Les appels des députés (et les vôtres) à la merci de l'espionnage

Des failles de sécurité dans les principaux réseaux de téléphonie mobile au pays rendent les Canadiens vulnérables à l'espionnage et à la fraude. Les conversations téléphoniques d'un député ont pu facilement être interceptées et ses mouvements suivis à la trace, démontrent des tests effectués pour Enquête.

Par Brigitte Bureau et Sylvie Robillard d'Enquête

Les enjeux de sécurité font partie du quotidien de Matthew Dubé. Ce député néo-démocrate du Québec est porte-parole en matière de sécurité publique et vice-président du Comité permanent de la sécurité publique et nationale.

Il a accepté que l'on essaie d'intercepter ses communications. Sa seule demande : acheter un nouveau téléphone qu'il utiliserait avec des gens seulement au cours de l'expérience.

Cela dit, il soutient que son téléphone de député n'est muni d'aucun dispositif de sécurité spécial et qu'il n'a jamais été informé des failles de sécurité que l'on voulait tester.

Le député néo-démocrate Matthew Dubé Photo : Radio-Canada/Marc Robichaud

M. Dubé, comme bon nombre d'abonnés de la téléphonie mobile, sait qu'il doit protéger les données de son appareil en utilisant des mots de passe ou encore en évitant de cliquer sur des liens suspects.

Ce que les fournisseurs de services téléphoniques et les agences fédérales ne disent pas aux utilisateurs, c'est que tous les appareils reposent sur un système de trafic téléphonique qui, lui, est à la merci des pirates informatiques.

Il s'agit du système de signalisation numéro 7 – ou, plus simplement, SS7.

Le SS7 connecte entre eux les réseaux de téléphonie mobile de la planète, y compris les réseaux des fournisseurs canadiens. Il gère, par exemple, l'établissement des appels, le routage des communications et la facturation. C'est grâce au SS7 qu'on peut faire des appels n'importe où dans le monde, d'un lieu fixe ou en mouvement.

Mais un malfaiteur qui obtient un accès au SS7 peut détourner des communications et les intercepter. Une fois dans le système, une personne peut accéder à n'importe quel réseau mobile de la planète s'il est mal sécurisé.

Pirates allemands

Pour mener cette expérience, Radio-Canada est allée rencontrer des pirates informatiques en Allemagne.

Karsten Nohl et Luca Melette, de l'entreprise Security Research Labs à Berlin, sont des spécialistes des failles dans les réseaux de téléphonie mobile. Ces ingénieurs en informatique pratiquent ce qu'on appelle dans le milieu le « piratage éthique ». Pour le compte de grandes sociétés, ils tentent de déceler les brèches qui pourraient être exploitées par des criminels.

Illustration : Radio-Canada/Sophie Leclerc

Nous leur avons confié une mission : pirater des réseaux canadiens de téléphonie mobile à partir du SS7 et intercepter les communications du député Matthew Dubé, à Ottawa.

Pour y arriver, tout ce dont ils ont besoin, c'est d'un ordinateur portable et du numéro de téléphone du député.

Pour les besoins de l'exercice, Radio-Canada contacte le député à partir de Berlin pour lui parler des dossiers chauds de la journée, alors qu'il est en déplacement vers la Chambre des communes. Pendant ce temps, à un kilomètre du café berlinois où nous sommes installés, le pirate informatique Luca Melette s'active à son ordinateur.

Luca Melette Photo : Radio-Canada

À partir du numéro de téléphone du député, le pirate peut effectuer un renvoi des appels vers sa propre ligne téléphonique, avant de les transmettre au véritable client.

Le pirate arrive rapidement à ses fins. En plus de capter nos appels avec M. Dubé, il intercepte aussi une conversation du député avec son adjointe.

Un appel entre deux personnes à Ottawa est intercepté... de Berlin. Mais ce n'est pas tout. Le pirate allemand suit depuis plusieurs jours les moindres déplacements du député Dubé à partir de son seul numéro de téléphone.

De la capitale allemande, il a pu tracer un portrait des allées et venues du député au Canada, avec coordonnées de longitude et de latitude à l'appui. Par exemple, il a pu suivre un trajet du député d'Ottawa jusqu'à Hamilton, dans le sud de l'Ontario. Le pirate a aussi été en mesure de déterminer les endroits souvent fréquentés par le député dans la capitale fédérale.

Le député Dubé estomaqué

Le député néo-démocrate Matthew Dubé Photo : Radio-Canada/Marc Robichaud

« Ça n'a pas de bon sens », s'exclame le député Matthew Dubé lorsqu'on lui fait entendre ce que le pirate informatique a pu capter. Troublé, il secoue la tête au son de sa voix et de celle de ses interlocuteurs.

« Dans certaines circonstances, ça peut être très dangereux et problématique. C'est le moins qu'on puisse dire. » - Matthew Dubé

Le porte-parole néo-démocrate en matière de sécurité publique donne un exemple. « Quand il y a eu l'attentat à Québec, dans la mosquée, dans le Centre culturel islamique, le ministre de la Sécurité publique fédéral, M. Goodale, m'a appelé pendant que j'étais dans le train pour me faire le suivi de ce qui était en train de se faire, la collaboration entre la GRC et la SQ et tout ça. »

Le député Dubé fait remarquer que l'une des conversations que le pirate a interceptée s'est déroulée tout près de la Chambre des communes… et du bureau de Justin Trudeau. « Pour les gens qui ne connaissent pas le parlement, j'étais physiquement un étage en bas du bureau du premier ministre. C'est quelque chose. »

Nous partageons aussi avec le député les cartes comportant les données de géolocalisation du pirate informatique.

C'est avec stupeur que le député Dubé constate la précision avec laquelle le pirate allemand a pu suivre ses moindres déplacements. Le député confirme que le 15 septembre 2017, il a pris un avion d'Ottawa à Toronto et qu'il s'est ensuite rendu à Hamilton pour une rencontre avec son parti.

Mais ce qui le secoue davantage, ce sont les activités d'ordre personnel que le pirate a pu repérer sans difficulté. Une fois de retour à Ottawa, après la rencontre du NPD, M. Dubé s'est rendu à nouveau à l'aéroport d'Ottawa, très tôt le 19 septembre, mais sans jamais quitter la ville, selon ce qu'avait noté le pirate. « J'ai été faire un lift à ma conjointe qui est arrivée d'un voyage d'affaires », confirme le député Dubé. « Ça, c'est un déplacement de nature personnelle. Ça fait peur. »

Lorsqu'on lui montre sur la carte un secteur où le pirate a souvent noté sa présence, le député Dubé reconnaît immédiatement l'endroit. « C'est l'emplacement direct de ma résidence secondaire ici à Ottawa », s'exclame M. Dubé. « C'est extrêmement troublant, voire dangereux. »

Avant cette expérience, le député n'avait jamais entendu parler du SS7. Selon lui, les fournisseurs canadiens de téléphonie mobile doivent agir.

« Leur responsabilité, c'est de s'assurer de la sécurité de leurs réseaux [...] Mais aussi, je pense que le gouvernement a une responsabilité de légiférer. En terme de technologie, on est très, très loin en arrière. » - Matthew Dubé

Réseaux canadiens faciles à pirater

Illustration : Radio-Canada/Sophie Leclerc

Luca Melette et Karsten Nohl, du Security Research Labs à Berlin, avaient déjà piraté des réseaux de télécommunication en Europe et aux États-Unis. Mais c'était leur première expérience de piratage de fournisseurs canadiens.

Le député Dubé a utilisé un téléphone branché au réseau de Rogers. À notre demande, des téléphones branchés au réseau de Bell ont aussi été testés. Les deux fournisseurs les plus importants au Canada ont été piratés avec succès par ces experts.

« Comparativement à d'autres réseaux en Europe et ailleurs dans le monde, les réseaux canadiens sont faciles à pirater. » – Karsten Nohl, ingénieur en informatique

« Les deux réseaux canadiens que nous avons testés ont mis en place seulement 10 % des mesures de sécurité dont ils ont besoin pour se protéger contre des attaques à partir du SS7, explique M. Nohl. Ils se protègent contre le type d'attaques qui étaient populaires il y a peut-être cinq ans. Mais le monde des pirates criminels a évolué. »

Selon M. Nohl, pour plusieurs réseaux du monde, y compris Rogers et Bell, la majeure partie du travail pour sécuriser leur système reste à faire.

Il précise que le téléphone utilisé - iPhone, Samsung ou autre - n'y est pour rien. « Le téléphone que vous utilisez n'a pas d'importance. Tout le monde est vulnérable de façon égale à des attaques à partir du SS7, tant que votre réseau mobile est vulnérable. »

De simples citoyens aussi victimes Il n'y a pas que la classe politique qui est vulnérable aux failles du SS7 dans le système de téléphonie mobile. Plus tôt cette année, de simples citoyens ont appris à la dure qu'ils pouvaient aussi en être victimes. En se levant un matin, des clients de la compagnie de téléphonie allemande O2-Telefonica ont découvert que leur compte en banque avait été vidé. Il s'agit du premier cas rapporté d'un crime exploitant les failles du système de téléphonie mondial. Pour commettre leur crime, les pirates informatiques ont procédé en deux étapes. Premièrement, ils ont envoyé des liens malicieux aux victimes pour accéder à leur compte en banque et pour obtenir leur numéro de téléphone mobile. Ensuite, en s'immisçant dans le SS7, les malfaiteurs ont pu rediriger les appels et les messages texte destinés aux téléphones des victimes vers leurs propres téléphones. Quand la banque a envoyé, par texto, les codes pour autoriser des transferts de fonds, ce sont les criminels qui les ont reçus.

Accès au SS7 à vendre

« C'est très inquiétant », affirme le cyberexpert Pierre Roberge, en réaction à notre démonstration du piratage des communications d'un député fédéral. M. Roberge a travaillé durant plus de 10 ans au Centre de la sécurité des télécommunications du Canada, l'agence fédérale d'espionnage électronique. Il est maintenant PDG d'Arcadia, une entreprise spécialisée en cyberdéfense.

« Même si nous sommes au courant - les techniques sont connues depuis très longtemps -, les voir en pratique d'une façon si simple, c'est inacceptable », dit-il.

Pour M. Roberge, il va de soi que des pays malveillants peuvent utiliser les brèches du SS7 pour faire de l'espionnage. « D'autres pays, d'autres entreprises peuvent influencer les politiques canadiennes en monitorant les communications des politiciens, qu'ils soient députés ou ministres, ainsi que d'influencer des tierces parties dans des négociations très importantes. L'impact commercial et politique va être très dommageable. »

Parlement canadien Photo : Reuters/Chris Wattie

Même des informations en apparence anodines peuvent servir aux malfaiteurs, explique-t-il. « Tout le monde a des petits secrets, des choses à cacher. [...] L'information privée peut être utilisée de façon malicieuse pour extorsion, donc forcer un politicien à agir d'une certaine manière. »

Cette situation est d'autant préoccupante que l'accès au SS7 coûte de moins en moins cher. M. Roberge a eu connaissance de pirates qui vendent bon marché l'accès au système international de téléphonie mobile.

« Le coût diminue pour l'accès au SS7. Le coût est dans les quelques milliers de dollars, sinon proche du 1000 $ pour réussir à faire l'attaque. On atteint un point où, économiquement, c'est trop facile d'accès et on commence à en subir les conséquences. » - Pierre Roberge, cyberexpert

De plus, certaines entreprises d'équipement d'espionnage vendent ouvertement sur Internet des systèmes d'interception des communications au moyen du SS7. Voici une publicité, en anglais, de l'une de ces entreprises.

Lorsque le SS7 a été mis en place dans les années 80, seule une poignée de fournisseurs y était branchée. Aujourd'hui, environ 800 fournisseurs de services téléphoniques et des centaines d'autres entreprises connexes ont accès au SS7 partout dans le monde, y compris dans des pays reconnus pour leur corruption.

« Ça donne des frissons dans le dos. On a perdu le contrôle totalement sur le système de téléphonie international. C'est épeurant. » - Pierre Roberge, cyberexpert

Mutisme des fournisseurs et du gouvernement

Rogers et Bell ont refusé de réagir au fait qu'on soit parvenu à infiltrer leurs réseaux. Ils refusent aussi de dire pourquoi ils n'informent pas leurs abonnés des risques possibles.

Dans les courriels qu'ils nous ont envoyés, ils s'en tiennent à des généralités. Rogers écrit que la protection de ses clients est prioritaire et qu'il adopte sans cesse les technologies les plus avancées en lien avec le SS7. De son côté, Bell écrit qu'il travaille avec des groupes internationaux et avec le gouvernement fédéral afin de gérer les risques de sécurité du SS7.

Pour Karsten Nohl, dont l'entreprise a piraté pour nous le téléphone du député Dubé, c'est du jamais-vu que des entreprises tolèrent, depuis aussi longtemps, des brèches de sécurité connues dans leur système. Déjà, en 2014, lors d'un congrès informatique, il avait démontré comment il est possible de rediriger les appels et les textos via le SS7. Six ans auparavant, en 2008, un de ses collègues avait révélé la possibilité de géolocaliser les téléphones en exploitant les brèches du système de téléphonie mobile.

C'est aussi le mutisme de la part des autorités responsables de protéger le gouvernement canadien contre des cyberattaques. Dans un courriel, le Centre de la sécurité des télécommunications (CST) reconnaît que les problèmes de sécurité du SS7 sont connus depuis une dizaine d'années et dit travailler activement avec l'industrie des télécommunications pour en atténuer les risques.

Le ministre de la Sécurité publique, Ralph Goodale, s'est refusé à tout commentaire en s'en remettant au CST.

Les Américains inquiets Le ton est tout autre chez nos voisins du Sud. Homeland Security, le département américain de la Sécurité intérieure, a dénoncé de façon virulente les failles du SS7 dans les réseaux de téléphonie mobile. Dans un rapport publié en 2017, le département est d'avis que le protocole SS7 est vulnérable à l'écoute électronique, à la géolocalisation, au déni de service et à la fraude, et peut être exploité par des criminels, des terroristes et des pays étrangers. Cela met en péril la « sécurité nationale, l'économie et la capacité du gouvernement fédéral à exécuter de manière fiable des fonctions nationales essentielles », ajoute le département américain de la Sécurité intérieure. Selon ce rapport, il existe des dizaines de milliers de points d'entrée au SS7 partout dans le monde, dont plusieurs sont contrôlés par des pays qui appuient le terrorisme ou l'espionnage.

Dilemme pour les consommateurs

Le député néo-démocrate Matthew Dubé Photo : Radio-Canada/Marc Robichaud

Rien n'existe sur le marché pour empêcher la géolocalisation d'un téléphone mobile par un malfaiteur qui aurait accès au SS7. Les moindres déplacements d'un abonné peuvent être suivis en temps réel.

En ce qui a trait aux appels et aux textos, les abonnés peuvent télécharger certaines applications, comme Signal ou WhatsApp, qui chiffrent le contenu des communications, mais ils doivent s'assurer que leurs interlocuteurs utilisent les mêmes applications pour que le cryptage se fasse. Un procédé qui peut être difficile à appliquer au quotidien.

Face à un système téléphonique vulnérable à l'espionnage et à la fraude, le député Matthew Dubé est confronté à tout un dilemme. « Malgré le sentiment que ça donne, je sais que dans ma vie personnelle et dans ma vie professionnelle, ça serait extrêmement difficile de fonctionner sans [téléphone mobile]. Donc, quelle est l'alternative? Je ne le sais pas et c'est ça qui est surtout épeurant. »

Brigitte Bureau journaliste, Sylvie Robillard réalisatrice, Melanie Julien chef de pupitre, Gaétan Pouliot journaliste, Mathieu St-Laurent développeur, Francis Lamontagne designer, Sophie Leclerc illustratrice