Le fournisseur de télécommunications a-t-il besoin d'un accès physique à la carte SIM pour la cloner?
Dans de nombreuses dictatures, le clonage de la carte SIM est utilisé par la police (en collaboration avec l'opérateur de télécommunications) pour espionner les dissidents, les journalistes, etc. Certaines personnes disent que vous avez besoin de la clé d'authentification sur la carte SIM pour la cloner afin que l'accès physique à la carte soit une condition préalable au clonage. Cependant, si nous supposons que l'opérateur de télécommunications travaille pour la police politique, peuvent-ils concevoir la carte SIM de manière à pouvoir fonctionner sans clé d'authentification? Cela rendrait le processus de clonage de la carte SIM beaucoup plus facile et donc dangereux pour la société civile.
Non, les fournisseurs de télécommunications n'ont pas besoin d'un accès physique à la carte SIM.
Ils peuvent modifier le numéro attribué ou tout ID unique SIM, ils peuvent donc:
attribuer le numéro à toute nouvelle carte SIM et la désaffecter de l'ancienne (il s'agit en fait d'une procédure standard pour quiconque perd son téléphone/carte SIM)
cloner le numéro sur n'importe quelle carte SIM
Références - sites des opérateurs de téléphones portables:
- https://www.att.com/esupport/article.html#!/wireless/KM1081808
- https://support.t-mobile.com/thread/140087
- https://www.verizonwireless.com/support/4g-sim-card-faqs/
- https://forums.att.com/t5/Wireless-Account/Replace-a-lost-SIM-via-mail/td-p/487926
Articles tiers avec des explications plus détaillées:
Non seulement vous n'avez pas besoin d'un accès physique à la carte SIM, vous n'avez même pas besoin de la coopération du fournisseur de télécommunications. Il y a eu des cas où les clés de cryptage de la carte SIM ont été obtenues directement auprès de la société qui fabrique la carte SIM .
Non, l'opérateur de télécommunications a un contrôle illimité sur votre numéro. Il n'a pas besoin d'un accès physique pour faire ce qu'il veut.
Ceci est similaire à la plupart des services de communication basés sur Internet. Si vous avez besoin d'une protection contre le fournisseur de services (et les entités contraignant, soudoyant ou trompant le fournisseur de services) , vous devez utilisez chiffrement de bout en bout, et une implémentation open source (ou, au moins, une implémentation indépendante du fournisseur). Pour des options concrètes, voir Tableau de bord de messagerie EFF
Il convient de mentionner que les réseaux mobiles sont, en général, incroyablement précaires (du point de vue de la sécurité moderne). De nombreux opérateurs de télécommunications donneront volontiers à quiconque une nouvelle carte SIM liée à votre numéro de téléphone après un minimum de ingénierie sociale (par exemple, en prétendant que vous avez perdu votre ancienne carte SIM). En outre, les protocoles utilisés par les opérateurs de télécommunications sont criblés de failles de sécurité qui ne peuvent pas être corrigés. Cette insécurité n'est pas un accident - c'est intentionnel :
[Les concepteurs de normes] devaient respecter des contrôles stricts sur le type et la force du cryptage qu'ils pouvaient utiliser.
"Il était aussi solide que possible", a déclaré M. Brookson.
Votre hypothèse par défaut lors de l'utilisation d'un réseau téléphonique devrait être que tout ce que vous dites dessus est intercepté .
Détails techniques sur les cartes SIM
Il y a 3 éléments de données importants stockés sur une carte SIM: le [~ # ~] iccid [~ # ~] , le [~ # ~] imsi [~ # ~] et la clé d'authentification .
Le [~ # ~] iccid [~ # ~] est le plus proche d'une identité "impossible à cloner", car il est utilisé pour identifier la carte SIM physique carte. Cependant, ce n'est qu'un champ de données sans mécanisme cryptographique de support. Il est écrit sur la carte SIM dans un processus appelé "personnalisation", et, au moins techniquement, tout le monde avec un équipement d'écriture semble libre d'écrire ce qu'il veut là-bas.
Le [~ # ~] imsi [~ # ~] vous identifie sur le réseau. Il s'agit de l'identifiant le plus proche du "numéro de téléphone" (mais c'est pas un numéro de téléphone). L'IMSI est écrit sur la carte SIM, donc, encore une fois, tout le monde est libre de dire qu'il est qui il veut être.
La clé d'authentification semble être le seul champ à usage cryptographique. En théorie, il est impossible de le lire à partir de la carte SIM, même avec un accès physique. Malheureusement, il est également écrit pendant le processus de "personnalisation", et l'opérateur de télécommunications en conserve une copie dans le centre d'authentification , donc toute personne y ayant accès et un rédacteur de carte SIM pourraient le cloner.
Sources:
https://en.wikipedia.org/wiki/SIM_card#Data
https://en.wikipedia.org/wiki/International_mobile_subscriber_identity