Points clés à retenir
- Le système de signalisation n° 7 (SS7) est un protocole de téléphonie obsolète qui peut exposer votre vie privée aux cybermenaces et à la surveillance.
- Les vulnérabilités SS7 ont été exploitées par des criminels pour vider des comptes bancaires, des gouvernements pour suivre les utilisateurs de téléphones portables et des sociétés de renseignement pour espionner des personnes dans le monde entier.
- Pour vous protéger des vulnérabilités SS7, utilisez des applications de messagerie sécurisées avec cryptage de bout en bout comme Signal ou WhatsApp, car ils offrent une meilleure confidentialité et sécurité que les SMS et téléphones traditionnels prestations de service.
Avez-vous déjà entendu parler du système de signalisation n° 7 (SS7)? Ce n’est probablement pas le cas, mais vous l’utilisez toujours quotidiennement, tout comme toutes vos connaissances. Le problème est que cette technologie est très obsolète et très dangereuse. Cependant, il existe des alternatives à l'utilisation de SS7 et, mieux encore, elles sont gratuites.
Qu’est-ce que SS7 et pourquoi n’est-il pas sécurisé?
Le système de signalisation n° 7 est un ensemble de protocoles téléphoniques qui permettent aux réseaux de télécommunication de communiquer entre eux. En un sens, il s’agit d’un système de communication qui permet aux réseaux téléphoniques d’échanger des informations importantes. En partie, grâce à cette technologie, vous pouvez passer des appels téléphoniques, envoyer des messages texte et utiliser des services similaires.
SS7 a été introduit pour la première fois dans les années 1970 et déployé dans le réseau AT&T aux États-Unis. Peu de temps après, il est devenu standardisé pour une utilisation internationale et a remplacé les anciens systèmes dans d’autres pays du monde. Dans les années 1990, SS7 a été adopté plus largement et est devenu l’épine dorsale des télécommunications mondiales.
Identification de l'appelant, renvoi d'appel et Service de messagerie courte (SMS) ont également été introduits dans les années 1990, alors que les réseaux mobiles se développaient à l'échelle mondiale. L’intégration SS7 a joué un rôle clé dans ce processus, et notre société n’est plus la même depuis. Peu d’entre nous peuvent désormais imaginer vivre dans un monde dans lequel il est impossible d’envoyer un SMS à un ami qui utilise un autre opérateur, et cela est en grande partie dû à l’adoption généralisée de cette technologie.
Alors, quel est le problème avec SS7? Eh bien, SS7 est obsolète et dangereux, une relique de l’époque où les menaces numériques n’étaient ni aussi sophistiquées ni aussi répandues qu’aujourd’hui. Depuis au moins le milieu des années 2000, les failles de sécurité sont évidentes, et elles ne font que s’accentuer avec le temps. Il ne s’agit pas d’une question de spéculation ou d’opinion, ni d’un problème qui affecte uniquement un réseau, un appareil ou un individu spécifique. Ces vulnérabilités sont inhérentes à SS7 lui-même.
Comment les vulnérabilités SS7 exposent votre vie privée
À mesure que la technologie et la cybercriminalité se développaient, SS7 avait du mal à suivre le rythme. Des dizaines d’incidents et de failles de sécurité très médiatisés ont été enregistrés partout dans le monde ces dernières années.
Par exemple, en 2017, un groupe de criminels non identifiés a profité des failles de sécurité de SS7 pour vider l'argent des comptes bancaires des gens. Pour ce faire, ils ont contourné l'authentification à deux facteurs utilisée par certaines banques pour empêcher tout accès non autorisé et protéger les clients, selon Ars Technica. À l'époque, le représentant du Congrès américain, Ted Lieu, avait appelé le gouvernement fédéral à corriger ces failles « dévastatrices », affirmant qu'il est "inacceptable que la FCC et l'industrie des télécommunications n'aient pas agi plus tôt pour protéger notre vie privée et nos finances". sécurité."
De la même manière, Le Washington Post a rapporté en 2014 qu'une vulnérabilité SS7 permettait aux entités gouvernementales de suivre les utilisateurs de téléphones portables en temps réel. Un initié a déclaré au média que « des dizaines » de pays faisaient cela, tandis que les experts en sécurité ont noté que rien n’empêche les groupes de hackers et les organisations similaires de faire de même. En 2020, un lanceur d'alerte a révélé que l'Arabie saoudite exploitait ces mêmes vulnérabilités pour suivre ses citoyens aux États-Unis, selon Le gardien.
Un 2020 Haaretz Entre-temps, l'enquête a révélé que la société de renseignement privée israélienne Rayzone Group abusait des failles de SS7 pour suivre des personnes dans le monde entier pour le compte de leurs clients. Environ un an plus tard, le PDG d'une entreprise technologique suisse spécialisée dans l'envoi de SMS automatisés a exploité ces mêmes vulnérabilités pour espionner les gens, selon le Bureau du journalisme d'investigation.
Gardez à l’esprit que ce n’est que la pointe de l’iceberg: il est évident que la SS7 est dangereuse et extrêmement vulnérable à l’exploitation. C'est pourquoi tu ne devrais pas utiliser les SMS pour protéger votre vie privée – supposez que tout ce que vous envoyez par SMS peut être intercepté et lu par votre gouvernement ou presque toute autre personne disposant des outils et de l'expertise appropriés.
Mais la vraie question est: pourquoi rien n’est-il fait pour remédier aux vulnérabilités SS7? Les opérateurs et les réseaux mobiles en sont certainement conscients; les experts en sécurité les connaissent depuis des lustres, tout comme les politiciens. En fait, certains en ont parlé ouvertement, comme Lieu, et ont exhorté les organismes de réglementation à agir. Pourtant, rien n’a changé. Quand Le registre Dans leur rapport, ils ont conclu que « peut-être que les services de renseignement américains aiment l'idée de réseaux facilement compromis ».
Il convient toutefois de noter qu’il ne s’agit là que d’une explication possible qui ne répond peut-être que partiellement à la question. SS7 est une infrastructure héritée, et apporter des changements radicaux nécessiterait probablement une coopération internationale et la le déploiement et la mise en œuvre de nouvelles technologies, qui nécessiteraient tous beaucoup de temps et d'argent investissement. En bref, les incitations à apporter les changements nécessaires ne sont tout simplement pas là.
Ce que vous pouvez faire pour vous protéger des vulnérabilités SS7
Si le SS7 est omniprésent, que peuvent faire les gens ordinaires pour se protéger? Une solution simple consiste à utiliser des applications de messagerie sécurisées pour envoyer des SMS et passer des appels téléphoniques, car elles offrent une couche de protection absente des services SMS et téléphoniques traditionnels soutenus par SS7.
Ces applications utilisent une technologie beaucoup plus sûre et plus privée que SS7, mais si vous souhaitez aller plus loin, pensez à en utilisant une application de messagerie cryptée de bout en bout: le cryptage de bout en bout garantit la sécurité de vos communications écouter aux portes. Il existe des dizaines d’applications de ce type sur le marché, et beaucoup sont entièrement gratuites. Le signal est sans doute l'application de messagerie la plus sécurisée disponible aujourd'hui, mais WhatsApp n'est pas loin derrière.
Signal est open source, dispose d’un puissant algorithme de cryptage et est incroyablement sécurisé. WhatsApp, en revanche, est probablement la meilleure option pour ceux qui souhaitent une application simple et facile à utiliser, que tout le monde connaît et qu'elle possède déjà sur son téléphone. Cependant, certains s'éloignent de WhatsApp, car il appartient à Meta (la société mère de Facebook et Instagram), et pensent qu'il pose des problèmes de confidentialité.
Malgré des problèmes flagrants, SS7 ne va nulle part
SS7 est obsolète et profondément défectueux, mais il ne mène nulle part. Au moins pour l’instant, rien n’indique que le secteur des télécommunications va l’éliminer progressivement. En attendant que SS7 soit remplacé par une technologie meilleure et plus sécurisée, faites ce que vous pouvez pour protéger votre vie privée.
Certes, il n'est pas toujours possible d'éviter d'utiliser les SMS ou de passer un appel, mais installer une application de communication avec cryptage de bout en bout est un bon début. Dans tous les cas, se protéger de la surveillance et d’autres menaces nécessite un engagement sérieux et soutenu en faveur de l’hygiène et de la sécurité numériques.
