L'Enisa alerte sur les failles de sécurité de la 5G - Actualités RT Sécurité

L'Enisa alerte sur les failles de sécurité de la 5G

le 21/01/2020, par Peter Sayer, CIO (adapté par Jean Elyan), Sécurité, 691 mots

Selon l'Enisa, l'Agence européenne chargée de la sécurité des réseaux et de l'information, les failles de sécurité présentes dans les réseaux 2G, 3G et 4G pourraient affecter aussi les réseaux 5G.

L'Enisa alerte sur les failles de sécurité de la 5G

« Les failles de sécurité des réseaux mobiles existants pourraient se retrouver dans les réseaux 5G », a prévenu l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). C'est potentiellement une mauvaise nouvelle pour l'Internet des Objets (IoT) : faute d'avoir suffisamment réfléchi aux questions d'authentification et de chiffrement des communications, des millions d'appareils non sécurisés sont, en effet, connectés aux réseaux mobiles.

Le danger, c'est que les failles connues dans SS7 et Diameter, des protocoles de signalisation utilisés dans les réseaux mobiles 2G, 3G et 4G, pourraient se retrouver dans la 5G. « Ces failles permettraient à des pirates d'écouter ou d'usurper le trafic et d'intercepter les informations de localisation », a déclaré l'ENISA dans un rapport publié la semaine dernière. « Avec le passage à la 5G, l'histoire risque de se répéter », a mis en garde l'agence, ajoutant que « la capacité des réseaux 5G à prendre en charge plus d'utilisateurs et plus de bande passante augmentait le danger ».

Attention au DDoS vers les mobiles

Les attaquants peuvent exploiter le protocole de signalisation SS7 utilisé dans les réseaux 2G et 3G pour intercepter ou détourner les messages texte envoyés par SMS. Ce ne serait pas trop grave si l'attaquant pouvait seulement voir les nombreux messages anodins envoyés par les utilisateurs. Mais de nombreuses entreprises utilisent une authentification SMS à deux facteurs, en supposant que seul le propriétaire du téléphone verra le message qui lui est envoyé. Or, cette hypothèse est risquée : comme le fait remarquer l'ENISA, les comptes clients de plusieurs banques allemandes ont été vidés de leurs fonds suite à l'interception par des pirates des mots de passe uniques qui leur avaient été envoyés par SMS.

Des chercheurs ont également montré que des pirates pouvaient mener des attaques par déni de service sur des réseaux 4G en utilisant le protocole de signalisation Diameter, et de déconnecter temporairement ou définitivement un mobile cible du réseau. Ces attaques ne sont probablement qu'un début. « Des travaux sont en cours pour résoudre les attaques exploitant les protocoles SS7 et Diameter, mais seule une petite partie de ces protocoles a été exploré pour l'instant », a déclaré l'ENISA qui prévoit la découverte de nouvelles vulnérabilités. « Même quand les failles sont découvertes, et même si des correctifs sont proposés, peu de choses changent », regrette aussi l'ENISA. « Plusieurs propositions visant à sécuriser le SS7 et Diameter n'ont jamais été adoptées par l'industrie (MAPsec, TCAPsec, Diameter over IPsec, Diameter over SCTP/DTLS) », a indiqué l'agence.

Des failles de sécurité à corriger

Les réseaux 5G utilisent d'autres protocoles en plus ou à la place des protocoles SS7 et Diameter, mais cela ne résout pas le problème. L'usage de protocoles internet courants comme le HTTP, TLS et l'API REST dans les réseaux 5G implique que si l'on découvre des vulnérabilités dans ces protocoles, les exploits et les outils de test de pénétration les concernant seront facilement transférables aux réseaux mobiles. « La période de répit entre la découverte de la vulnérabilité et son exploitation réelle sera donc beaucoup plus courte par rapport à SS7 et Diameter », a déclaré l'ENISA. L'agence est particulièrement préoccupée par le fait que les opérateurs annoncent déjà des déploiements de réseaux 5G, alors que les organismes de normalisation n'ont pas encore résolu tous les problèmes de sécurité de la nouvelle norme.

Au final, cela pourrait favoriser l'Europe, où le déploiement de la 5G est en retard, face aux États-Unis et à certains pays asiatiques qui préparent déjà des offres commerciales de service basées sur la 5G. L'ENISA voudrait changer la loi et les réglementations pour obliger les opérateurs réseau à sécuriser leurs systèmes de signalisation, et sortir de la situation actuelle. L'Agence européenne chargée de la sécurité des réseaux et de l'information suggère également que des fonds publics soient alloués à l'amélioration de la sécurité des systèmes de signalisation. La question ne concerne pas uniquement l'Europe : une sécurité insuffisante des réseaux ailleurs dans le monde peut permettre à des attaquants de s'introduire dans les réseaux en Europe, et réciproquement.

Ring adopte l'A2F et suspend les trackers tiers de son app mobile

Pour rendre sa sonnette connectée plus sûre et plus discrète en matière de collecte de données personnelles, Amazon impose l'authentification à deux facteurs et bloque les trackers de tierces parties de son...

le 19/02/2020, par Michael Simon, IDG NS (adapté par Jean Elyan), 373 mots

L'Enisa alerte sur les failles de sécurité de la 5G

Selon l'Enisa, l'Agence européenne chargée de la sécurité des réseaux et de l'information, les failles de sécurité présentes dans les réseaux 2G, 3G et 4G pourraient affecter aussi les réseaux 5G. « Les...

le 21/01/2020, par Peter Sayer, CIO (adapté par Jean Elyan), 691 mots

Les autorités accentuent leur pression pour déverrouiller les iPhone

Selon les défenseurs de la vie privée, « en refusant de mettre une porte dérobée permanente dans sa plate-forme iOS, Apple protège des millions d'utilisateurs contre les menaces futures des gouvernements et...

le 15/01/2020, par Lucas Mearian, Computerworld (adaptation Jean Elyan), 660 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...