux pays qui utiliseraient les actifs de télécommunications d'autres nations pour exploiter les abonnés américains », ce qui pouvait inclure le suivi de leurs déplacements physiques et l'interception d'appels et de textes.

Selon la présentation du DHS, ces pays étaient la Russie, la Chine, Israël et l'Iran, ainsi que d'autres pays où les moyens de télécommunication sont utilisés pour attaquer les abonnés américains, notamment « un certain nombre de pays d'Afrique, d'Amérique centrale et du Sud, d'Europe et du Moyen-Orient ».

Le bureau du sénateur Wyden indique que le DoD a confirmé qu'il pensait que tous les opérateurs américains étaient vulnérables à la surveillance SS7 et Diameter. Ce dernier, successeur du protocole RADIUS, ne chiffre pas les adresses IP d'origine pendant le transport, ce qui peut faciliter les usurpations de réseau par des personnes mal intentionnées, comme nous l'avions rappelé il y a quelques mois.

• La FCC interroge les opérateurs sur la sécurité de leurs réseaux mobiles, un problème mondial

404 Media rappelle que le protocole SS7 est utilisé pour acheminer les messages lorsqu'un utilisateur de téléphone se déplace en dehors de sa zone de couverture normale. Mis au point au milieu des années 1970, il peut en effet être utilisé de manière abusive pour localiser les téléphones, rediriger les appels et SMS afin d'intercepter les informations et espionner les utilisateurs.

Cette faculté d'utiliser SS7 à des fins d'espionnage « s'appuie sur des aspects fondamentaux du réseau et du protocole qui considèrent toute demande de connexion comme légitime, même si elle est effectuée par une partie malveillante », souligne 404 Media.

Interrogé quant à la survenue d'éventuels incidents survenus en 2022 ou 2023 au cours desquels des membres du personnel du DoD, aux États-Unis ou à l'étranger, avaient été surveillés au moyen de SS7 ou de Diameter, le DoD a répondu que la réponse à cette question « nécessitait une réponse classifiée ».

Bien connu pour son intérêt pour les questions de sécurité et de vie privée, Ron Wyden avait aussi récemment critiqué l’armée américaine pour sa gestion des communications non classifiées, et notamment le contrat Spiral 4 du ministère sur les télécommunications, négocié avec les opérateurs pour équiper le personnel civil et militaire. Le ministère de la Défense se serait passé en effet d’audits indépendants, pourtant réalisés.

• Tempête de cybersécurité aux États-Unis, pleins feux sur le chiffrement des communications