Cryptologie : une curieuse faille sur les anciens téléphones mobiles

Pendant des années, les données mobiles échangées par les téléphones portables (mails, photos, messages sur les réseaux sociaux…) ont pu être déchiffrées sans qu’on s’en rende compte. Les deux algorithmes utilisés pour sécuriser la transmission des données ont en effet une faille, découverte par une équipe franco-allemande et mise en ligne le 15 juin, avant d’être exposée dans la conférence reine du domaine, Eurocrypt, en novembre prochain. Le pire est que cette faiblesse aurait été volontaire, pour satisfaire aux règles commerciales interdisant des systèmes de chiffrement trop robustes.

« En moins de trente minutes, avec un serveur possédant 4 processeurs avec 256 cœurs au total, nous pouvons trouver la clé de déchiffrement permettant de lire les données envoyées par un téléphone. Il y a dix ans, avec les capacités de l’époque, cela aurait aussi été faisable en environ une journée », affirme Gaëtan Leurent, chercheur à l’Institut national de recherche en sciences et technologies du numérique (Inria), associé pour cette publication à des collègues des universités de la Ruhr (Bochum, Allemagne), de Rennes, de Paris-Saclay, de Versailles Saint-Quentin et du CNRS.

Des algorithmes encore utilisés

Même si leur démonstration porte sur des techniques remplacées par d’autres depuis 2013, ces « vieux » algorithmes survivent encore dans des téléphones mis sur le marché en 2018, alors même qu’ils sont censés être bannis de ces appareils. L’entreprise allemande Umlaut indique, dans un rapport publié le 16 juin, avoir même trouvé un opérateur en Asie qui l’utilisait encore en 2020. Les chercheurs estiment aussi possible de forcer un téléphone à basculer vers le système ancien, à l’insu de son utilisateur, permettant ainsi le déchiffrement (sauf peut-être pour les connexions au Web, où désormais une couche de chiffrement supplémentaire est appliquée).

« Les raisons pour lesquelles ces systèmes perdurent sont que leur remplacement coûte cher. Il nécessite en effet des mises à jour non seulement des logiciels, mais aussi du matériel des stations de base où se trouvent les antennes », rappelle Bart Preneel, professeur en cryptanalyse de l’Université catholique de Louvain (Belgique), qui n’a pas pris part à cette étude qu’il juge « excellente ». Les systèmes concernés sont liés aux normes de téléphonie mobile dites 2G (GPRS) ou 2.5G (EDGE) et plus particulièrement à deux de leurs algorithmes, GEA-1 et GEA-2, conçus à la fin des années 1990 et utilisés pour chiffrer les données autres que la voix (celle-ci n’étant pas chiffrée).

En 2011, une équipe de l’entreprise en sécurité informatique allemande Security Research Labs avait affirmé avoir réalisé l’exploit de « casser » GEA-1 et 2, mais sans en donner les détails. Cette fois, la recette a été publiée. Pour y parvenir, l’équipe a bénéficié d’une source anonyme, qui a apporté les détails de l’algorithme et donc les moyens d’y voir plus clair sur la bonne stratégie à adopter. Comme toute méthode de cryptographie, GEA-1 et 2 utilisent une suite de chiffres, baptisée « clé », pour transformer un message clair en une suite incompréhensible. Le jeu consiste à retrouver la clé. La faille réside dans la manière dont cette clé est générée.

Une clé « facilement » trouvée

A la surprise des chercheurs, une façon particulière d’organiser le traitement de certaines parties de la clé diminue le nombre de possibilités de suite aléatoire. Au lieu d’en avoir environ 2⁶⁴, l’algorithme en pratique n’en fournit que 2⁴⁰, soit 16,77 millions de fois moins. En utilisant des « indices », comme le fait que certaines parties d’un message sont connues (un en-tête, une adresse IP…), les chercheurs ont alors exploré toutes ces possibilités et retrouvé « facilement » la clé. « Avec GEA-2, le principe est le même bien que plus délicat à mettre en œuvre. Mais le temps de calcul est finalement assez proche », indique Gaëtan Leurent.

Selon les chercheurs, ce choix ne doit rien au hasard et leur paraît compatible avec les règles commerciales de l’époque, qui abaissaient volontairement la sécurité afin de satisfaire aux exigences de certains Etats. « D’autres cas semblables étaient déjà connus, comme un des premiers protocoles Bluetooth ou même un protocole utilisé dans le GSM », rappelle Bart Preneel. « Dommage que cette analyse de GEA-1 et 2 n’ait pu être faite plus tôt, car leurs détails étaient gardés secrets. La sécurité ne peut être garantie par l’obscurité », tranche Gaëtan Leurent. GEA-3 et 4, les successeurs, sont plus sûrs car ils recourent à une méthode différente, désormais publique. Et la clé de GEA-4 est plus grande.