Femto fail ?

Publié le 26 juillet 2011 par Sid

L

a publication par THC de vulnérabilités sur les femtocells Sure Signal proposées en Angleterre par Vodafone UK a fait pas mal de bruit. Il faut dire que quand on annonce pouvoir prendre le contrôle du produit et le transformer en station d'interception GSM, il y a de quoi s'inquiéter.

Vodafone n'a pas tardé à réagir avec la publication d'un démenti dès le lendemain. La faille en question daterait de 2010, aurait été prise en compte et fait l'objet d'un patch à l'époque, reléguant l'annonce de THC au rang de pétard mouillé... Affirmations bien évidemment contestées par THC...

Ce genre de ping-pong entre un éditeur/constructeur/whatever et la personne ayant publié une faille sur un de ses produits est classique. Et assez gonflant pour tout dire. Car si les observateurs attentifs et compétents arrivent souvent à lire entre les lignes, le profane ne sait qui croire. Un signe assez parlant dans ce genre de situation tient dans les informations publiées. D'un côté, THC a mis à disposition de tous les détails de ce qu'ils ont découvert. De l'autre, Vodafone se contente de dire à ses utilisateurs que tout va bien et que tout le monde est patché.

Quand on regarde de plus près, on s'aperçoit qu'il y a effectivement un peu plus derrière les dires de THC qu'une simple faille a priori périmée. Cette dernière ne leur est en effet utile que pour passer root sur la box, ce qui peut-être fait de différentes manières, mais certes pas aussi facilement. Comme bricoler un port série pour s'y connecter en root avec le mot de passe par défaut. Une fois cette opération réalisée, notre bidouilleur aura accès à tout un univers de possibilités : interception de trafic, accès au réseau opérateur, extraction de clés, etc.

Et THC de reprocher à Vodafone de passer ces points sous silence. Mais laissons de côté cet angélisme de façade pendant un instant. D'une part parce que comme le fait très justement remarquer notre savoyard favori, il n'y a pas grand chose là-dessous qui n'ait déjà été discuté/présenté/publié, comme à Hackito par exemple avec, justement, la présentation de Kevin Redon et Ravishankar Borgaonkar. Et avec celle qu'ils se préparent à donner à BlackHat la semaine prochaine, l'annonce sonne un peu comme un de ces coups de pub estivaux qui ne devraient plus nous surprendre.

D'autre part, il paraît assez évident que la communication publique de Vodafone va se borner à rassurer sa clientèle, laquelle ne craint qu'une chose : qu'un inconnu prenne le contrôle de sa box et se mette à espionner ses emails, ses comptes bancaires, ses communications téléphoniques, etc. Le fait qu'en l'absence de faille exploitable à distance l'inconnu en question se transforme désormais en un de leurs abonnés change évidemment la donne. Car si la possibilité de sortir le tourne-vis pour pwner l'équipement puis s'en servir pour accéder à leurs infrastructures les préoccupe très certainement, ce n'est évidemment pas quelque chose dont ils vont se vanter sur la place publique...

N'empêche que si l'opérateur a bel et bien été prévenu de ces problèmes en 2009[1] et n'a pas, comme le lui reproche THC, fait quoi que ce soit pour protéger son propre réseau, il y a là un soucis qui devrait mettre la puce à l'oreille des autorités anglaises bien évidemment, mais également celles des pays dans lesquels Vodafone ou une de ses filiales opère un réseau. La problématique dépasse en effet largement le simple fait de se protéger de leurs abonnés, chose dont quelques opérateurs câblés français ont durement appris la nécessité à la fin des années 90. Les vulnérabilités soulevées impactent également les utilisateurs de téléphone mobiles qui passeraient à portée d'un de leurs équipements, transformé à l'occasion en station d'écoute.
C'est là quelque chose d'un peu plus grave à mon sens qu'une querelle sémantique, en particulier à l'heure où on nous vante la criticité des infrastructures de communication...

Notes

[1] D'aucuns se demanderont alors pourquoi attendre juillet 2011 pour sortir ses failles...