stef MOT: Des spywares dans les cartes Sim ? (par Pirates Magazine)

dimanche 10 mai 2009

Des spywares dans les cartes Sim ? (par Pirates Magazine)

Des spywares dans les cartes Sim ? (par Pirates Magazine): "Une aiguille dans une botte de foin ?
Le dispositif d’espionnage étant mis en place, transportons sur le M3188 une carte USIM ayant préalablement été utilisée dans un téléphone plus récent. Des milliers d’octets vont s’enregistrer dans un fichier log, du simple fait de l’initialisation du mobile. Patientons au moins quelques minutes, puis arrêtons tout. Il va maintenant s’agir de repérer l’échange spontané de SMS entre la carte SIM et le réseau, en commençant l’analyse du fichier par la fin.
On devrait normalement trouver là un certain nombre de commandes dont les octets CLA et INS sont respectivement A0h et F2h. Il s’agit de commandes Status, que le mobile envoie à intervalles réguliers (de l’ordre de 2 mn) pour s’enquérir de l’état de la carte SIM, et auxquelles celle-ci répond à chaque fois par une bonne vingtaine d’octets. C’est donc un peu en amont qu’il faut chercher les commandes SIM Application Toolkit (voir spécification GSM 11.14) qui contiennent la clef du mystère : commandes en A0 12 (Fetch) lorsque le mobile vient prendre des ordres auprès de la carte, et commandes en A0 14 (Terminal Response) ou en A0 C2 (Envelope) quand le téléphone envoie des données à la SIM.
Dans le cas particulier de la carte USIM d’Orange qui nous a servi de cobaye, c’est une commande A0 12 00 00 88 qui ordonne au mobile d’envoyer un SMS, puisque son bloc de données (longueur 88h soit 136 octets) contient une commande proactive Send short message (code opération 13h). Cela étant, le découpage judicieux de cette suite de valeurs hexadécimales est riche d’enseignements. Dans le champ de données qui suit le libellé de l’instruction (D0 81 85 81 03 01 13 00 82 02 81 83 05 00 06), on isole ainsi successivement :

- L’en-tête du SMS où l’on retrouve, moyennant une classique permutation de quartets, le numéro du SMSC (+33689004000), le numéro du destinataire (20782), et un PID-DCS (00 F6) indiquant que le corps du message est codé en mode 8 bits :

07 91 33 86 09 40 00 F0
0B 6F 51 01 05 81 02 87 F2
00 F6 01 64

- Un groupe d’octets dont la signification semble « propriétaire », mais où l’on découvre, en ASCII, le mot « IME » (certainement pas par hasard, comme nous le verrons) :

02 70 00 00 5F 0D 00 00 00 00 49 4D 45 00
00 00 00 01 00

- Huit champs numérotés de 1 à 8, avec indication de longueur (structure TLV ou Tag, Length, Value).

Dans le bloc n°1, long de neuf octets, se trouve l’IMSI de la carte SIM, autrement dit son numéro de compte, réputé confidentiel (ici, xx yy zz masquent sa partie la plus personnelle) :

01 09
08 29 80 10 66 10 xx yy zz

Le bloc n°2 contient, sur dix octets (L = 0Ah) l’ICCID de la carte, autrement dit le numéro de série qui est imprimé dessus (quatre derniers octets masqués par nos soins) :

02 0A
98 33 10 65 64 00 aa bb cc dd

Dans les huit octets du bloc n°3, on lit l’IMEI du téléphone (Motorola) dans lequel se trouve la carte (6 derniers chiffres occultés) :

83 08
4A 84 38 06 a8 cb ed 0f

Le bloc n°4, pour sa part, révèle l’IMEI du précédent téléphone (Nokia) dans lequel la carte a été utilisée !

04 08
4A 39 00 17 a0 cb ed 0f

Le bloc n°5 contient le Terminal Profile du téléphone courant, autrement dit une liste de fonctionnalités qu’il supporte (bits à 1) ou non (bits à 0) :

85 14
0F 07 FF F7 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Les deux octets du bloc n°6 s’incrémentant lors de chaque tentative (réussie ou non) d’envoi d’un SMS, il s’agit manifestement d’un compteur, probablement destiné à maintenir la synchronisation entre la carte SIM et la plate-forme OTA avec laquelle elle dialogue :

06 02
00 0E

Les deux derniers champs, pour leur part, hébergent des données dont la signification reste encore à élucider :

07 02
20 01

08 06
01 01 00 01 03 00

Quelles conclusions tirer de cette analyse ? Tout d’abord que le SMS véhicule des données (ICCID, IMSI) que l’opérateur connaît déjà, par définition. Peut-être pour vérifier simplement leur cohérence, mais dans quel but ? Ou alors, le SMS serait-il destiné à un prestataire tiers, qui ne les connaît pas, et à qui on les divulgue malgré leur caractère confidentiel ? De même, l’opérateur dispose d’autres moyens pour aller lire l’IMEI du téléphone, duquel il peut normalement déduire le Terminal Profile pour peu qu’il dispose d’une base de données constructeurs à jour. Clairement, ces informations peuvent lui être utiles pour optimiser, avec un temps de réaction minimum, certains services étroitement liés aux caractéristiques techniques du mobile (par exemple le #123#, qui doit être adapté au « niveau USSD » du téléphone utilisé).
Cependant, à quoi bon mémoriser dans la SIM, puis retransmettre, l’IMEI du précédent téléphone utilisé ? Il pouvait très bien s’agir d’un appareil emprunté, brièvement essayé avant de décider de l’acheter ou non, et pas nécessairement volé ! A l’évidence, cette information est fort indiscrète, et ne présente pas d’utilité technique flagrante. Il est curieux de remarquer que c’est à peu près au moment où les autorités policières et judiciaires améliorent leurs moyens d’interception de SMS, que l’on loge dans de tels messages des données largement redondantes pour leur destinataire supposé. Curieuse coïncidence...

Remontons encore un peu dans notre fichier log, et nous découvrirons des commandes de la forme A0 14 00 00 LEN, par lesquelles le mobile fournit à la carte certaines des données qu’elle va incorporer dans le SMS :

A0 14 00 00 16 14
81 03 01 26 01 82 02 82 81 83 01 00 94 08 4A 84 38 06 a8 cb ed 0f

retourne l’IMEI du téléphone, en réponse à une commande Provide local information (code opératoire 26h), émise par la carte SIM avec un « qualifier » égal à 01h (IMEI) :

A0 12 00 00 0B 12
D0 09 81 03 01 26 01 82 02 81 82

Auparavant, une autre commande réclamait, du fait de son qualifier 00h (LOCI), des informations sur la localisation du mobile :

A0 12 00 00 0B 12
D0 09 81 03 01 26 00 82 02 81 82

Dans la réponse du téléphone, on voit ainsi le code MCC-MNC du réseau sur lequel est inscrit le mobile (ici 208-01 pour Orange France), la zone locale dans laquelle il se trouve (la la), et même l’identifiant de la cellule qui le dessert (ci ci) : de quoi le localiser à quelques kilomètres près !

A0 14 00 00 15 14
81 03 01 26 00 82 02 82 81 83 01 00 93 07 02 F8 10 la la ci ci

On ne trouve pourtant aucune trace évidente de ces informations, bien indiscrètes et déjà connues de l’opérateur, dans le SMS envoyé par la SIM. Elles servent donc vraisemblablement à celle-ci (ou plutôt à l’application qu’elle exécute en tâche de fond) pour décider si elle doit ou non envoyer un SMS. Elle pourra ainsi s’assurer que le mobile est convenablement inscrit sur un réseau (faute de quoi l’envoi échouerait), voire même réagir différemment si le mobile est en roaming à l’étranger.

Et le réseau répond !
Pour peu que l’on n’interrompe pas prématurément l’enregistrement du dialogue entre la carte et le mobile, on verra que le réseau répond au SMS qui lui est envoyé. C’est une commande « Envelope » (CLA-INS = A0 C2) qui sert à rapatrier le SMS reçu vers la SIM, sans enregistrement dans le dossier des messages reçus puisque PID-DCS (7F F6) indique qu’il doit être interprété au vol :

A0 C2 00 00 39 C2
D1 37 82 02 83 81 86
07 91 33 86 09 40 00 F0 8B 28 44 05 85 02 87 F2
7F F6 60 01 32 80 13 91 80 18 02 70 00 00 13 0D
00 00 00 00 49 4D 45 00 00 00 00 00 00 09 06 02
00 0E

Bien plus court, ce message qui fait penser à un accusé de réception reprend le bloc de données contenant le texte « IME », et surtout la valeur du compteur de tentatives d’envoi de SMS, assurant ainsi le maintien d’une certaine forme de synchronisation. Autant dire qu’il faudra prendre des précautions si l’on souhaite composer soi-même, avec des données librement choisies, un SMS que l’on voudrait essayer de soumettre au réseau, « juste pour voir »...

Manipuler hors ligne
Au lieu de s’introduire ainsi malicieusement dans le système, il est possible d’expérimenter sans être inscrit sur aucun réseau, et même sans insérer la carte dans un téléphone ! Un simple lecteur PC/SC suffit, en effet, pour soumettre des commandes à la SIM et pour examiner ce qu’elle répond. Cela pourrait se faire, selon une habitude bien établie, en écrivant un programme ZCBasic implémentant les commandes voulues, mais il est ici plus approprié de se servir d’un outil travaillant en langage script. Faute d’avoir accès au remarquable logiciel Smart Access qu’Atmel fournit à ses clients professionnels, le Script Commander qu’ACS livre avec le SDK de son lecteur ACR38 peut suffire.
Le texte de ce programme, très concis, n’est rien d’autre qu’une suite de commandes que l’on pourrait tout aussi bien enchaîner manuellement, respectant par-là même les temps d’attente prévus ici sous la forme de commandes A0 F2 ou Pause.

Reader 1
power_on
A0 10 00 00 04 7F FF FF FF
A0 12 00 00 67
A0 14 00 00 0C 81 03 01 25 00 82 02 82 81 83 01 00
A0 12 00 00 0F
A0 F2 00 00 1A
A0 14 00 00 10 81 03 01 03 00 82 02 82 81 83 01 00 84 02 01 78
A0 F2 00 00 1A
A0 F2 00 00 1A
A0 F2 00 00 1A
A0 F2 00 00 1A
A0 F2 00 00 1A
A0 12 00 00 0B
A0 14 00 00 15 81 03 01 26 00 82 02 82 81 83 01 00 93 07 02 F8 10 la la ci ci
A0 12 00 00 0B
A0 14 00 00 16 81 03 01 26 01 82 02 82 81 83 01 00 94 08 4A 84 38 06 a8 cb ed 0f
Pause
Pause
A0 12 00 00 88
power_off

Il ne restera plus qu’à étudier les réactions de la carte à des variantes de tel ou tel champ de données, et à simuler éventuellement la réception du SMS retourné par le réseau. Cela, de préférence, sur une carte périmée, afin de ne pas prendre le risque de l’invalider par un trop grand nombre de manœuvres hasardeuses !"

Aucun commentaire:

Enregistrer un commentaire

LOIS sur la liberté des prof MC et chercheurs

Une décision (83-165) du 20 janvier 1984:
« le Conseil constitutionnel a reconnu que l’indépendance des professeurs d’université était un principe fondamental reconnu par les lois de la République, donc avait une valeur constitutionnelle.
Il a étendu ce principe d’indépendance aux maîtres de conférences (CC, 94-355 DC du 10 janvier 1995).

Le Conseil d’Etat s’est inscrit dans cette analyse et a reconnu de la même manière ce principe d’indépendance en renvoyant à la décision du Conseil constitutionnel » [Jean-Marie Pontier, « liberté des arts, de la culture et de la recherche », du Dictionnaire des droits de l’homme (PUF, coll. « Quadrige Dicos Poche », 2008, p. 642)].

Ce point de droit est capital puisqu’il constitutionnalise la liberté d’expression en matière universitaire et scientifique en même temps qu’il fait reposer le contrôle de constitutionnalité sur les lois fondamentales de la République (définies notamment par la Déclaration des droits de l’homme et du citoyen de 1789).

PROCESSUS de la LOI

Un chercheur ou un fonctionnaire
qui veut déterminer l'illégalité d'une décision
d'un établissement public
peut commencer par aller sur
le site internet du Conseil d’État
(et portail des sites internet
des tribunaux administratifs
et cours administratives d’appel)
http://www.conseil-etat.fr

SEULE PEUT ÊTRE ATTAQUÉE UNE DÉCISION
pas de simples avis.
Ainsi il faut susciter une décision en adressant
une demande écrite par lettre recommandée
avec accusé réception au service compétent.
Si l'administration ne répond pas dans le délais de 2 mois,
elle est considéré avoir pris une décision implicite de rejet,
qui peut être attaquée devant un juge administratif.

DEVANT UN TRIBUNAL ADMINISTRATIF,
LE DÉLAI MOYEN
qui sépare le dépôt d’une requête
de son jugement est compris entre 7 mois et 2 ans selon le tribunal. Ce délai s’explique en partie par
le temps nécessaire aux échanges de mémoires (c’est-à-
dire les documents, nécessairement écrits, au moyen
desquels chaque partie au litige développe son argumentation et répond).
Process pour tous les litiges administratifs, sauf les contentieux énumérés dans les rubriques suivantes du tableau:
Tribunal Administratif (TA)->CAA (cours administrative d'appel)->Conseil d'état
http://www.conseil-etat.fr/ce/missio/index_mi_ju02.shtml

exemple d'un TA:
http://www.ta-lyon.juradm.fr/ta/lyon/index_ta_co.shtml

Palais des Juridictions administratives
184, rue Duguesclin
69433 Lyon Cedex 03
Téléphone : 04 78 14 10 10
Télécopie : 04 78 14 10 65
Courriel : greffe.ta-lyon@juradm.fr

exemple de conflit pour une direction de thèse
(qui date car décrets école doctorale déjà changés 2 fois depuis que Lang a été Ministre ;o):
http://www-durs.u-strasbg.fr/autourcharte.htm
X demande au Conseil d'Etat d'annuler pour excès de pouvoir la décision du 16 novembre 1999 par laquelle le président de l'université de Y a nommé, à sa place, Z directeur de thèse de A .

Geisser et l'application Décret no 82-451 du 28 mai 1982commissions administratives paritaires

CNRS, Geisser et fonctionnement des instances paritaires , cas du 29juin2009

Ref:

http://science21.blogs.courrierinternational.com/archive/2009/07/02/cnrs-geisser-et-fonctionnement-des-instances-paritaires.html

Le 2 juillet, un communiqué du SNCS-FSU à propos de la procédure disciplinaire lancée contre Vicent Geisser par la direction du CNRS (Centre National de la Recherche Scientifique) évoque des incidents survenus le 30 juin à l'occasion de la réunion de la Commission Administrative Paritaire (CAP). Comme le SNTRS-CGT juste après cette réunion, le SNCS met l'accent sur ce qui apparaît comme une mise en cause du principe de la parité par la direction et l'administration du CNRS. Mais à les examiner de près, il nous semble que ces communiqués permettent également de découvrir un deuxième problème plus grave sur le fond : celui de la disponibilité réelle des élus, qui semble s'être également manifesté au niveau du Conseil Scientifique (CS) du CNRS à l'occasion de l'examen d'un contrat d'objectifs aux enjeux très graves.

Le débat porte sur l'application de l'article 35 du Décret n^o 82-451 du 28 mai 1982 modifié relatif aux commissions administratives paritaires :

Art. 35. - Lorsque les commissions administratives paritaires siègent en formation restreinte, seuls les membres titulaires et, éventuellement, leurs suppléants représentant le grade auquel appartient le fonctionnaire intéressé et les membres titulaires ou suppléants représentant le grade immédiatement supérieur ainsi qu'un nombre égal de représentants de l'administration sont appelés à délibérer.

(fin de citation)

Mais la source de l'incident ne réside-t-elle pas dans les absences des élus, pour une réunion prévue bien à l'avance comme en témoignent les nombreux articles ayant circulé sur la convocation adressée par la direction du CNRS à Vincent Geisser ?

S'agissant des chargés de recherche (corps d'appartenance de Vicent Geisser), les réprésentants titulaires des personnels à la CAP compétente du CNRS sont sept : trois SNCS-FSU, deux SGEN-CFDT, un SNTRS-CGT et un SUD Recherche, avec autant de membres suppléants pour chaque syndicat. Ils sont tous chargés de recherche.

Pour les chargés de recherche de première classe (CR1), grade de Vincent Geisser, on trouve quatre titulaires CR1 (deux SGEN-CFDT, un SUD Recherche et un SNCS-FSU) avec le même nombre de suppléants appartenant aux mêmes organisations syndicales.

De son côté, l'administration dispose également de sept réprésentants (dont le directeur général), avec sept suppléants.

Une convocation sur un CR1 peut donc en l'espèce concerner quatre représentants des personnels (les quatre titulaires CR1) ou huit (les quatre titulaires CR1 plus les quatre suppléants CR1). Avec autant de réprésentants de l'administration.

Les convocations aux réunions des CAP, comme de toute autre instance statutaire du CNRS, comportent ordre de mission. Il n'existe donc en principe aucune raison valable à caractère professionnel, sauf des circonstances très exceptionnelles, qui puisse justifier une absence.

Dans une note mise en ligne le 2 juillet, le SNCS-FSU écrit :

http://www.sncs.fr/article.php3?id_article=1890

Coup d'État avorté au CNRS : SNCS-HEBDO 09 n°17 du 2 juillet 2009

La direction générale du CNRS a convoqué, le 29 juin 2009, un chargé de recherche, Vincent Geisser, devant la commission de discipline, sous prétexte de manquement grave à l’obligation de réserve. La commission a rejeté toutes les sanctions contre V. Geisser. Ce verdict met en échec la volonté de la direction générale de sanctionner ce chercheur par l’utilisation de tous les moyens à sa disposition.
Jean-Luc Mazet, secrétaire général du SNCS-FSU, Véronique Martin-Jézéquel et Fabien Jobard, élus de la CAP n°2

Pour la première fois au CNRS, un chercheur a été convoqué, par le directeur général, devant la commission de discipline sous l’accusation de manquement grave à l’obligation de réserve, obligation qui n’est définie dans aucun texte de loi.

Lundi matin 29 juin, au cours d’une réunion préalable à la saisine, la CAP n°2 (commission administrative paritaire des chargés de recherche) s’est réunie à parité (7 nommés, 7 élus), pour l’approbation de son règlement intérieur. L’obligation de parité des votants, demandée par les élus et refusée par le directeur général, n’étant pas inscrite au procès-verbal portant les modifications au règlement intérieur, les élus n’ont pas signé ce procès-verbal.

La CAP s’est ensuite réunie en formation disciplinaire pour statuer du cas de V. Geisser. Le directeur général a alors imposé la présence de 8 nommés face aux 5 élus des personnels (2 SNCS-FSU, 2 SGEN-CFDT, 1 SUD-Recherche-EPST), tous avec voix délibérative. Ce déséquilibre des voix a immédiatement conduit au refus de la demande de report de la commission de discipline, posée par l’avocat de la défense de V. Geisser.

Contactée, la DRH (déléguée aux ressources humaines) a confirmé l’exigence de maintenir huit nommés, interprétant à sa façon le décret de 1982 relatif aux commissions paritaires (1). En l’occurrence, ce refus de la parité est une révolution dans la jurisprudence de la fonction publique, dont l’effet pervers a été démontré dès le début des débats. C’est aussi une véritable absurdité, en ce qu’elle nie la raison d’être des commissions paritaires.

Devant ce qui ressemblait à un coup de force de l’administration, il était impossible de rester silencieux. Le SNCS-FSU, avec l’aide d’autres syndicats, est intervenu à tous les niveaux institutionnels, depuis l’administration du CNRS jusqu’à la ministre de l’Enseignement supérieur et de la Recherche. La réponse, venue du plus haut niveau, a exigé le rétablissement de la parité. Le tirage au sort des personnes votantes parmi les nommés, procédure proposée depuis le matin par les élus et déclarée impossible par le directeur général sur l’avis de la DRH, est alors devenu possible.

Lors du vote final, toutes les sanctions supérieures à l’avertissement ont été repoussées à une forte majorité. Sur l’avertissement (sanction la plus faible), les votes se sont partagés entre cinq « pour » et cinq « contre ». Ce résultat ne dégageant aucune majorité, la commission de discipline n’a finalement proposé aucune sanction (2). En tout état de cause, la décision finale revient au directeur général du CNRS. Le SNCS-FSU veillera à ce que le rejet de toute sanction par la commission de discipline soit respecté.

stef MOT

dimanche 10 mai 2009

Des spywares dans les cartes Sim ? (par Pirates Magazine)

Aucun commentaire:

Enregistrer un commentaire

contrat CNRS-ETAT 2009-2013/création 10 instituts avec 10 directeurs

Rechercher dans ce blog

Archives du blog

LOIS sur la liberté des prof MC et chercheurs

PROCESSUS de la LOI

Geisser et l'application Décret no 82-451 du 28 mai 1982commissions administratives paritaires

CNRS, Geisser et fonctionnement des instances paritaires , cas du 29juin2009

compteur

Membres

Libellés

Qui est le rédacteur de ce blog?

stef MOT

dimanche 10 mai 2009

Des spywares dans les cartes Sim ? (par Pirates Magazine)

Aucun commentaire:

Enregistrer un commentaire

S’abonner à

contrat CNRS-ETAT 2009-2013/création 10 instituts avec 10 directeurs

Rechercher dans ce blog

Archives du blog

LOIS sur la liberté des prof MC et chercheurs

PROCESSUS de la LOI

Geisser et l'application Décret no 82-451 du 28 mai 1982commissions administratives paritaires

CNRS, Geisser et fonctionnement des instances paritaires , cas du 29juin2009

compteur

Membres

Libellés

Qui est le rédacteur de ce blog?