Attaque de proximité passive :
Démontrée par Karsten Nohl lors de la conférence blackhat 2010. Elle utilisait un USRP (à partir de 700€) pour la partie scan de fréquence et un disque dur de 2TB pour le cassage du cryptage. Depuis qu’Elonics a produit en grande quantités des clés TNT remplissant les conditions nécessaires pour pouvoir pratiquer pratiquer de la radio définie logicielle (RTL-SDR) on peut scanner les fréquences téléphoniques pour dix euros. Il existe d’autres matériels intéressants pour le scan telles que les téléphones compatibles osmocom-bb ou bladeRF ou encore hackRF. Il faut savoir qu’il n’est je crois pas possible de mener l’attaque active avec les adaptateurs TNT parce que il n’ont pas la liaison haute. L’attaque passive se fait en scannant une trame particulière le keystream que l’on soumet au logiciel kraken et qui avec les 2TB de rainbow tables renvoie la ciphering key au bout d’une minute. Vous pouvez trouver le keystream de manière automatique avec le logiciel topguw (qui est obsolète vu que typhon-vx a plus de chance de trouver le bon keystream). Il y a sur mon blog la méthode pour installer topguw et pour décrypter les communications une fois que vous avez la ciphering key avec une clef TNT.Il y a aussi un lien pour la partie kraken et pour télécharger ces rainbow tables. L’attaque passive (sniffing) peut également se faire avec les téléphones compatibles osmocombb. Toujours avec ces téléphones il est aussi possible de faire l’attaque active (fakeBTS ou IMSI-catcher) il y a une image du système ci dessous ou encore la procédure d’installation est aussi disponible pour Kali rolling 2017.3. Il faut noter que les méthodes ci dessus ne marche que pour un téléphone victime en 2G pour l’attaque active et pour le chiffrement A5/1 (MYSTI) l’attaque sur le chiffrement A5/3 (KASUMI) est théoriquement possible (sandwich attack) en deux heures avec un ordinateur de bureau. En ce qui concerne la 3G on peut créer un IMSI-catcher 2.0 à condition d’avoir un accès SS7. Un autre type d’attaque sur la 3G est possible : par downgrade de la 3G vers un fakeBTS 2G par une SDR faisant un déni de service sur le réseau 3G du téléphone victime. Ensuite il est possible de cloner une carte sim à distance à l’aide d’un silent sms envoyé sur le téléphone victime qui renvoie un hash de la signature cryptographique que l’on peut retrouver avec des rainbow tables adéquates ou un cluster de FPGA. Enfin l’accès au réseau SS7 permet lui aussi normalement de hacker les téléphones à distance simplement à l’aide d’un numéro.