NFC, téléphones fixes : l'interception des fréquences revient-elle à la mode ?

Lors du salon InfoSecurity dédié aux professionnels de la sécurité, certains intervenants étaient invités en tant qu'experts. C'est notamment le cas de Greg Jones, consultant chez Digital Assurance qui évoque le risque de résurgence des méthodes de captation des ondes émises par certains appareils. Des outils relativement peu chers sont disponibles à la vente et seraient utilisés par des esprits curieux.

Avant que le salon InfoSecurity de Londres ne ferme ses portes ce jeudi, certains experts ont fait une apparition remarquée lors de ces trois journées de conférences. Si certains étaient présents en tant que simples invités, d'autres ont tenu à dévoiler certaines tendances en matière d'exploitation des vulnérabilités des réseaux. A ce titre, Greg Jones, consultant chez Digital Assurance a expliqué pourquoi certains réseaux publics de communication peuvent être des cibles de choix.

« Le problème est que beaucoup de systèmes radio sont basés sur des standards ouverts au public. De même, à ce jour, on dispose de trop peu d'informations sur la manière de les sécuriser correctement. Certaines basses fréquences peuvent être interceptées facilement même sans disposer d'un équipement onéreux. Enfin, la multiplication des technologies de communication (puces NFC, smartphones avec des firmwares modifiés ou même les cartes PCMCIA) sont autant de points d'entrée pour obtenir des informations » explique le spécialiste. Il fait alors référence aux cas d'écoutes « sauvages » de réseaux GSM au Royaume-Uni.

Dans son propos, Jones tente d'expliquer clairement le fonctionnement de l'USRP (Universal Software Radio Peripheral). Ce périphérique est une carte électronique qui communique avec un poste afin d'interagir avec un logiciel de radio. La particularité de ce type de matériel (utilisé, par exemple, dans le logiciel GNU Radio) réside dans le fait que la carte peut être modifiée afin de répondre à d'autres besoins.

Ainsi, un USRP peut, par exemple, capturer des fréquences FM, recevoir des fréquences TV ou bien encore lire le système Tetra (utilisé par les services de secours, polices, ambulances, pompiers...) et même ouvrir des portes de garages s'amusait le site Wired. Selon Greg Jones, cet outil était utilisé notamment par les militaires dans les années 80. Désormais chacun peut acquérir ce type d'appareil pour un peu plus de 500 euros...

« L'une des parades contre le risque d'interception d'informations est la mise en place de SDR. Il faut donc que l'ensemble des installations, notamment les réseaux publics, se dotent de ce type d'équipement ». Schématiquement, une radio logicielle, (Software Defined Radio) est un récepteur/émetteur radio qui agit principalement au niveau logiciel. Il s'agit donc d'un processeur auquel s'ajoute une couche logicielle qui assurent les fonctions qui étaient traditionnellement dévolues à des composants. La partie « matérielle » de l'installation est alors reléguée à la conversion d'un signal.

Greg Jones précise : « faire communiquer uniquement la partie logicielle d'un récepteur va apporter des gains en matière de sécurisation des installations mais aussi en modularité. Les logiciels installés peuvent s'adapter en fonction d'un appareil ». Il prédit donc une course à la technologie dans ce domaine dans les prochaines années car des « produits de moins en moins chers sont développés et proposés régulièrement afin de déjouer les mesures de sécurité en place ».