C&ESAR 2011 - Femtocells - A femtostep to the holy grail ?

Dr Jean-Pierre Seifert – TU Berlin & Deutsche Telecom Laboratories

Les Femtocell servent à étendre la couverture d’un opérateur dans des zones ou la réception est mauvaise. Elles sont souvent déployées chez l’abonné et dépendent de la connectivité ADSL pour effectuer le lien entre la Base Station et le réseau de l’opérateur.

Ces femtocells peuvent être achetées ou loués, mais pour les obtenirs, il faut fournir à l’opérateur son adresse postale pour des raisons réglementaires. Il est interdit par exemple de se déplacer de pays en pays avec sa femtocell (HNB : Home Node B).

Au niveau des specifications de sécurité, les femtocell ne doivent pas être déplacées, au cas ou elles réceptionnent un appel d’urgence. Le démarrage de la femtocell doit être sécurisé par des moyens cryptographiques pour ne pas fournir un shell au démarrage. Ainsi le consortium 3GPP à déjà identifié un grand nombre de risques associé aux femtocells.

Afin de verrouiller géographiquement la femtocell, les opérateurs peuvent employer des services de GeoIP, les macrocellules (nodes B), ou bien les technologies GPS (modulo la bonne réception du signal). En cas d’utilisation de GeoIP, un VPN permettra de faire croire à la femtocell qu’elle est bien chez vous. En cas de géolocalisation basée sur les autres antenne, l’utilisation d’un BTS maison, ou d’une cage de faraday voir de votre ascenseur permettra d’empêcher la femtocell d’identifier sa zone géographique d’opération.

Les points d’entrées pour un attaquant sur la femtocell se résument aux ports réseaux ouverts, et à l’éventuelle présence d’un port série. Le fabriquant de la femtocell avait placé des pages web d’administration de la femtocell, protégées par un mot de passe qui se révéla être l’IMEI.

Comme tous les devices embarqués, ils disposent d’une procédure de restauration du firmware via le réseau. L’ensemble de la procédure semble sécurisé par l’utilisation d’HTTPS et de la signature du firmware pour éviter toute manipulation du firmware. Cependant, en analysant le firmware signé, on peut y découvre un ensemble d’informations sur la version du kernel Linux, et d’urls de configuration. Quand on regarde de plus près, on découvre que l’emploi de HTTPS se fait sans authentification mutuelle, et que la clef privée et publique du device sont présents dans le firmware. Il est donc possible d’utiliser sa propre clef privée dans le device. Vu que les images fournies sont chiffrés avec la clef fournie, il est possible de décrypter certains firmwares sensibles, et éventuellement de re-chiffrer son propre firmware custom, permettant de re-flasher le device avec son propre OS.

A partir de là, l’Orateur et ses doctorants ont pu mettre en place un environnement pour simuler le réseau d’un opérateur aux yeux de la femtocell, et y pousser un firmware avec une console série active. Le tout dans un environnement contrôlé et isolé à grand coup de cage de faraday. Ils ont pu découvrir les clefs employées pour monter le tunnel IPSec en sniffant les communications entre la SIM et la femtocell.

En utilisant cet accès au réseau Opérateur, il est possible de joindre les autres Femtocell et donc d’aller jouer avec les paramètres des autres femtocells, de les rediriger vers sa propre femtocell, d’éditer les configuration de cette dernière, ainsi que de la re-flasher (femtocell botnet). Le serveur de management des Femtocell coté opérateur utilisent les classiques SSH, NFS, Apache, FTP et MySQL sans aucune défense en profondeur. Il est donc possible d’attaquer ces services avec des techniques classiques. Vu que l’authentification auprès du réseau opérateur se fait à l’aide de la carte SIM, il est donc possible de shunter la femtocell et d’accéder directement au réseau de l’opérateur sans femtocell.

Les nouvelles box ADSL proposeront bientôt un module femtocell pluggable sur la box.