Des chercheurs en cybersécurité affirment avoir identifié deux campagnes d’espionnage distinctes qui exploitent des failles connues de l’infrastructure télécom mondiale afin de localiser des personnes. Selon leurs conclusions, ces affaires ne représenteraient qu’un aperçu de pratiques plus largement répandues visant à obtenir un accès opérationnel auprès d’acteurs capables de “se glisser” dans les réseaux mobiles.

Ces éléments proviennent d’un rapport publié par Citizen Lab, une organisation de défense des droits numériques, qui détaille deux opérations nouvellement observées. Les chercheurs y décrivent des vendeurs de surveillance utilisant des sociétés-écrans se présentant comme de “véritables” opérateurs cellulaires, afin de tirer parti de leurs privilèges d’accès et d’interroger des données de localisation liées aux numéros ciblés.

SS7 et Diameter : des protocoles toujours exploités

Le rapport souligne que des technologies utilisées depuis des années demeurent au centre de ces abus. L’une des pistes concerne le protocole SS7 (utilisé pour les réseaux 2G et 3G), réputé depuis longtemps pour ses lacunes : il ne proposerait pas de mécanismes d’authentification et de chiffrement suffisants. Cette situation faciliterait l’action d’opérateurs indélicats ou d’acteurs mal intentionnés capables d’accéder au routage de données au sein du système.

Une seconde piste implique Diameter, conçu pour les réseaux 4G et 5G et présenté comme un successeur censé corriger certaines faiblesses du SS7. Toutefois, les chercheurs indiquent que les protections ne seraient pas toujours correctement déployées par tous les opérateurs, ouvrant la voie à des contournements. Dans certains cas, les attaques pourraient aussi “basculer” sur le SS7 lorsque les tentatives sur Diameter échouent.

Dans les deux campagnes décrites, les enquêteurs estiment que l’accès à l’infrastructure de certains prestataires a servi de point d’entrée et de relais, permettant de mieux masquer l’origine des actions. L’objectif serait d’exploiter ces réseaux pour interroger des informations de localisation associées aux abonnés.

Accès réutilisé à des fournisseurs télécom identifiés

Les chercheurs notent un élément commun aux deux opérations : l’usage d’au moins trois fournisseurs télécom précis, décrits comme des “points d’entrée et de transit” dans l’écosystème de signalisation. Cette capacité d’intermédiation permettrait aux acteurs de surveillance de s’appuyer sur la légitimité apparente de l’infrastructure.

Parmi les opérateurs cités, 019Mobile (Israël) serait apparu dans plusieurs tentatives. Tango Networks U.K. est également mentionné, avec des activités surveillées sur plusieurs années. Enfin, les chercheurs indiquent que Airtel Jersey (sur l’île de Jersey, désormais sous le contrôle de Sure) aurait aussi été impliqué dans la chaîne d’accès.

Sure, dont le dirigeant a été interrogé, déclare ne pas louer d’accès à la signalisation pour localiser, suivre ou intercepter le contenu de communications, et affirme avoir mis en place des mesures de surveillance et de blocage. L’entreprise soutient également qu’en présence d’éléments crédibles de mauvaise utilisation, le service concerné peut être suspendu, voire résilié définitivement après vérification.

Une seconde méthode basée sur des SMS détournés

La première campagne décrirait une exploitation progressive : tentatives via SS7, puis recours à Diameter si nécessaire. La seconde campagne reposerait sur d’autres mécanismes.

D’après Citizen Lab, un acteur de surveillance (non identifié dans le rapport) aurait envoyé un type particulier de SMS vers un cible “à fort profil”. Les chercheurs comparent cette approche à des attaques visant les cartes SIM, où des messages sont conçus pour déclencher des commandes internes sans que l’utilisateur n’en voie la trace.

Le principe serait de transformer, pour la cible, le téléphone en dispositif permettant la récupération d’informations de localisation. La technique est rapprochée d’un mode d’attaque connu sous le nom de SIMjacker, décrit par des acteurs de la sécurité mobile dès 2019. Les enquêteurs précisent aussi que ce type d’attaque pourrait être plus difficile à détecter et qu’il semblerait être orienté vers des pays et des réseaux susceptibles d’être plus vulnérables.

Une menace jugée plus large que ces deux cas

Les chercheurs insistent sur le fait que ces deux campagnes ne constituent qu’un échantillon. Ils estiment qu’il existe potentiellement un volume bien plus important d’attaques dans le monde, mais que seules certaines opérations ont pu être observées et analysées dans le cadre de leurs investigations.

Dans ce contexte, la question centrale reste celle de l’accès : comment des acteurs parviennent à obtenir des privilèges d’interconnexion ou de signalisation, puis à utiliser ces capacités pour interroger des données sensibles. Les révélations mettent aussi en lumière un enjeu récurrent pour les infrastructures télécom modernes : l’adoption de protections techniques ne garantit pas, à elle seule, une réduction du risque si la mise en œuvre varie selon les opérateurs.

Sur le plan pratique, certains utilisateurs cherchent à limiter l’exposition de leur trafic. À titre d’exemples d’outils couramment envisagés, une solution VPN pour mobile peut contribuer à réduire certains risques liés à l’interception de données, sans toutefois empêcher une exploitation au niveau des réseaux télécom. De même, un antivirus ou application de sécurité mobile peut aider à détecter des comportements suspects sur l’appareil, même si les attaques visant l’infrastructure réseau sont généralement hors du contrôle direct de l’utilisateur.