On parle beaucoup du piratage
sur Internet mais beaucoup moins du piratage sur téléphone
mobile. Et pourtant le sujet est devenu aujourd'hui
des plus sensibles : sans piratage possible des
systèmes de sécurité des terminaux
mobiles, le vol de ces mêmes terminaux n'a plus
de raison d'être, faute de pouvoir les réutiliser.
Les fabricants de terminaux mobiles, les opérateurs
télécoms et les services de police, au
regard de l'augmentation des délits liés
aux vols de mobiles, prennent donc le phénomène
du piratage GSM très au sérieux.
Un
constat qui n'a pas échappé à Phonesec.
Cette société française de sept
personnes, créée en décembre dernier,
s'est positionnée dans la lutte contre le piratage
des téléphones mobiles. "Il existe une
fraude massive liée au GSM, explique Ely de Travieso,
consultant en sécurité des systèmes d'information et
chef de projet au sein de Phonesec. Cette fraude alimente
un véritable marché parallèle de distribution
et de vente de terminaux mobiles."
L'actualité donne plutôt
raison à Ely de Travieso. Lundi dernier, un groupe
d'hommes cagoulés et armés de fusils d'assaut
s'est emparé de dix-huit palettes de téléphones
portables (soit 6 000 terminaux) en provenance
de Corée dans un entrepôt de l'aéroport
francilien Roissy-Charles de Gaulle.
Pour
tenter d'éradiquer le "fléau",
Phonesec propose aux constructeurs de terminaux et aux
opérateurs mobiles trois types de prestations :
conseil, laboratoire technique (pour un audit des systèmes
de sécurité des mobiles) et veille autour
de la sécurité GSM. "Nous sommes
l'une des rares sociétés indépendantes en Europe à traiter
du piratage GSM en mutualisant ces trois activités",
précise Ely de Travieso.
Phonesec, qui dispose d'une
vitrine Web uniquement en anglais, a d'ores et déjà
tissé des liens avec plusieurs acteurs majeurs
de la téléphonie mobile. Parmi les constructeurs,
figurent Nokia, Motorola, LG et Philips. Côté
opérateurs français, Phonesec travaille
avec SFR et Orange pour la partie "veille".
Sur le plan technique, l'un des grands chantiers de
Phonesec concerne le code IMEI (International Mobile
Equipment Identity). Cette série unique de 15
chiffres, divisée en quatre parties et intégrée
dans les composants des terminaux, constitue la principale
faille de sécurité
du GSM. "En juin 2002,
les grands constructeurs de terminaux mobiles, réunis
au sein de la GSM Association, se sont engagés à rendre
les codes IMEI infalsifiables. Du moins l'affichent-ils
ainsi", explique Ely de Travieso.
Oui mais voilà :
des logiciels pirates permettent de reprogrammer et
de modifier le code IMEI, véritable carte d'identité
de chaque téléphone. Dès lors,
le terminal ne peut plus être "tracé"
par le constructeur. Une porte ouverte au marché
des terminaux volés, qui peuvent réintégrer
les circuits de distribution. Pour contrer cette manoeuvre,
les constructeurs de terminaux mobiles comme Nokia s'orientent
aujourd'hui vers des composants OTP (One Time Programming).
La spécificité de ces composants réside
dans la quasi-impossibilité de les reprogrammer.
Autre faille, située cette fois dans le camp
des opérateurs : le code Sim-lock. Il s'agit
d'un code de sécurité, modifiable par l'abonné,
qui permet le déverrouillage de la carte Sim
pour un opérateur donné. Une protection que les pirates
GSM parviennent, là aussi, à contourner.
"Des logiciels de piratage ont été développés en détournant
la documentation SAV des principaux acteurs du marché
de la téléphonie mobile. Ces logiciels circulent aujourd'hui
sur Internet."
Conscients de ces problèmes,
les trois opérateurs mobiles français
(Orange, SFR et Bouygues Télécom) ont
créé en février 2002, l'Afom (l'Association
française des opérateurs mobiles). L'une
des premières mesures prises par l'Afom concerné
justement le vol des mobiles. Les trois opérateurs se
sont engagés à créer une liste commune recensant
les numéros d'identification (le fameux IMEI) de tous
les téléphones volés en France. Cette "blacklist"
commune permet de bloquer les communications sur les
mobiles dérobés, si le code IMEI est toujours le bon.
Face au phénomène
du piratage GSM, les Britanniques sont allés
encore plus loin en mettant an place un nouvel arsenal
judiciaire. "Au
Royaume-Uni , avec la nouvelle loi Mobile Telephones
Act, un pirate anglais risque cinq ans de prisons s'il
efffectue un changement d'IMEI", souligne Ely de
Travieso.
Pour bénéficier
des leçons britanniques, Phonesec a établi
un partenariat avec le Telecommunications United Kingdom
Fraud Forum (Tuff), créé en 1998. Cette
structure réunit les acteurs des télécommunications
mobiles outre-Manche (opérateurs, fabricants
de terminaux, prestataires logiciels, équipementiers).
En mars 2003, le Tuff a mis en ligne un site Internet
grand public de prévention et d'information contre
le vol des mobiles : Immobilise.com. Phonesec rêve
d'un site comparable en France.
|