Rappelons brièvement qu'OsmocomBB vise à libérer la puce GSM dédiée qui est incluse dans nos téléphones. À l'heure actuelle, cette puce spécifique fonctionne toujours avec un micrologiciel propriétaire et dans des conditions de sécurité déplorables : « Ils font souvent tourner l'ensemble du code en mode superviseur, sans aucune protection logicielle. Il n'y a pas de pages non exécutables, il n'y a pas de protection de la pile, etc. L'interface utilisateur et la pile protocolaire tournent dans un même espace d'adressage sans séparation des privilèges ».
Harald Welte dirige l'équipe de développement qui a pour ambition de créer un micrologiciel alternatif sous licence GPL, afin de mettre fin à cette situation. Vous trouverez donc l'entretien dans la suite de la dépêche.
Pourquoi ce projet ?
Patrick_g : Selon le site du projet OsmocomBB le niveau de sécurité des GSM est très préoccupant. Est-ce que vous pouvez décrire en quoi cela devrait nous inquiéter ?
Harald Welte : Personne ne se connecte à Internet sans un pare-feu et/ou d'autres mesures de sécurité. Pourtant, tout le monde se connecte au réseau GSM sans aucune mesure de sécurité. Même sans vulnérabilité spécifique cela devrait déclencher un signal d'alarme chez tout responsable de la sécurité informatique.
Quelques exemples plus pratiques :
- Toute personne affirmant être l'opérateur réseau, sans aucune forme d'authentification, peut demander à votre téléphone d'envoyer sa position GPS actuelle. L'utilisateur n'est pas informé et il ne peut pas désactiver cette fonction (qui se nomme Radio Resource Location Protocol).
- Toute personne affirmant être l'opérateur réseau, sans aucune forme d'authentification, peut garder un canal de transmission de données ouvert en permanence pour transformer votre téléphone en balise de localisation.
- L'opérateur peut modifier le contenu de votre carte SIM et, dans bien des cas, il peut également faire des mises à jour de micrologiciel à distance.
Patrick_g : Le projet OscomBB est-il juste un prototype (proof of concept) en vue de faire des recherches et des expérimentations ou bien prévoyez-vous vraiment de le déployer sur les téléphones des utilisateurs ?
Harald Welte : On ne sait jamais. L'implémentation côté réseau du GSM, le projet OpenBSC, a démarré purement en vue de faire des recherches et, maintenant, c'est utilisé pour la première fois dans des installation commerciales professionnelles.
En ce moment, OsmocomBB est un projet de recherche mais j'espère qu'au moins les utilisateurs préoccupés au sujet de leur sécurité ou que les libristes enthousiastes seront à même de l'utiliser un jour.
Je ne suis pas vraiment intéressé par les utilisateurs ordinaires.
Patrick_g : Sur le site LWN il y a eu un commentaire intéressant : « À quoi tout ça va servir ? Vous voulez devenir des opérateurs réseau ou quoi ? Si ce n'est pas le cas, alors vous devrez de toute façon faire confiance à des mégaoctets de code s'exécutant sur un "réseau public non sécurisé" donc autant traiter tout ce code GSM de la même façon que le corps humain traite le contenu de son tube digestif : comme quelque chose envers lequel vous n'avez aucune confiance et qui ne vous appartient pas. Oui, c'est à l'intérieur du téléphone que vous avez acheté, mais cela n'en fait pas partie. C'est plutôt une partie du réseau GSM et donc vous ne pouvez pas lui accorder votre confiance ».
Que pensez-vous de cette remarque ?
Harald Welte : Le corps humain possède des senseurs sophistiqués pour déterminer la nature du contenu de son tube digestif. Si vous avalez un truc qui n'est pas digérable, vous allez le savoir très vite.
En outre, la sécurité des nœuds finaux (les téléphones) est très importante _spécialement_ dans un réseau qui n'est pas de confiance. Comment expliquez vous l'attention qui est portée aux corrections de sécurité sur votre ordinateur relié à un Internet hostile ?
Un projet pour qui ?
Patrick_g : Lorsque le projet sera terminé sera-t-il facile, pour un utilisateur, de flasher le chipset GSM de son téléphone pour installer OsmocomBB ?
Harald Welte : Ce sera très facile du moment que vous aurez le câble qui va bien (et qui est disponible pour moins de 8 euros).
Patrick_g : Y-a-t-il un risque de rendre le téléphone inutilisable ?
Harald Welte : Oui bien entendu. Mais nous travaillons avec des téléphones qui coûtent moins de 20 euros (neufs !) donc le danger n'est pas effrayant. En outre, à l'heure actuelle nous ne flashons même pas les téléphones, nous nous contentons de mettre le code en mémoire vive et de l'exécuter. Cela signifie que si vous éteignez votre téléphone et que vous le rallumez, alors vous aurez toujours le micrologiciel habituel.
Patrick_g : Pour le moment le code GSM libre fonctionne uniquement en mode réception. Quels seront les problèmes légaux qui se poseront quand il deviendra possible d'activer le transmetteur ?
Harald Welte : La situation dépend toujours de la juridiction en question. Utiliser un transmetteur dans une bande radio soumise à licence est quelque chose qui exige une licence de test de l'autorité de régulation. J'ai une licence de ce type pour les développements d'OpenBSC.
Patrick_g : La page qui explique les objectifs du projet OsmocomBB indique « Les seules compagnies qui ont accès au code source du micrologiciel du baseband chipset n'ont aucun intérêt à améliorer la situation ». Comment pouvez-vous changer ça ?
Harald Welte : En faisant plus de recherches sur la sécurité de la puce GSM et en démontrant les possibilités qu'apporte une pile GSM libre.
Des exploits affectant la pile GSM actuelle seraient également un bon moyen de leur montrer le problème.
Avec des outils comme OpenBTS et OpenBSC nous avons maintenant les fondations qui vont permettre à de plus en plus de gens de faire ces recherches.
Patrick_g : Je prend pour acquis que les compagnies ne se préoccupent pas de la liberté des utilisateurs. Pensez-vous que créer une pile GSM gratuite sera suffisant pour changer la situation des fabricants de téléphone ?
Harald Welte : Non je ne pense pas. Les fabricants de téléphone typiquement ont très peu de compétences quand il s'agit de la pile réseau et du protocole GSM, particulièrement en ce qui concerne les détails de bas niveau.
Ils achètent juste un paquet global comprenant le chipset et le logiciel venant du fabricant du chipset et ils se contentent ensuite de modifier la partie interface utilisateur.
Patrick_g : Y-a-t-il des fabricants de téléphone ou des fabricants de chipset GSM qui sont déjà intéressés par ce projet ou bien est-ce trop tôt ?
Harald Welte : Je pense que c'est bien trop tôt.
Patrick_g : Combien de designs différents de chipsets GSM existent actuellement sur le marché ? Est-ce-que ce sera très difficile d'offrir un support pour tous ?
Harald Welte : Il y a beaucoup de générations différentes de chipsets, chez environ 5 à 7 grands vendeurs. Nous ne nous préoccupons pas beaucoup de porter le code sur d'autres chipset à ce stade. D'abord et avant tout, notre but est d'avoir une pile GSM qui fonctionne bien et qui est plus ou moins complète pour ce que nous avons en tête.
Porter le code sur un chipset différent est très difficile car, en temps normal, il n'y a aucune documentation de disponible pour ces chipsets.
Donc, pour que ça arrive, il faut soit que la documentation ait fuité quelque part et ne soit donc plus secrète, soit qu'un constructeur soit impliqué dans la création ou le soutien du portage. Ce sont deux occurrences peu probables.
Le futur
Patrick_g : En ce moment, le grand public semble plus intéressé par un iPhone complètement fermé que par un téléphone basé sur du logiciel libre. Comment le convaincre des bénéfices d'une pile GSM libre pour son téléphone ?
Harald Welte : Je ne suis pas un missionnaire dont le travail est de faire changer d'avis les gens au sujet de ce dont ils ont besoin. S'ils sont contents de vivre dans un monde ou ils dépensent un paquet d'argent pour un produit qu'ils ne posséderont pas vraiment après leur achat pourquoi s'en préoccuper ? C'est leur liberté de faire ce choix.
Cependant, je veux offrir au moins l'espoir d'une alternative pour ceux qui se sentent concernés par la sécurité et/ou la liberté.
Patrick_g : Peut-on comparer la situation actuelle d'OsmocomBB avec celle de GNU/Linux durant les années 90 ? Est-ce que le futur s'annonce brillant pour une pile GSM libre ?
Harald Welte : Je ne pense pas vraiment qu'on puisse comparer, mais qui sait ? Nous verrons où le futur nous emmènera. Il faut aussi tenir compte du fait que les protocoles pour réseaux mobiles deviennent de plus en plus compliqués. Le bon vieux réseau GSM (voix, SMS, données) est facile. Le GPRS est déjà bien plus difficile et la 3G est très compliquée, particulièrement au niveau de la couche 1. Quant au LTE, c'est juste de la magie noire.
Patrick_g : Dans un de vos messages sur votre blog, vous avez dit que ce projet est le « Saint Graal » du logiciel libre. Pourquoi est-ce si important ?
Harald Welte : J'ai appelé ça le « Saint Graal » parce que je crois que le domaine des micrologiciels pour chipset GSM est le terrain où l'on trouve le code le plus propriétaire et fermé qui puisse exister tout en étant aussi utilisé. C'est plein de multinationales se combattant pour le pouvoir et le contrôle et absolument personne ne propose un produit reflétant les intérêts de l'utilisateur.
Patrick_g : Le projet a-t-il reçu de l'argent de la FSF ? Recherchez vous un soutien de la FSF ou d'autres organisations du monde du libre ?
Harald Welte : Il n'y a pas d'argent de qui que ce soit, excepté l'argent des développeurs. Nous avons acheté quelques équipements de mesure et un certain nombre de téléphones et nous avons fait don de notre temps. Aucune organisation (que ce soit la FSF ou la FSF France ou la FSFE) n'a apporté de fonds. D'un autre côté, nous n'avons jamais demandé de fonds à personne.
Patrick_g : Pensez-vous que la FSF _devrait_ être impliquée dans ce projet ? Êtes-vous à la recherche de fonds ?
Harald Welte : Nous ne sommes pas vraiment à la recherche d'argent. Ce que nous recherchons ce sont des développeurs qui peuvent donner un peu de leur temps pour travailler sur un micrologiciel sous licence GPL pour chipset GSM. Nous avons besoin de développeurs qui peuvent travailler au niveau des pilotes et qui ont l'expérience des micro-contrôleurs ARM7TDMI. Nous cherchons aussi des gens qui connaissent le domaine des transmissions de données. La connaissance du protocole GSM n'est pas indispensable mais un peu d'expérience ISDN est très utile.
Patrick_g : Je sais que vous cherchez une aide technique, mais des utilisateurs sans compétences techniques peuvent-ils aider le projet ?
Harald Welte : Je ne pense pas, pour le moment c'est un projet par des développeurs et pour des développeurs.
Patrick_g : La compatibilité avec les téléphones 3G est-elle un but ou bien est-ce encore un rêve à ce stade ?
Harald Welte : Comme je l'ai dit plus haut, c'est d'un niveau de complexité complètement différent. Il est peu probable que l'équipe actuelle de volontaires puisse faire ça sans aucune documentation sur les chipsets.
Il faut également tenir compte des équipements de tests. À l'heure actuelle nous pouvons facilement acheter un équipement de test pour téléphones GSM pour moins de 1000 euros. Il y a dix ans cela aurait coûté environ vingt fois plus. Il n'est même pas question d'acheter un équipement de tests/mesures 3G aujourd'hui, ce serait vraiment trop cher.
Ce qui est bien plus probable, c'est que nous allons travailler sur le support 3G côté réseau, c'est-à-dire permettre aux gens de faire fonctionner des réseaux 3G avec OpenBSC. Je pense que ça pourrait même arriver en 2010.
Patrick_g : Merci beaucoup d'avoir accepté de répondre à mes questions pour les lecteurs de LinuxFr.
Aller plus loin
- Le projet OsmocomBB (20 clics)
- L'annonce officielle (3 clics)
- La première depêche Linuxfr sur OsmocomBB (19 clics)
- Le blog d'Harald Welte (12 clics)
# 3G ? GSM?
Posté par octane . Évalué à 4.
La dernière question me paraît essentielle, concernant la 3G.
Si je résume, nous avons:
GSM (ou 2G), communication en mode circuit.
GPRS (ou 2,5G) communication en mode paquet
EDGE (ou 2,75G) communication en mode paquet
3G (et 3GS) communication en mode paquet
Je ne doute pas un instant que la sécurité GSM soit importante. Toutefois, nous voyons que la tendance est de plaquer un réseau IP (par paquets) sur le réseau mobile (2, 3, 4G). Sécuriser de la voix sur un GSM ne restera toujours qu'un doux rêve; même si le micrologiciel GSM est libre, la voix passera en clair chez l'opérateur. De plus, depuis le 26CCC on sait qu'il suffit de 1000$ pour écouter une communication GSM (le A3 a été cassé, je le rappelle). Donc à quoi bon une stack GSM libre, finalement? Pour se protéger de quoi, de qui?
Sécuriser de la voix _et_ du data sur un réseau IP, on sait faire (et plutôt pas mal). Donc pourquoi ne pas directement chercher à creuser dans les communications 3G? La pertinence d'une stack 3G libre apparaît beaucoup plus importante que la stack GSM.
Ceci dit, je respecte énormément le travail d'Harald Welte (netfilter, gpl-violation, osmocomBB) et lui, il bosse, c'est pas comme les internautes au nom ridicule qui râle derrière leur clavier ;)
Si seulement je savais coder j'irais leur proposer mon aide, je suis sûr qu'ils vont réussir à remonter la pile mobile (2G, 2,5G , 2,75G et 3G :) )
[^] # Re: 3G ? GSM?
Posté par ohmer . Évalué à 9.
[^] # Re: 3G ? GSM?
Posté par Dorian . Évalué à 4.
« En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll
[^] # Re: 3G ? GSM?
Posté par Philippe Voncken (site web personnel) . Évalué à 2.
# Pour patrick_g
Posté par Zarmakuizz (site web personnel) . Évalué à 5.
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
[^] # Re: Pour patrick_g
Posté par WhiteCat . Évalué à 10.
# Sécurité du terminal GSM
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 10.
* Toute personne affirmant être l'opérateur réseau, sans aucune forme d'authentification, peut demander à votre téléphone d'envoyer sa position GPS actuelle. L'utilisateur n'est pas informé et il ne peut pas désactiver cette fonction (qui se nomme Radio Resource Location Protocol).
* Toute personne affirmant être l'opérateur réseau, sans aucune forme d'authentification, peut garder un canal de transmission de données ouvert en permanence pour transformer votre téléphone en balise de localisation.
* L'opérateur peut modifier le contenu de votre carte SIM et, dans bien des cas, il peut également faire des mises à jour de micrologiciel à distance.
Pas rassurant... Je savais déjà pour le 3ème point mais je pensais pas pour les deux autres. Si quelqu'un a un peu plus d'infos sur ces sujets je suis très intéressé.
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Sécurité du terminal GSM
Posté par Misc (site web personnel) . Évalué à 5.
Je te conseille de regarder les divers videos des conférences du 25c3 et du 26c3 pour avoir plus d'informations :
http://events.ccc.de/congress/2009/Fahrplan/events/3608.en.h(...)
et d'autres sur http://events.ccc.de/congress/2009/Fahrplan/track/Hacking/in(...)
[^] # Re: Sécurité du terminal GSM
Posté par vpo . Évalué à 1.
[^] # Re: Sécurité du terminal GSM
Posté par Low Memory . Évalué à 1.
Est-ce qu'il n'y pas des obligations légales pour que ces opérations (envoi position GPS, activation du micro...) puissent être faites à l'insu de l'utilisateur ?
C'est une légende urbaine ou une norme (européenne ou nationale) ?
[^] # Re: Sécurité du terminal GSM
Posté par vpo . Évalué à 3.
Par contre ce qui est vrai, c'est que le service e911 devient obligatoire.
Le 911 c'est le numéro d'urgence aux USA (notre 112). Et le e911 c'est la version améliorée avec localisation GPS de la personne ayant appelé le 911. Le but est de localiser la personne en détresse au plus vite et surement.
C'est en train de devenir obligatoire pour les mobiles (ca permet de vendre du chipset GPS partout, achetez des actions SiRF, ca va monter :-)). A terme ca deviendra obligatoire dans le bagnoles.
Et donc oui, on peut imaginer un jour un législateur exigeant le relevé de position permanent de tous les mobiles pour fliquer tous les citoyens car c'est bien connu, il n'y a que ceux qui ont un truc à se reprocher qui seront contre une telle loi :-).
Pour le micro ouvert en permanence, cela impliquerait une transmission de données permanente.
Or, un mobile qui n'est pas en communication pas sa vie à dormir le plus possible et se réveille un bref instant et régulièrement pour savoir si le réseau cherche a le joindre. Ou alors il se fait réveiller par un interruption hard si l'utilisateur touche au clavier.
De quelques mA en veille on passe à plusieurs centaines de mA en mode dédié.
Donc un type qui se ferait espionner se rendrait compte que son téléphone se décharge super vite.
Presque aussi vite qu'un téléphone utilisé depuis plus de 3 ans et dont la batterie coute plus chère à remplacer que le prix du téléphone neuf... faut bien faire vivre le petit commerce :-)
# Très intéressant !
Posté par jve (site web personnel) . Évalué à 4.
De plus, monter une BTS est impossible car il faut les autorisations de l'ART, etc etc...
Il n'existe pas, aujourd'hui, d'Internet des réseaux radio (hors wifi). Pas possible de s'y brancher et de monter son infra perso. De fait, OpenBSC risque de rester un projet de niche pour des spécialistes par des spécialistes. Et à la lecture de l'interview, il semblerait qu'Harald Welte en soit tout à fait conscient.
C'est vraiment dommage, car le potentiel des terminaux mobile est énorme.
# il force le trait...
Posté par gpe . Évalué à 1.
Il force pas mal le trait. Les protections de piles existent, il y a des protections mémoires, mais bien souvent il n'y a pas de MMU dans les chipsets, seulement des MPU.
Après il faut bien voir que quand on parle d'un tél seulement GSM la partie applicative est quand même réduite à pas grand chose (en gros l'IHM). En gros à part quelques SMS ça ne contient pas de données sensibles. Ce n'est pas comme un smartphone qui de toute façon embarque 2 CPU (un pour l'applicatif, l'autre pour la partie telecom) et donc la problématique est différente.
[^] # Re: il force le trait...
Posté par Misc (site web personnel) . Évalué à 3.
Il a quelques années, la mode était au paiment via le téléphone portable, je suis pas sur que ça soit une riche idée après coup. Et est ce que des gens sont prés à payer pour envoyer une tonne de sms gratuitement sur un numéro qui leur appartient pas ? Je pense que oui aussi.
Et la plupart des téléphones embarquent 2 processeurs, pas que les "smartphones". Le modem gsm est un processeur en lui même, le truc qui gére l'interface est une autre, même si ça gère un écran lcd basique et que ç'est pas dur à faire.
[^] # Re: il force le trait...
Posté par gpe . Évalué à 2.
[^] # Re: il force le trait...
Posté par Brioche4012 (site web personnel) . Évalué à -1.
Je m'explique: quand notre bien aimé roi Nicolas II aura décidé d'interdire les rassemblements de plus de 2 personnes et la peine de mort applicable par autorité policière, tu sera bien content que ta puce GSM sous firmware libre embarque un codage pgp pour tes communications avec tes amis dissidents.
Plus généralement, le fait que ce soit libre permettrait de déverrouiller une quantité infinie d'utilisations possibles pour le téléphone. Comme l'authentification par clé asymétrique ou n'importe quel autre chose farfelue qui puisse être hackée dans le firmware.
[^] # Re: il force le trait...
Posté par Ph Husson (site web personnel) . Évalué à 5.
Ils ont effectivement deux CPUs complétement séparés, (plus deux dsp, et d'autres unités de calculs plus originales.), avec protections plutôt évoluée de la mémoire, aussi bien flash que RAM.
Pour rappel, les SoC qualcomm sont utilisés dans tous les smartphones HTC, et plus globalement, la très grande majorité des smartphones.
Donc pour des soucis d'économie (aussi bien économique, que de batterie et d'encombrement), toute la mémoire est partagé entre tout les périphériques, et donc il faut un dictateur pour décider qui va où.
Seulement voilà, pour une raison qui m'échappe encore, ces protections sont très facilement enlevables, et on peut accéder très facilement à la mémoire de l'arm9 (bon pas aux registres non plus m'enfin bon...).
En fait la protection tient à un bit bien placé, et c'est tout.
Donc en fait, ils se contentent d'une sécurité par l'obscurité. Ou tout du moins s'en contentaient jusque très récemment, leur nouveau SoC (snapdragon), semble utiliser d'autres méthodes de protection.
Bon et comme je code un peu à l'aveuglette (comme dit plus haut, les constructeurs ne fournissent aucunes docs), il arrive souvent que le processeur radio (qui en fait controle un peu près tout) plante. Tout simplement. Et d'après les binaires de windows mobile, il est prévu qu'il plante assez fréquement, c'est pas grave, on fait comme si de rien n'était et on continue !
Autre exemple que j'ai vu dans ma jeunesse, avec un TI Omap, sur un téléphone très peu cher (téléphone wifi+tactile+gsm à 60€ y a plusieurs années maintenant !, le twin tact de chez neuf). À l'époque j'avais très peu de connaissances sur le sujet (je n'arrivais même pas à faire booter mon propre noyau....), et pourtant, la sacro-sainte protection opérateur, a été contournée extremement facilement. Un simple fichier de configuration accessible depuis l'espace utilisateur, ou il fallait juste changer un 1 en un O. (alors que la méthode officielle de déverouillage ne marche qu'aléatoirement).
Bon bref, tout ça pour dire que le monsieur a bien raison de dire que la sécurité dans les puces radio est ridicule. Je ne connais pas les puces pour le bas de gamme, mais j'imagine que ça peut très facilement être encore pire, et je pense effectivement que le niveau de fermeture des radios est franchement trop élevé par rapport à leur niveau de sécurité effectif.
De là à faire une pile GSM complétèment libre, il y a quand même un grand pas.
Je ne connais pas l'état des connaissances sur le TI Calypso, mais je pense qu'il est beaucoup plus intéressant de documenter les comportements (aussi bien matériel que logiciel) pour montrer à quel point tout ce cirque est ridicule, et alors les constructeurs penseront peut être à s'ouvrir un peu.
[^] # Re: il force le trait...
Posté par gpe . Évalué à 1.
Après je n'ai pas dit qu'il avait complètement tord mais qu'il forçait le trait. Il faut bien voir qu'un GSM ce n'est pas un PC. Un ARM7TDMI à 26MHz, 1 à 2 Mio de flash et 256 à 512 Kio de RAM suffisent pour faire un tél. GSM basique. Alors fatalement il faut faire des compromis et les OS sont bien plus léger qu'un noyau Linux. De plus sur de tels systèmes basiques le client n'installe pas d'application. Donc les besoins de protections sont moindres et sont surtout mis en place afin de détecter les problèmes (débordement de piles, fuites mémoires, etc.). Tout se complique sur les mobiles récent où l'on peut installer des applis extérieures...
[^] # Re: il force le trait...
Posté par vpo . Évalué à 1.
Exemple [http://pdf1.alldatasheet.fr/datasheet-pdf/view/167681/QUALCO(...)].
[^] # Re: il force le trait...
Posté par gpe . Évalué à 1.
[^] # Re: il force le trait...
Posté par Guillaume Knispel . Évalué à 2.
[^] # Re: il force le trait...
Posté par Misc (site web personnel) . Évalué à 2.
Et je pense qu'on commence à voir de la virtualisation sur mobile, j'ai vu passer des annonces sur linux-devices, comme http://www.linuxfordevices.com/c/a/News/VirtualLogix-VLX-MH-(...) , ou http://www.linuxfordevices.com/c/a/News/OK-Labs-STEricsson-p(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.