Hier soir, je tombe sur un article qui explique que le chiffrement des communications GSM a été cassé [1]. Exploit qui nous vient du Chaos Communication Congress. Diable, et aucune réaction sur linuxfr ?
En regardant de plus près les articles sur le sujet, il y a un joyeux mélange entre publication de l'algorithme, cassage de l'algorithme (?), et cassage de la clé de chiffrement utilisée. On navigue dans un flou artistique avec des gens qui ne savent pas de quoi ils parlent...
En allant que le site de l'auteur de la performance [2], on découvre que la nouvelle, c'est plutôt la publication en open source d'un générateur de tables arc-en-ciel [3], et de tables arc-en-ciel, pour déchiffrer les communications.
La présentation [4], nous indique toutefois que le chiffrement en question n'est de toute manière plus fiable depuis quelques temps déjà, et que le but ici est de précipiter l'abandon de l'algorithme en question au profit d'un autre plus robuste...
N'étant pas un spécialiste du sujet, je laisse le soin aux "sachants" d'apporter corrections et/ou précisions...
[1] : http://www.futura-sciences.com/fr/news/t/technologie-1/d/le-(...)
[2] : http://www.cs.virginia.edu/~kn5f/
[3] : http://fr.wikipedia.org/wiki/Table_arc-en-ciel ou http://www.mieuxcoder.com/2008/01/02/rainbow-tables/
[4] : http://events.ccc.de/congress/2009/Fahrplan/attachments/1479(...)
Journal Le chiffrement du GSM cassé ?
31
déc.
2009
# Autre sujet
Posté par tfeserver tfe (site web personnel) . Évalué à 0.
Je profite du sujet sur les "protocoles" des portables pour à mon tour poser une petite question.
Est-ce envisageable que les operateurs profitent de ce changement de protocole pour envisager des ameliorations , telles que par exemple des sms a plus de 125 caracteres?
Apparemment GSM est plutot basé pour les connexions de type "voix", mais ne connaissant pas trop le sujet...
Merci d'avance.
[^] # Re: Autre sujet
Posté par windu.2b . Évalué à 1.
À ce sujet, j'ai remarqué que depuis que j'ai un téléphone sous Google Android, certains des SMS que j'envoie arrivent avec des @ intercalés entre chaque lettre... Je me demande s'il n'y aurait pas déjà eu un changement (encoding ?) qui n'a pas encore été pris en compte par tous les téléphones.
[^] # Re: Autre sujet
Posté par Frédéric BECK . Évalué à 1.
En fait, il s'agit d'un problème connu et celui-ci devrait être corrigé dans la version 2.1 (Eclair) :
http://code.google.com/p/android/issues/detail?id=2719
[^] # Re: Autre sujet
Posté par Aissen . Évalué à 2.
http://www.frandroid.com/3199/un-bug-android-et-sfr-empoche-(...)
À noter que d’expérience, les téléphones Nokia n’ont pas le problème et sont en général très bon dans leur support des SMS.
[^] # Re: Autre sujet
Posté par Raoul Hecky (site web personnel) . Évalué à 1.
[^] # Re: Autre sujet
Posté par pma . Évalué à 6.
Si des améliorations sont faites, se sera plutôt dans les normes plus récentes que le GSM (= 1G et protocole maintenant ancien). Pour les SMS, il faut plutôt se demander pourquoi on utilise pas plus le mail? (les opérateurs ont une idée?) Les téléphones savent le gérer, c'est compatible avec les ordinateurs classiques, c'est multimédia,... (PS: le mail aussi est ancien mais déjà plus complet; le XMPP est récent lui: quel opérateur me propose un forfait XMPP complet plutôt que MSN?)
[^] # Re: Autre sujet
Posté par Florent Fourcot . Évalué à 10.
[^] # Re: Autre sujet
Posté par Croconux . Évalué à 4.
D'autant qu'en plus ça ne leur a rien coûté à développer : Le protocole SMS était à l'origine un système interne pour tester la ligne. Un beau jour ils se sont rendu compte qu'ils avaient en stock un truc rigolo, déjà prêt, ne coûtant quasiment rien en débit et pouvant se marketer comme "tendance". Et bingo on nous vends ça plus chers que de la voix.
[^] # Re: Autre sujet
Posté par gaaaaaAab . Évalué à 0.
heu ... non. Le protocole SMS sert à pleins d'autres trucs que d'échanger des messages de type texte.
Par contre, possible que ça devienne vrai si on transforme la phrase en :
les SMS au format texte était à l'origine un système interne pour tester la ligne
mais il faudrait des gens dans le secteur depuis plus longtemps que moi pour confirmer.
[^] # Re: Autre sujet
Posté par Zenitram (site web personnel) . Évalué à 4.
Faut arrêter de dire des bêtises quand on ne connait pas.
Le protocole SMS était à l'origine un système interne pour tester la ligne
Oui, avec ses limitations, comme par exemple le nombre de SMS transmetables et la QoS. Les SMS ont fait beaucoup peurs aux gestionnaires des réseaux, car leur nombre était plus important que le tuyau, tuyau utilisé pour le "plan" de service, c'est à dire la gestion des communications voix.
déjà prêt,
Transmettre des SMS de service était prêt, gérer l'afflux de SMS, faire de la QoS de SMS, de la gestion de saturation, du stockage de SMS tant que le destinataire est offline, n'était pas du tout prêt.
Et bingo on nous vends ça plus chers que de la voix.
Un SMS est moins cher qu'une minute de voix, est stocké tout ça... Et ensuite, pourquoi alors ne pas appeler à la place si tu es sûr de toi?
Faut arrêter les ragots sur les SMS : ça a un cout, c'est un service non prévu au départ (dans sa volumétrie), et il a fallu adapter le réseau pour (virer les SMS du plan de service, car celui-ci n'était pas sensé être saturable avant, et c'était pas facile, prendre des serveurs).
Oui, le SMS est vendu assez cher par rapport à son coût, mais non, son coût n'est pas nul. Je ne connais pas les chiffres précis, mais la marge en % des SMS est sans doute moindre que la marge d'Apple sur les iPhone et iPod, bizarrement personne ne conteste la marge d'Apple, au contraire tout le monde se jette dessus...
[^] # Re: Autre sujet
Posté par vladislav askiparek . Évalué à 4.
Ça c'est pas encore fait, tu pourras le constater ce soir.
[^] # Re: Autre sujet
Posté par Zenitram (site web personnel) . Évalué à 6.
bon courage d'ailleurs à mes ex-collègues pour la nuit de toutes les peurs!
[^] # Re: Autre sujet
Posté par Mes Zigues . Évalué à 0.
[^] # Re: Autre sujet
Posté par ✅ ffx . Évalué à 7.
1G c'est (c'était) RadioCom 2000
[^] # Re: Autre sujet
Posté par pma . Évalué à 2.
[^] # Re: Autre sujet
Posté par Stibb . Évalué à 2.
PS : sur mon iphone, je ne peux mettre le mode push car il va maintenir une communication edge constament avec un server, ce qui va pomper la batterie. Serait bcp plus malin d'utiliser la meme techno que le SMS pour être notifier de l'arrivée d'une notification push et a ce moment là ouvrir un canal 2G.
Pour la 3G je sais qu'il y a moyen que la radio endorme le processeur mais je doute que ça soit activement utilisé (ou en tout cas ce n'est pas efficace).
[^] # Re: Autre sujet
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
[^] # Re: Autre sujet
Posté par Grunt . Évalué à 7.
Oui, les opérateurs ont une folle envie de te faire économiser le coût d'un SMS quand tu as quelque chose de long à écrire. Je les entends déjà rugir d'impatience à l'idée de réduire leur marge colossale sur les SMS.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Autre sujet
Posté par inico (site web personnel) . Évalué à 3.
C'est juste une fonction qui n'a pas été annoncé (et qui semble être mal implémenté) mais mes nokia savent très bien en envoyer et en recevoir :)
http://en.wikipedia.org/wiki/Concatenated_SMS
[^] # Re: Autre sujet
Posté par B16F4RV4RD1N . Évalué à 4.
On n'arrête pas le progrès !
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Autre sujet
Posté par Arthur Accroc . Évalué à 2.
La taille maximale est sans commune mesure avec celle des SMS et ça peut être moins cher que deux SMS (c’est le cas avec mon abonnement ; évidemment, ceux qui ont un forfait avec SMS illimités ont intérêt à en rester aux SMS concaténés).
Et puis au niveau des prérequis matériels, même mon téléphone vieux de 5 ans les supporte…
« Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
[^] # Re: Autre sujet
Posté par gaaaaaAab . Évalué à 6.
en fait, il y a plusieurs classes de SMS. Parmi les SMS affichables, il y en a deux sortes, ceux interprétés par le mobile qui s'affiche une fois et ne sont pas stockés, et ceux à destination de la carte SIM qui peut en stocker un certain nombre (défini au moment de la personnalisation de la carte). Vu le format du système de fichier GSM, le maximum théorique est de 255 SMS. Les anciennes cartes à puce ne supportent souvent pas le stockage de plus de 10 SMS (parce que ça prend de la place et les opérateurs veulent réduire le coup des cartes SIM en payant des composants de moindre capacité, donc moins chers).
Pour les SMS concaténés, il y a aussi une limitation au niveau de la carte. Les différents fragments sont stockés dans un tampon qui fait n * 133 (140 ou 160 en fait, avec les en-tête, la flemme de chercher), mais n vaut rarement 255 (aussi un paramètre de personnalisation).
Pour pallier les limitations des cartes SIM là dessus, les téléphones modernes permettent aussi de gérer les SMS reçus et envoyés dans la mémoire du téléphone. Avantage : on peut en stocker pleins. Inconvénient, quand on change la SIM de tél, on ne transporte pas l'historique.
Pour conclure, c'est globalement le gros bins, parce que le nombre max de fragments d'un SMS concaténé dépend du modèle de la carte (et il y a une tripotée de modèle et chaque modèle est décliné suivant une tripotée de personnalisation) et des capacités du tél.
Je comprends du coup que les opérateurs ne communiquent pas trop là dessus, parce qu'ils ne peuvent pas garantir un fonctionnement homogène pour tous leurs abonnés.
[^] # Re: Autre sujet
Posté par gaaaaaAab . Évalué à 1.
[^] # Re: Autre sujet
Posté par teoB . Évalué à 5.
SMS ce n'est pas pour Short Message Service ?
[^] # Re: Autre sujet
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
[^] # Re: Autre sujet
Posté par Olivier Jeannet . Évalué à 2.
# Disons que maintenant il y a tout
Posté par Florent Fourcot . Évalué à 10.
Donc oui ce chiffrement peut-être considéré comme mort. D'ailleurs la réaction de la GSM association est limpide, ils se défendent par un « théoriquement possible mais irréalisable en pratique ». Quand on commence à dire des bêtises pareilles, c'est l'acte de décès d'un protocole. La pratique est désormais à portée pour des gens motivés, et probablement pour tous dans quelques mois.
Je ne sais pas trop comment ils vont s'en sortir, vu que le A5/3 est tout aussi faible, il va falloir qu'ils trouvent un plan B rapidement.
[^] # Re: Disons que maintenant il y a tout
Posté par __o . Évalué à 1.
[^] # Re: Disons que maintenant il y a tout
Posté par Victor STINNER (site web personnel) . Évalué à 6.
http://fr.wikipedia.org/wiki/KASUMI
http://fr.wikipedia.org/wiki/MISTY1
Copier/coller Wikipédia :
Une attaque de type rectangle sur les huit tours de KASUMI a été proposée en 2005 par Eli Biham, Orr Dunkelman et Nathan Keller. Elle nécessite 2^54.6 paires de clair/chiffré et a une complexité temporelle de 2^76.1 chiffrements KASUMI. Malgré sa complexité élevée qui la rend encore inaccessible avec les moyens actuels, cette attaque théorique montre que KASUMI est un chiffrement vulnérable qui met en péril à terme la sécurité des communications 3GPP.
--
Le GSM utilise l'algo A5/1.
http://en.wikipedia.org/wiki/A5/1
Copier/coller Wikipédia :
[In 2000], Eli Biham and Orr Dunkelman also published an attack on A5/1 with a total work complexity of 2^39.91 A5/1 clockings given 2^20.8 bits of known plaintext. The attack requires 32 GB of data storage after a precomputation stage of 2^38.
2^38 et 2^76,1 ont quelques ordres de grandeurs de différence. Mais j'ai pas bien compris si on peut comparer ces deux nombres (est-ce que ça désigne la même chose ?).
Enfin, le chiffrement UMTS semble costaux que celui du GSM.
[^] # Re: Disons que maintenant il y a tout
Posté par Stibb . Évalué à -1.
[^] # Re: Disons que maintenant il y a tout
Posté par Olivier Jeannet . Évalué à 2.
Les téléphones mobiles avant le GSM aux E-U n'étaient pas chiffrés (et c'était de l'analogique), on pouvait les écouter avec des "scanners" (récepteurs radio à large bande). Tout comme les premiers téléphones domestiques sans fil avant le DECT, on pouvait même prendre la ligne de son voisin parfois, certains ont eu de mauvaises surprises sur leurs factures (début des années 90).
# Demi-mesure
Posté par vladislav askiparek . Évalué à 5.
Dans ce reportage, ils avaient appuyé cela en bricolant une antenne au bon format et écouté quelques communications aux abords d'une station de transmission.
Comme ça date quelque peu, est-ce que c'est toujours le cas? Parce que si c'est oui, ça ne vaut peut-être pas la peine de trop se casser la tête d'autant que du côté des communications via des téléphones "fixes sans fil", il n'y a aucune protection ni chiffrement.
Et puis quand on voit certaines personnes hurler dans leur portable où qu'elles soient, est-ce qu'une quelconque protection de la vie privée est réellement nécessaire?
[^] # Re: Demi-mesure
Posté par Aissen . Évalué à 3.
Les réseaux cellulaires sont avant tout terrestres.
[^] # Re: Demi-mesure
Posté par windu.2b . Évalué à 5.
Oui, mais comme ces personnes ont aussi le mauvais goût de ne pas mettre le haut-parleur, tu n'assistes malgré toi qu'à la moitié de la discussion !
[^] # Re: Demi-mesure
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Demi-mesure
Posté par psychoslave__ (site web personnel) . Évalué à -6.
Quel est le risque ici, sérieusement ?
Qui peut vouloir cracker des conversations téléphoniques ?
Pour le pékin moyen, sa vie intéressera sans doute personne. Le voisin cracker connaîtra ses histoires de fesses secrètes, wooo ! Le pire risque que je vois dans ce cas, c'est la récupération du numéro de carte de crédit quand madame michu achète sa moumoute vibrante sur M6 boutique par téléphone. Franchement pour un cracker c'est pas très rentable quand il peu avec beaucoup moins de temps et d'efforts faire son petit site de phishing qui lui en apportera des milliers.
Pour la personnalité publique qui à une image à tenir, où quelqu'un qui à des informations confidentiels à passer, c'est déjà plus problématique. Dans ce cas le mieux c'est encore de ne faire transiter aucune information sensible par un canal aussi peu fiable que le téléphone.
Enfin je vois le cas du "distendent chinois", qui à intérêt à faire preuve d'encore plus de vigilance si il ne veut pas que lui et tout son réseau de nobles résistants se fasse trucider la gueule. Bon je donne l'exemple du "gentil" résistant, mais le criminel qui veut pas que son réseau de trafic de drogue se fasse démanteler agira avec les mêmes précautions.
Bref tout ça pour dire que le téléphone à jamais été un canal très fiable du point de vue de la confidentialité, et que les portables sont d'encore plus grosses passoires pour la vie privé. Si on garde ce fait en tête et qu'on use de ces outils en connaissance de cause, cette annonce de crackage n'a pas, à mon humble avis, de quoi effrayer grand monde.
[^] # Re: Demi-mesure
Posté par ckyl . Évalué à 9.
Dans la vraie vie il n'y a pas que des informations à 3 milliards et des informations dont tout le monde se fout. Si on savait déjà que le GSM n'était pas fiable, le problème c'est que ca risque de devenir suffisamment abordable financièrement et techniquement pour que n'importe qui parte à la pèche aux infos qui l'intéresse. Ça peut aller du journaliste people, à ton voisin en passant par la petite boite qui aimerait bien savoir le chiffre qu'à mis son concurrent sur un appel d'offre. Il existe d'autres moyens de récupérer ces informations et tout et tout; mais le problème il est là si tu n'arrives pas à le voir.
[^] # Re: Demi-mesure
Posté par Gniarf . Évalué à 1.
enfin, effectivement, cette annonce de crackage du GSM n'a pas, à mon humble avis, de quoi effrayer grand monde en France : il n'est pas activé par les opérateurs, histoire de faciliter les écoutes (par les gens qui ont le droit, hein, toujours). donc en fait y'a rien à cracker :)
[^] # Re: Demi-mesure
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Demi-mesure
Posté par Grunt . Évalué à 3.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Demi-mesure
Posté par lepoulpe . Évalué à 4.
Mais les écoutes ne se font pas à ce niveau là (il n'y a pas un type avec une petite antenne qui suit chaque personnes sur écoute !!).
Chaque opérateur en France est effectivement tenu de proposer aux autorités des moyens d'écoute sur son réseau sous peine de ne pas être autorisé à lancer son service.
[^] # Re: Demi-mesure
Posté par suJeSelS . Évalué à 1.
# Écoute GSM
Posté par téthis . Évalué à 9.
Je ne sais pas si ça a changé depuis mais les communications par défaut n'étaient pas chiffrées. Seules quelques une l'étaient pour des « lignes » particulières. Ou si toutes étaient chiffrées alors il y avait une faille aussi grosse que le vaisseau amiral de Dark Vador dans le protocole.
Donc, est-ce que cette nouvelle affecte tous les utilisateurs ou est-ce que cela concerne qu'une partie des communications qui vont devoir (si ce n'était pas déjà fait) vers des canaux de communication plus robustes (soit une nouvelle pas si intéressante que ça) ?
The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein
[^] # Re: Écoute GSM
Posté par M . Évalué à 6.
# SMS VS EMAIL ...
Posté par TNB . Évalué à -1.
@ Zenitam: les emails aussi ont un coût non nul... C pourquoi il y a différents types de services mails: par le fournisseur qui se rémunère sur le forfait internet (historique), par un service payant (marginal) ou par un service gratuit, rémunéré par publicité (principal).
En y réfléchissant (et je ne suis sûrement pas un specialiste en la matière!!!) c'est vrai que les SMS fournissent un service bien limité par rapport aux emails, et en plus, payant!!!
Mais évidemment on peut penser qu'avec la généralisation de l'internet mobile, les SMS vont êtres remplacés peu à peu par les EMAIL. quoique.
1) les SMS C est du push alors que les emails C du PULL (ok, c facile à implémenter comme changement)
2) et surtout: les SMS sont destinés à une personne en particulier, tandis que les emails sont destinés à une boite mail en particulier. C vrai qu'on a pleins de boites mails mais un seul numéro de TEL. Ca fait 2 types d'adresses différentes et donc on peut choisir quoi on distribue à qui.
3) les SMS du fait qu'ils sont limités en taille et uniquement texte, sont plus légers à lire, moins volumineux que les mails, et en général, plus personnels que professionnels.
CA en fait un paquet de raisons, pour que les DEUX cohabitent!!! ou alors, il faut implémenter des fonctionnalités similaires par internet (genre twitter mais appliqué aux SMS)
[^] # Re: SMS VS EMAIL ...
Posté par TNB . Évalué à 0.
1) c vrai que email c pull, en général, mais justement BB a implémenté ça en pull !!!
2) on peut n'avoir que 2 boites mails, pro et perso, de même on peut avoir 2 nums de TEL, un pro et un perso, et cela avec un seul ou deux tel (une carte SIM par num de TEL je crois ;-D )
3) il y a maintenant la possibilité de MMS, et autres........
Tout ça pour dire, que ce débat, est très intéressant !!!
[^] # Re: SMS VS EMAIL ...
Posté par barmic . Évalué à 3.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: SMS VS EMAIL ...
Posté par kowalsky . Évalué à 10.
===> [ ]
[^] # Re: SMS VS EMAIL ...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
C'est surtout que c'est pourrave les SMS !
Très limité en taille (je rappelle que le codage du japonais prend pas mal de place…) tu ne peux pas embarquer d'images (t'as au moins 10 émoticones par message reçu…)
J'ai bien une ou deux personnes autour de moi qui envoient des SMS en disant « il parait que c'est moins cher » mais bon…
En plus comme tu passes ta vie sur internet avec ton téléphone, l'email est au final plus pratique (et dans le « forfait »)…
[^] # Re: SMS VS EMAIL ...
Posté par Sébastien B. . Évalué à 9.
[^] # Re: SMS VS EMAIL ...
Posté par Maclag . Évalué à 2.
Et la réponse sera très probablement une cohabitation des deux.
Mais pour ma part, je pense qu'on peut avoir un "SMS-like" sur ordinateurs, hors du réseau de l'opérateur. Après tout, on a bien une tripotée de protocoles ouverts, il doit bien en avoir un assez léger dans le tas.
Un autre truc c'est qu'à l'heure ou on nous vante les futurs bienfaits des comm vidéo, la télé sur le téléphone etc., ça me parait un peu hypocrite de dire que le SMS ne peut être remplacé par le mail parce que ce dernier est trop lourd!
Par contre, je ne percute pas bien ton argument sur n° de tél vs adresse e-mail. Dans les deux cas, on vise bien un destinataire, la seule différence que je vois c'est que pour le mail, il peut être non identifié (admin@truc.fr, service-ventes@truc.fr, etc.). Mais on peut très bien avoir plusieurs numéros de tél associés à un seul téléphone. C'est juste une question de coût et de volonté...
[^] # Re: SMS VS EMAIL ...
Posté par Grunt . Évalué à 2.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: SMS VS EMAIL ...
Posté par Aissen . Évalué à 2.
http://android-france.fr/2009/12/30/hinky-lanti-spam-sms-dis(...)
http://android.smartphonefrance.info/actu.asp?ID=519
http://securiteoff.blogspot.com/2009/12/un-antispam-pour-sma(...)
Ça s’appelle Hinky :-)
[^] # Re: SMS VS EMAIL ...
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 2.
(AU/KDDI est l'un des 3 opérateurs majeurs au Japon, et CMAIL est le petit nom donné au SMS chez cet opérateur)
À titre indicatif, 3 yen par message c'est un peu moins de 3 centimes d'euro.
[^] # Re: SMS VS EMAIL ...
Posté par _alex . Évalué à 2.
http://events.ccc.de/congress/2009/Fahrplan/events/3507.en.h(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.