Figure 3 – Types d’attaques contre les réseaux de télécommunications dans l’Union européenne (enquête)


































            6  LE DÉFI À RELEVER

            On considère que la protection de ces deux surfaces   d’une mise en œuvre partielle, qui n’a permis de
            d’attaque relève de la responsabilité exclusive de    résoudre qu’une partie des vulnérabilités dont
            l’opérateur du réseau mobile – si l’opérateur met en   souffraient leur réseau.
            œuvre des mesures pour protéger son réseau, l’en-  •   Les opérateurs des réseaux de télécommuni-
            semble des utilisateurs de ce réseau seront  égale-   cations ne sont pas en mesure de se protéger
            ment protégés. Toutefois:                             contre la plupart des vulnérabilités de l’interface
                                                                  radio, d’autant plus lorsque leurs abonnés ont
            •   La plupart des opérateurs de réseau mobile n’ont   recours à l’itinérance.
                pas encore protégé leur réseau contre ce type
                d’attaque, bien  que  la Global  System  Mobile   La difficulté reste donc entière: comment les fournis-
                Association (GSMA) et l’UIT (organismes mon-   seurs de DFS ou les clients peuvent-ils se défendre
                diaux de gouvernance des télécommunications)   contre les attaques cellulaires, sans attendre que les
                aient publié des lignes directrices  pour les aider   opérateurs de réseau mobile règlent le problème à
                                             4
                à mettre au point une stratégie de défense.    leur place?
            •   Le plus souvent, les opérateurs qui ont appli-
                qué ces recommandations  se sont contentés
                                        5


            7  IDÉE REÇUE: ATTAQUER LES RÉSEAUX DE TÉLÉCOMMUNICATIONS N’EST PAS À LA PORTÉE
                DE TOUS, SEULS LES GOUVERNEMENTS DISPOSENT DE MOYENS SUFFISANTS

            Cette idée est largement répandue parmi les respon-  tés des réseaux mobiles avec un budget d’environ
            sables de la sécurité des systèmes d'information   500 dollars des États-Unis.
            (CISO)  et  les  responsables  de  la  cybersécurité  des   Par exemple:
            entreprises. Les barrières à l’entrée se sont considé-  En s’appuyant sur un système amateur d’attaque
            rablement abaissées et n’importe quel pirate infor-  par interception, il est possible d’intercepter les
            matique peut désormais exploiter les vulnérabili-  communications cellulaires à proximité. Une fois la



           14    Rapport technique sur les failles du SS7