Un IMSI-catcher est un boîtier équipé d’antennes, utilisé à des fins de surveillance et d’interception de données mobiles. IMSI signifie International Mobile Subscriber Identity, soit identité internationale d’abonné mobile en français.
Qu’est-ce qu’un IMSI-catcher ?
L’appareil simule une fausse antenne relais pour attirer les connexions de portables environnants
en utilisant une faille dans le réseau GSM (2G) que l’on traîne depuis les années 90. En fait, le dispositif utilise la méthode d’attaque MITM (man-in-the-middle) : sur un réseau mobile, il se fait passer pour une antenne relais, une fois le smartphone connecté, le boîtier aspire toutes les données, du numéro de téléphone aux échanges de messagerie en passant par de nombreuses métadonnées.
Une escroquerie digne d’un film
C’est donc grâce à l’un de ces boîtiers qu’un groupe d’escrocs a mené une arnaque à grande échelle en région parisienne. Avec un IMSI-catcher fait maison, ce sont plus de 16 000 smartphones qui ont été ciblés. Le but de l’équipe : envoyer des SMS frauduleux de l’assurance maladie par exemple avec un lien piégé. Une fois cliquée, l’URL siphonne les données personnelles et bancaires de la victime.
Les policiers ont alors constaté la présence de plusieurs téléphones et d'une installation comprenant des antennes blanches. Une caisse a été trouvée dans le coffre avec un dispositif pouvant faire penser à une bombe. Les services de déminage ont été diligentés sur place 📸 2/2 pic.twitter.com/e8isfMMhMy
Annonce— Amaury Bucco (@AmauryBucco) December 30, 2022
Ce sont ainsi plus de 424 000 messages qui ont été envoyés par le groupe. Le 14 février dernier, la police a procédé à l’arrestation des arnaqueurs ainsi qu’à la saisie d’une large quantité de matériel (voitures, téléphones, PC…). Le plus terrible avec ce système c’est qu’il est utilisé localement. En se postant devant une CAF, un club sportif ou un supermarché, on peut cibler au mieux les SMS envoyés et mettre en confiance les victimes.
Quel cadre pour les boîtiers ?
Le cadre légal des IMSI-catcher est plutôt récent. Dans l’ensemble, il n’est pas autorisé d’utiliser l’un de ces boîtiers pour le commun des mortels, mais dans le cadre de la loi Renseignement post-attentats en 2015, leur usage a été autorisé pour faciliter le travail des forces de l’ordre. La question de l’éthique derrière cet usage par la force publique est un long débat. En 2013, l’Assemblée nationale proposait déjà de l’encadrer en respectant certaines limites.
“Sa mise en place ne saurait donc revêtir qu’un caractère très exceptionnel et […]devrait par ailleurs être soumise au contrôle continu d’une autorité extérieure, afin de prévenir tout abus”
Rapport parlementaire
Sachez qu’il est très difficile de se prémunir contre l’espionnage de données par un IMSI-catcher, en dehors des limites techniques de l’outil. Par exemple, le boîtier ne peut pas récupérer une information chiffrée, comme une conversation WhatsApp.
Des outils vous permettent malgré tout de savoir si vous êtes victime de cette technologie, à l’instar de l’application Cell Spy Catcher qui va tout simplement permettre d’authentifier une antenne relais de manière sûre.
En guise de rappel : ne cliquez jamais sur des liens envoyés par SMS.
