Dossier – Comment nos appels sont espionnés : un expert nous explique ce qui se passe réellement

Depuis plusieurs mois, les révélations s’enchaînent : opérations d’espionnage d’ampleur internationale comme Salt Typhoon, programmes d’écoute étatiques tels qu’Echelon ou Tempora, scandales liés au logiciel Pegasus… Tous montrent la même réalité : le téléphone portable n’est plus – et n’a sans doute jamais été – un espace réellement privé.

Si la plupart des utilisateurs continuent de penser que leurs appels du quotidien sont anodins, les cybercriminels et certains groupes structurés y voient au contraire une mine d’or. Non pas pour écouter nos conversations par curiosité, mais pour comprendre nos habitudes, anticiper nos actions, préparer des arnaques ciblées ou même manipuler nos comportements. Et contrairement à ce que l’on imagine, ces attaques ne se limitent pas aux personnalités politiques ou aux grandes entreprises : elles touchent n’importe quel citoyen.

Lire aussi Créez votre serveur de jeux avec une infrastructure bare metal dédiée

Derrière ce risque généralisé se cache un problème plus profond : l’ossature même des réseaux télécoms repose sur des technologies anciennes, vulnérables, parfois héritées des années 70, qui n’ont jamais été pensées pour résister aux cybermenaces actuelles. C’est ce qui permet aujourd’hui à des groupes APT, des services de renseignement étrangers ou de simples cybercriminels d’intercepter des appels, détourner des SMS, suivre des déplacements ou monter des arnaques sophistiquées.

Pour mieux comprendre comment ces interceptions fonctionnent, pourquoi elles sont possibles, ce qu’elles permettent et surtout comment s’en protéger, nous avons interrogé un expert Emmanuel Deloget, Co-fondateur et responsable du Pôle Systèmes embarqués chez EHO.LINK, spécialiste de la sécurité des réseaux télécoms. Voici ses réponses.

Bonjour Emmanuel Deloget, on a l’impression que nos appels téléphoniques sont privés. Pourquoi ce n’est plus vraiment le cas aujourd’hui ?

Il faut être honnête avec nous même : même si dans la majorité des cas on peut considérer que nos appels et nos messages bénins sont suffisamment protégés (notre passion commune pour les vidéos de chat n’a que peu d’intérêt pour un acteur malveillant), il n’en reste pas moins que l’entièreté de nos infrastructures de télécommunications est pour le moins bancale. Dans ce contexte, nous sommes installés sur les épaules d’un géant, mais ce géant à des pieds peu sûrs. Certains des protocoles de communications que nous utilisons sont peu voire pas du tout sécurisés.

Lire aussi Jouer sans le stress du banquier

Les systèmes d’interconnexion entre les différents opérateurs sont pour certains antédiluviens, et datent d’une époque où le nombre d’opérateurs était tellement réduits qu’ils se faisaient tous confiance de manière presque aveugle. Notre géant est en fait une énorme dette technique et technologique utilisant des protocoles de communication remontant pour certains aux années 70, donc bien avant l’apparition de l’Internet et de son cortège de menaces. Certains de ces protocoles tels que SS7 (datant de 1975) sont tellement centraux qu’il est très difficile de les remplacer alors même que l’on sait depuis des années qu’ils sont à la fois extrêmement sensibles et extrêmement faillibles.

En fait, il serait plus juste de dire que nos appels téléphoniques n’ont jamais été réellement sécurisées – dans les années 80, il suffisait de se brancher sur un pylône pour écouter les conversations – mais que devant l’importance qu’ont pris les nouveaux systèmes de communication dans nos vies, nous prenons enfin conscience de leur faible niveau de sécurité. Pendant des décénnies, nous avons choisi de ne pas nous interroger sur la confidentialité de nos appels ou de nos messages. Il a fallut un nombre non négligeable d’affaires ou de scandales pour que cet état d’esprit change.

A la lueur des révélation d’Edward Snowden, nous nous sommes apperçus que nos politiciens étaient espionnés par un allié stratégique. La chute de régime de Mouammar Kadhafi a mis en lumière l’utilisation de systèmes d’espionnage sophistiqués de sa population – fourni par une entreprise française qui plus est. Plus récemment, grâce à l’IA, des acteurs malveillants ont pu s’introduire dans des réunions d’entreprises sous l’identité empruntée d’un directeur ou d’un responsable, de manière à soutirer de l’argent à ces entreprises.

Lire aussi Ce drone de combat n’a besoin ni de pilote ni de piste : sa nouvelle IA pourrait bien changer toutes les règles

Petit à petit, le voile se lève, et ce que nous voyons est inquiétant : nos communications ne sont pas aussi confidentielles et sécurisée que nous le souhaiterions.

Des opérations comme Salt Typhoon ou des logiciels comme Pegasus montrent que même les États peuvent se faire espionner. Comment des groupes parviennent-ils à entrer dans les réseaux téléphoniques ?

Ces groupes sont généralement soit considérés comme des APT, pour advanced persistent threats (menaces persistantes avancées), soit très liées à des entités gouvernementales. Ils peuvent même être les deux à la fois. Dans ce cadre, ils ont accès à des ressources auxquelles ceux qu’on va appeler les attaquants normaux (faute de mieux) n’ont pas accès. NSO Group par exemple vend son logiciel Pegasus à des gouvernements, qui ont en même temps la mainmise sur leurs infrastructures télécom. Outre ces possibilités, ils ont aussi la possibilité d’exploiter des failles connues dans le réseau télécom – par exemple, pour se coordonner au niveau mondial, les opérateurs utilisent ce fameux protocole SS7 qui prédate l’ère de la sécurité informatique.

Ce protocole suppose que tous les intervenants sont honnêtes et de bonne foi. Le monde réel a démontré via de nombreux abus que ce n’était pas le cas. Rien que cette année, en juillet, un groupe de chercheurs a démontré qu’un opérateur de surveillance utilisait SS7 pour géolocaliser ses cibles.

Lire aussi Ne laissez plus jamais un email important se perdre

Au final, entre des techniques s’approchant de techniques d’espionnage traditionnelles et l’utilisation de ressources spécifiques, ces groupes disposent de nombreux moyens pour pénétrer les barrières mises en place par un opérateur afin de se placer au coeur de son réseau.

Le patron de la DGSE a dit qu’un téléphone est « un espion dans notre poche ». Concrètement, qu’est-ce qu’un smartphone peut révéler sur nous sans qu’on s’en rende compte ?

Les systèmes d’extraction de données privées, une fois installés sur le smartphone, ont un accès complet à toutes les informations accessibles sur le smartphone : SMS, liste des contacts, photographies ou vidéos sont les premiers types d’informations auxquels on pense naturellement, mais ce ne sont pas les seules ; un smartphone contient de nombreux capteurs ou récepteurs qui peuvent être utilisés par un attaquant pour obtenir des informations en temps réel : GPS, micro, caméra, mais aussi les capteurs de santé – cardiofréquencemètre… ; il permet en outre de stocker des informations sensibles (information de compte pour les application de réseau sociaux, mais aussi des informations bancaires…).

Si un logiciel espion est installé sur un smartphone, toutes les informations qui s’y trouvent ou qui y transitent sont susceptibles d’être dérobées, effacées ou modifiées sans que l’utilisateur ne puisse s’en rendre compte.

Lire aussi Wallets numériques : vers la fin du portefeuille traditionnel ?

Comment des arnaqueurs savent-ils qu’on attend un colis, qu’on a un rendez-vous bancaire ou qu’on prévoit un voyage ? D’où viennent réellement ces informations ?

Les attaquants utilisent plusieurs méthodes. Les deux plus efficaces sont la compromission du smartphone ou de la boite mail – dans ce cas, l’arnaqueur a un accès direct à l’information, il peut décider d’en faire ce qu’il souhaite, et notamment l’utiliser pour vous piéger – et l’interception des communications SMS et téléphoniques via, par exemple un IMSI catcher ou après un vol ou une duplication de votre carte SIM (SIM swapping). Cependant, il ne va pas hésiter à utiliser d’autres méthodes, notamment dans le cas où l’attaque est ciblée (c’est à dire qu’elle cible une personne ou un groupe de personnes bien spécifique). Dans ce cas, l’acteur malveillant pourra espionner les interactions de sa ou ses cibles sur les réseaux sociaux ou utiliser d’autres techniques d’intervention dans la vie réelle – cette année, avec son opération surnommée « ClickFake », le groupe APT Lazarus a utilisé des faux entretiens d’embauche pour piéger les ordinateurs de certains candidats sélectionnés avec soin.

Il existe des cas, fort heureusement plus rares, où un acteur malveillant va directement compromettre un opérateur – soit via une attaque informatique, une prouesse qui reste complexe, soit via la compromission d’un acteur tiers peu scrupuleux ayant un accès au réseau informatique de l’opérateur. Cette « taupe » pourra ensuite utiliser son accès privilégié pour fournir des informations précises à l’attaquant.

Enfin, un arnaqueur peut se contenter d’acheter sur Internet des informations provenant d’un opérateur de service quelconque (par exemple une liste d’adresse email associées à quelques informations personnelles) et tenter sa chance, en espérant qu’il tombera sur une personne assez crédule pour croire à cette histoire de prince ayant un urgent besoin de cacher plusieurs millions d’euros. Certaines de ces arnaques sont aisément détectables, mais d’autres peuvent être hélas plus sournoises. Dans certains cas, la source originelle des données permet à un attaquant d’espérer un fort retour sur investissement. On pense notamment à la fuite de données en provenance d’Okta fin 2023 – Okta fournissant des services d’authentification aux entreprises, ces données ont naturellement été employées pour pirater ces entreprises clientes.

Lire aussi Caméras intelligentes et IA : un pari technologique pour la sécurité des Français ou un risque pour les libertés ?