La nouvelle génération de réseau mobile qui promet des débits décuplés et devrait être un véritable " facilitateur " de la numérisation de la société, en autorisant le développement de nouveaux usages : réalité virtuelle, véhicule autonome et connecté, ville intelligente, etc. garantira-t-elle une protection optimale des données échangées ?
Les chercheurs du groupe Information Security ont soumis la future norme de communication mobile 5G à une analyse de sécurité complète. Leur conclusion: la protection des données est améliorée par rapport aux normes précédentes 3G et 4G. Cependant, les failles de sécurité sont toujours présentes.
Depuis la norme 3G le protocole AKA (Authentification and Key Agreement) garantit l’authentification entre le terminal et le réseau ainsi que la confidentialité de l’identité et de la localisation de l’utilisateur. Il est également partie prenante de la nouvelle norme 5G.
L’équipe a réalisé une analyse détaillée du protocole 5G-AKA à l’aide de l’outil de vérification Tamarin, l’un des plus efficaces pour l’analyse des protocoles de sécurité. Il identifie automatiquement les hypothèses de sécurité minimale requises pour atteindre les objectifs de sécurité définis par le 3GPP. "Cela a montré que la norme était insuffisante pour atteindre tous les objectifs de sécurité critiques du protocole 5G AKA", explique le scientifique et co-auteur, Ralf Sasse.
Si la faille dans le protocole AKA qui est exploité par les IMSI-catchers, ces valises qui se font passer pour de fausses antennes et permettent d’intercepter les conversations téléphoniques a été comblé, d’autres failles permettent toujours de localiser les téléphones. Dans ces attaques, le téléphone mobile n’envoie pas l’identité complète de l’utilisateur au dispositif de suivi, mais indique néanmoins la présence du téléphone à proximité immédiate. "Nous supposons que des dispositifs de suivi plus sophistiqués pourraient également être dangereux pour les utilisateurs de la 5G", ajoute Hirschi co-auteur de l’analyse.
Les scientifiques se sont donc mis en contact avec le 3GPP, responsable de la norme, pour apporter les améliorations qui garantiront une plus grande sécurité et ainsi éviter de nombreuses attaques informatiques.