Harald Welte fait couler de l’octet cette semaine. Durant le week-end dernier, lors de la conférence « PH Neutre », il expliquait les évolutions du projet Osmocom Tetra, dont le but ultime est de pouvoir décoder les trames des réseaux radio d’urgence (police-pompiers-secours), lesquels utilisent les émetteurs-récepteurs UHF numériques Tetra réputés « inviolables, impossibles à spoofer, étanches aux écoutes non autorisées ». Inutile de préciser que l’aventure n’en est qu’à ses débuts, et qu’il n’est pas question encore d’écouter la maréchaussée « en direct »… Pour l’heure, Welte et ses collègues se contentent de recevoir et de synchroniser un récepteur avec un réseau afin d’en expédier le contenu vers un outil d’analyse tel que Wireshark. Les récepteurs utilisés sont, cela devient une habitude, des émetteurs-récepteurs à définition logicielle (SDR) USRP 1 et 2 (des codes python ont été rédigés pour ces deux SDR) ainsi que le tout nouveau Funcube, récepteur uniquement. Le Funcube, récepteur SDR VHF/UHF/SHF, est très différent des USRP : plus petit (sous la forme d’une grosse clef usb), plus simple d’utilisation (ce n’est qu’un récepteur I/Q intégrant un chipset d’échantillonnage sonore à 96kHz), il est essentiellement utilisé pour écouter les « downlink » des satellites de la banse 1200 MHz. Mais tout comme ses « grands frères », il est capable d’assurer la démodulation des signaux par simple fonction logicielle.
Une lecture attentive du site Osmocom indique qu’outre le développement d’une chaîne de « sniffing » spécialisée Tetra, des tentatives de spoofing sont également en cours d’étude. Les premières émissions d’une « porteuse pure », dénuée de toute modulation, ont été effectuées dans le courant de cette semaine.
Les réseaux policiers européens sont-ils déjà compromis ? Indiscutablement non. L’équipe Welte n’a fait qu’effleurer la question en parvenant à synchroniser un poste « client » dans le cadre d’un réseau à authentification « faible » (ce que l’on peut tout de même qualifier d’exploit technique). Les rares réseaux Tetra ayant laissé échapper des bribes de conversations (régie des transports Berlinois par exemple) n’étaient pas chiffrés, contrairement aux réseaux de police. Cette pénétration d’un réseau de mobiles est-il véritablement « quite shocking » comme l’affirment les chercheurs de de l’Osmocom ? Pas davantage. Des années durant, et en partie encore de nos jours, le réseau radio de la RATP, de la SNCF et de la plupart des régies de transport provinciales reposent sur des infrastructures analogiques non chiffrées… il n’y a rien de passionnant et de très secret que d’entendre un chauffeur de bus déclarer « je rentre à Levallois » ou d’entendre énumérer des numéros d’immatriculation entre « central » et « PS93 ».
Plus encore, bon nombre de services de police, de gendarmerie, de pompiers, utilisent encore des réseaux VHF classiques (parfois avec de brèves séquences d’embrouillage), et ce notamment dans les régions alpines, là où les aléas des transmissions radio empêchent un fonctionnement fiable du réseau Tetra. En terrain accidenté, il est effectivement assez courant que le poste central d’administration Tetra soit dans l’incapacité d’expédier sans accident des trames chargées de l’authentification, donc à l’enregistrement d’une station sur le réseau VHF. Un « talky-walky » qui se voit interdit de parole lorsqu’une équipe incendie se bat contre un feu en fond de vallée, ça n’est ni très sérieux, ni très rassurant. L’utilisation d’une station Tetra en altitude (hélicoptère par exemple), pose également quelques problèmes de « saturation de relais ». En d’autres termes, le hacking Tetra à l’aide d’un USRP n’est véritablement utile qu’en plaine.
Le véritable succès de l’osmocom, c’est d’être parvenu à modéliser, entièrement par logiciel, les bases d’un réseau d’urgence compatible Tetra. Cette action confirme également que les radios à définitions logicielles sont à l’analyse des réseaux sans fil de toute nature (Wifi, Bluetooth, GSM, Tetra, Wimax etc) ce que Wireshark est aux réseaux Ethernet.