Le chiffrement du réseau mobile 2G diminué délibéremment

Plusieurs chercheurs ont découvert que l’algorithme de chiffrement utilisé pour la connectivité GPRS des réseaux 2G avait été délibérément affaibli, ouvrant la voie au décryptage des communications. L’ETSI en charge de son élaboration se défausse sur les textes réglementaires qui imposaient à l’époque ces restrictions.

Des chercheurs de plusieurs universités françaises, allemandes et norvégiennes ont conclu que les algorithmes de chiffrement GEA-1 et GEA-2 utilisés dans les premiers réseaux de data mobile dans les années 1990 et 2000 ont été affaiblis, dont l’un dès sa conception. Ils avaient pour vocation de sécuriser le standard GPRS (General Packet Radio Service) basé sur la technologie 2G. Ce réseau continue à servir pour les systèmes de M2M ou comme solution de secours pour les data, les SMS et appels mobiles. La plupart des terminaux actuels sont compatibles avec le GPRS.

Les deux algorithmes ont pour objectif de sécuriser le transfert de données entre les téléphones et les stations de base et éviter l’interception des communications. Or dans leurs travaux, les experts ont constaté par exemple que GEA-1 ne chiffrait pas en 64 bits comme prévu mais en 40 bits. Avec un niveau de sécurité rabaissé, un réseau d’ordinateur peut par force brute plus facilement découvrir la clé et lire les flux. Pour Matthew Green, chercheur de l’université John Hopkins (qui n’a pas participé aux travaux) il s’agit ni plus ni moins d’une backdoor qui a été installée de manière délibérée.

Le contrôle des exportations mis en avant

Pour étayer cette théorie, les spécialistes ont fait de la rétroconception de GEA-1 et GEA-2. En recréant le premier, ils se sont aperçus que leur algorithme était plus sûr que la version initiale. Ecartant la notion de hasard, ils estiment que cet affaiblissement de la sécurité était voulu dès la conception de l’algorithme. « Concrètement en un million d’essais, nous ne nous sommes jamais approchés de l’instance amoindrie », indique l’article. Matthew Green rappelle aussi qu’à l’époque TLS n’était pas utilisé par la plupart des sites web et que les internautes comptaient sur ces techniques de chiffrement pour protéger leurs communications.

Mais d’où viennent ces algorithmes ? Ils ont été élaborés par l’ETSI (European Telecommunications Standards Institute) en 1998 par un groupe de travail dédié. L’organisme européen a été interrogé par nos confrères de Motherboard sur ce problème et a admis que GEA-1 contenait une faiblesse. Mais pour leur défense, il explique qu’elle avait été introduite pour respecter les règlements sur l’exportation qui ne prévoyaient pas de chiffrement plus fort. Parmi ces textes, il y a les décrets français 98-206 et 98-207 du 23 mars 1998 qui exemptent de contrôle à l’exportation des moyens de cryptologie dont « la recherche exhaustive de toutes les clés possibles ne nécessite pas plus de 2 puissance 40 essais avec un test simple ». A noter que pour GEA-2, les règles ont été assouplies au moment de sa conception, mais les chercheurs ont réussi à déchiffrer le trafic. Ils ont souligné que le cryptage « n’offre pas une sécurité 64 bits complètes ». Les chercheurs préconisent de s’appuyer sur l’algorithme GEA-3 et supérieurs plus robustes.