Grosse faille de sécurité pour les réseaux 3G, 4G et 5G surtout en Europe
La 5G comme la 4G et la 3G souffrent d'une vulnérabilité qui permettrait à un système de captation comme un IM
Pour les concepteurs de ces solutions de surveillance que sont les IMSI-catcher, le petit bonus, c'est que ce procédé fonctionne même lorsque le mobile n'est plus à portée de l'IMSI-catcher.
Des chercheurs provenant de plusieurs universités européennes ont identifié une grosse vulnérabilité qui touche à la fois la 5G, la 4G et la 3G. La brèche permet aux systèmes d'écoute IMSI-catcher d'aller encore plus loin dans la surveillance.
Il reste toutefois nécessaire que le mobile revienne dans le champ de l'appareil pour pouvoir récolter ses données. La 3GPP qui gère la norme 5G et la GSM Association, ainsi que les principaux fabricants de matériels sont au courant de cette faille. Ils ont annoncé mettre en place des mesures pour corriger et renforcer la sécurité du protocole 5G.
Le seul hic dans cette histoire, c'est que, quel que soit le protocole employé, les IMSI-catcher disposent d'une méthode radicale pour parvenir à leur fin... L'antenne relais force le mobile à se connecter en 2G, ce qui lui permet alors de bénéficier d'une grosse faille de sécurité en éliminant le chiffrement et d'accéder aux données du mobile.
Vous l'aurez compris, faille ou pas faille sur la 5G, 4G, ou 3G, tous les mobiles peuvent de toute façon être surveillés par IMSILa grosse faille, c'est la 2G.
Pour rappel, ces antennes « pirates » émettent un signal suffisamment puissant pour que tous les téléphones situés à proximité s'y connectent automatiquement au lieu d'aller choisir l'antenne des opérateurs.
Les téléphones à portée transmettent à cet IMSI-catcher leurs identifiants d'abonnés. Tant que la liaison est établie avec l'antenne de l'IMSI-catcher, celui-ci peut intercepter tout ce qui passe par le téléphone.
Or, pour éviter cela, la 3G, la 4G et surtout la 5G ont renforcé leurs système de protection. Celui-ci repose sur le protocole AKA (Authentification et Key Agreement). C'est lui qui valide l'authentification du téléphone sur les réseaux cellulaires.
Il établit des clés pour chiffrer les communications. Et dans le cas de la 5G, cette protection devait être imparable.
Pas suffisamment apparemment puisqu'avec leur méthode et un appareil à un peu plus de 1.000 dollars, les chercheurs sont parvenus à passer au travers de ces sécurités. Comment ? En déchiffrant les derniers bits du numéro de séquence exploité par le protocole AKA.
Avec cette technique et ces seuls derniers bits, les chercheurs pouvaient identifier l'identité de l'abonné et relever les métadonnées de l'activité du mobile.-catcher.SI-catcher de récolter les données traAlors qu'elle n'est pas encore déployée, la 5G fait déjà parler d'elle en matière de sécurité. Et la toute dernière vulnérabilité en date ne touche pas uniquement la 5G, mais aussi la 3G et la 4G.
À la fin de l'année 2018, des chercheurs en sécurité du Sintef Digital Norway, de l'ETH Zurich et de l'université technique de Berlin ont en effet publié le résultat de leurs expérimentations dans un article intitulé New Privacy Threat on 3G, 4G, and Upcoming 5G AKA Protocols.
Selon eux, la faille serait plus grave que toutes les vulnérabilités précédentes qui ont affecté la 3G et la 4G jusqu'à maintenant.
En réalité, la faille qui est mise en avant est spécifique à l'utilisation des dispositifs IMSI-catcher, ces fausses antennes relais déployées par les autorités pour surveiller les communications et déplacements de certaines personnes ciblées.
Rappelons qu'en France l'exploitation de ces appareils par les services de police est désormais autorisée depuis la loi relative au renseignement du 3 juin 2016.nsitant par le mobile.
Google lance Cloud Firestore, une base de données de documents NoSQL sans serveur,
Serait-elle meilleure que Firebase ?
Chroniqueur Actualités
Ce 31 janvier, Google a annoncé la disponibilité totale du service Cloud Firestore après un long moment passé en bêta test. De quoi s’agit-il ? C’est une base de données NoSQl construite pour les applications en général, dit Google.
Vous connaissez sûrement NoSQL, la nouvelle génération de bases de données qui ne suivent pas le modèle relationnel des bases de données classiques. Il y a quatre types de bases de données NoSQL notamment Clés-Valeurs, Documents, Colonnes et Graphes. Les trois premiers sont connus comme des bases de données orientées agrégats (BDOA) et le dernier comme une base de données orientée graphes (BDOG).
La solution de Google, Cloud Firestore, est une implémentation de base de données NoSQL basée sur le type Documents. Cloud Firestore, a décrit Google, est une base de données entièrement gérée et native au cloud qui facilite le stockage, la synchronisation et l'interrogation des données pour les applications Web, mobiles et IoT.
Son objectif est de fournir une expérience utilisateur exceptionnelle et de simplifier le développement d'applications avec la synchronisation en direct, la prise en charge hors ligne et les transactions ACID sur des centaines de documents et de collections.
La firme de Mountain View explique qu’avec cet outil, il vous sera désormais plus aisé et plus facile de créer des applications grâce à des règles de sécurité de bases de données flexibles, des fonctionnalités en temps réel et une infrastructure de mise à l’échelle automatique entièrement manuelle.
L’outil est déjà disponible sur Google Cloud Platform (GCP) et également intégré à Firebase, la plateforme de développement mobile de Google.
Cloud Firestore apporte une large gamme de fonctionnalités très utiles pour les développeurs, assure la société. Parmi ces fonctionnalités, on peut mentionner ces quelques-unes :
la solution est notamment disponible dans 13 régions distinctes réparties dans le monde ;
elle comporte une intégration de Stackdriver en bêta test.
Cela vous permet de surveiller les opérations de lecture, d’écriture et de suppression dans le Cloud Firestore ;
Cloud Firestore prend en charge la modification de 500 collections et documents en une seule transaction ;
elle permet une interaction directe avec une application côté client, car contrairement à la plupart des bases de données NoSQL, indique Google, elle intègre la sécurité de niveau entreprise ;
elle vous permet d’exporter facilement des données dans BigQuery pour effectuer une analyse, un post-traitement des données et un apprentissage automatique performant ;
la gestion des identités et des accès (IAM) et l'authentification Firebase sont intégrées pour garantir la sécurité de votre application et de ses données ;
etc.
Une autre chose que dit Google est que lorsque vous utilisez Cloud Firestore pour bâtir votre application, cela vous procure certains avantages et vous assure la rapidité grâce des fonctions telles que la gestion des identités et l’authentification Firebase. « Construire avec Cloud Firestore signifie que votre application peut passer en ligne et hors connexion de façon transparente.
Cela contribue à simplifier le code et à réduire le nombre d’erreurs. Vous pouvez proposer des expériences utilisateur enrichies et transmettre des mises à jour de données à plus d'un million de clients simultanés, sans avoir à configurer et à gérer une infrastructure.
La garantie de cohérence élevée de Cloud Firestore permet de minimiser la complexité du code d'application et les bugs », a illustré Google. La société a promis l’ajout de plus de fonctionnalités dans les prochaines mises à jour du logiciel.
« J'ai adoré Firestore ! Ce fut ma première expérience réelle avec NoSQL dans un MVP pour être prêt pour la production rapidement. C'est tellement facile à expérimenter et à apprendre et la communauté est formidable », a écrit un utilisateur.
Par contre, pour un autre qui dit avoir passé beaucoup de temps à utiliser la base de données en temps réel Firebase (un prédécesseur de Firestore), ce dernier aurait été un calvaire pour lui.
Il estime que Firebase présente des temps d'arrêt fréquents, parfois quelques minutes et parfois une heure. Selon lui, presque chaque semaine, tous les clients ne sont parfois pas informés des modifications de documents qui paralysent leur application.
La question qu’il se pose est de savoir en quoi est-ce que Firestore serait-il différent ?
Pourquoi n’existe-t-il pas de version relationnelle hébergée et facile à utiliser de Firestore ?, s’est interrogé un autre internaute. « J'utilise Firestore en ce moment et c'est absolument frustrant par le manque de relations, le manque de requêtes d'accumulation (COUNT, MAX, MIN) et, en général, par les limites de stockage de ce qui est essentiellement du JSON arbitraire.
Comment se fait-il que pour compter le nombre d'entrées, vous deviez soit créer vous-même un compteur (ce qui peut être à l'origine de conditions de concurrence, car les compteurs sont difficiles), ou parcourir manuellement la totalité de la collection et compter ? », a-t-il déclaré par la suite. Ce qu’il propose pour corriger quelques-un de ces différents problèmes est une base de données JSON typée.
Source : Billet de blog
Commentaires