L’Arabie saoudite n’en a pas fini avec l’espionnage de ses ressortissants aux Etats-Unis

Un lanceur d’alerte affirme que le gouvernement saoudien exploite les failles de sécurité des smartphones pour suivre ses citoyens à travers les États-Unis. Il s’agirait d’une campagne de surveillance ‘systématique’.

Ce serait la dernière tactique du royaume saoudien pour espionner ses citoyens à l’étranger, révèle le site TechCrunch. Alors que les outils de tracking se multiplient un peu partout dans le monde pour contrôler la propagation du coronavirus, l’Arabie saoudite en est à un autre niveau, et il ne s’agit pas surveiller l’épidémie. ‘Simplement’ ses citoyens dissidents.

Le royaume a ainsi été accusé d’utiliser de puissants logiciels espions pour smartphones afin de pirater les téléphones des activistes et surveiller leurs activités. Des ‘activistes’ qui incluent des proches de Jamal Khashoggi, le chroniqueur du Washington Post qui a été assassiné par des agents du régime saoudien. Mais ce n’est pas tout: le royaume aurait également implanté des espions sur le réseau social Twitter pour contrôler les critiques du régime.

Vulnérabilité du SS7

Le journal britannique The Guardian a obtenu un cache de données s’élevant à des millions de localisations sur des citoyens saoudiens, sur une période de quatre mois à partir de novembre. Selon le rapport, les demandes de localisation ont été faites par les trois plus grands opérateurs de téléphonie mobile saoudiens (supposément à la demande du gouvernement).

Ceux-ci ont pu exploiter les faiblesses du SS7 ou Signaling System #7. Il s’agit d’un ensemble de protocoles essentiels dans la téléphonie, utilisés par plus de 800 opérateurs dans le mode. Ces protocoles servent à acheminer et diriger les appels et les messages entre les différents réseaux… mais sont connus pour leur grande fragilité.

Les experts affirment en effet que les faiblesses du système ont permis aux attaquants ayant accès aux opérateurs d’écouter des appels, de lire des messages, mais aussi de localiser des appareils. Du pain bénit pour certains gouvernements un peu trop ‘curieux’.

Améliorer le système

La vulnérabilité du SS7 est de notoriété publique, mais peu de choses ont été réalisées pour améliorer sa sécurité. ‘J’ai tiré la sonnette d’alarme sur les failles de sécurité des réseaux téléphoniques américains pendant des années, mais le président de la FCC (la Commission fédérale de la communication aux États-Unis) a clairement indiqué qu’il ne voulait pas réglementer les opérateurs ou les forcer à sécuriser leurs réseaux contre les pirates des gouvernements étrangers’, indique le sénateur américain Ron Wyden.

Sauf que régler les problèmes du SS7, c’est plus facile à dire qu’à faire. Mais il faudra bien l’impulsion d’un régulateur pour forcer au changement. Avec prudence toutefois, car ces solutions ne devraient pas bloquer les demandes réelles (et légitimes) des opérateurs télécom.

Ils pourront par exemple s’inspirer d’applications cryptées de bout en bout, telles que WhatsApp, qui ont rendu la tâche plus ardue aux espions pour fouiller les appels et messages. Mais ce chiffrement n’est pas le remède ultime. Aussi longtemps que le SS7 sera au centre de tout réseau cellulaire, la surveillance des localisations restera aussi simple que de dire ‘bonjour Big Brother‘.

Lire aussi:

Plus