Aller au contenu
Ixonae on Security
  1. Articles/

Antennes-relais : comment elles peuvent être utilisées pour suivre vos déplacements (maintenant et dans le passé)

·15 mins
Ixonae
Vie privée Forensique
Ixonae
Auteur
Ixonae
Sommaire

Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.

Si nous parlons de localiser quelqu’un à l’aide de son téléphone, vous penseriez probablement à une scène vue dans un film où la police tente de retrouver un preneur d’otages pendant qu’il appelle pour demander une rançon. Mais saviez-vous que ce n’est pas la seule utilisation de la localisation par antennes-relais ? En fait, marcher dans la rue avec votre téléphone allumé produira un certain niveau de journaux de localisation. Cela pourrait même être utilisé par les autorités, comme à Taïwan pour traquer les personnes ne respectant pas la quarantaine obligatoire pendant la crise du Covid (voir cet article). Si vous pensez que vous n’êtes pas concerné, détrompez-vous. Un suivi similaire est également d’actualité dans les pays occidentaux.

Dans l’article d’aujourd’hui, nous présenterons comment fonctionne le réseau cellulaire, quel type de données est collecté et comment ces données peuvent être utilisées pour vous localiser.

Technologies de communication mobile et ondes radio
#

Le réseau mobile utilise des signaux radio pour permettre à ses différents composants (antennes-relais et appareils mobiles) de communiquer ensemble. Dans cette partie, nous passerons rapidement en revue les différentes technologies utilisées et certaines des techniques qui permettent à plusieurs appareils de communiquer ensemble sans causer d’interférences.

Normes de réseau
#

Il existe différentes générations de normes de réseaux téléphoniques. En fait, si vous possédez un téléphone, vous en avez entendu parler : c’est la « 4G » que vous voyez la plupart du temps à côté de vos barres de signal.

Réseaux de 1ère génération (1G)
#

La 1G a été créée en 1984. C’était un système analogique permettant uniquement le transfert de voix. Elle est désormais obsolète et n’est plus utilisée.

Réseaux de 2ème génération (2G)
#

La 2G a été introduite en 1991. Elle est désormais obsolète également, mais est encore utilisée aujourd’hui. La 2G introduit des signaux codés numériquement (par rapport aux signaux analogiques précédents) et la possibilité d’envoyer des messages texte et d’utiliser Internet. Certaines des normes qu’elle utilise sont :

  • GSM (Global System for Mobile) était le premier système 2G. Il ne permettait pas l’accès à Internet, mais il était possible d’utiliser les messages SMS
  • GPRS (General Packet Radio Service) est une amélioration du GSM. Il permet de se connecter à Internet et d’envoyer/recevoir des messages MMS. On le désigne parfois comme la 2.5G.
  • EDGE (Enhanced Data Rates for GSM Evolution) a été introduit en 2003, et constitue l’évolution finale de la 2G, considérée comme pré-3G. C’est une amélioration de la norme précédente et permet une transmission de données jusqu’à 473 kbps.

Les technologies utilisées par la 2G pour gérer l’accès au canal radio sont les suivantes (nous en parlerons plus en détail plus tard) :

  • TDMA (Time Division Multiple Access)
  • FDMA (Frequency Division Multiple Access)
  • CDMA (Code-Division Multiple Access - uniquement avec EDGE)

Réseaux de 3ème génération (3G)
#

La 3G a été introduite en 2000 et permet des transferts de données plus rapides que ses prédécesseurs. Elle utilise le W-CDMA (Wideband CDMA) et permet un débit de données allant jusqu’à 2 Mbps en stationnaire et 144 kbps en voiture.

Comme pour la 2G, la 3G a connu de multiples améliorations visant à améliorer ses performances :

  • HSDPA (High-Speed Downlink Packet Access), également connu sous le nom de 3.5G, permet jusqu’à 14 Mbps en descendant et 2 Mbps en montant
  • HSUPA (High-Speed Uplink Packet Access), également connu sous le nom de 2.75G, augmente le débit montant jusqu’à 2,8 Mbps
  • HSPA+ (Evolved High-Speed Packet Access) supporte jusqu’à 168 Mbps en descendant et 22 Mbps en montant

LTE - pré-4G mais commercialisé comme 4G
#

LTE (3G Partnership Project - Long Term Evolution) est un système pré-4G qui offre des performances accrues par rapport à la 3G mais n’atteint toujours pas le plein potentiel de la 4G. Il peut offrir jusqu’à 300 Mbps en descendant et 75 Mbps en montant et améliore la transmission de données en mouvement en remplaçant le CDMA par l’OFDMA (Orthogonal Frequency-Division Multiple Access).

Le LTE ne supporte pas les appels vocaux, donc la 2G, la 3G ou le voLTE sont utilisés lorsque nécessaire.

Fréquences des réseaux
#

Nous avons mentionné que dans les réseaux cellulaires, les données sont échangées par ondes radio. Selon la technologie utilisée, les fréquences disponibles sont différentes. Par exemple, la 3G peut fonctionner sur les bandes 800, 850, 900, 1 700, 1 900 et 2 100 MHz tandis que le GSM ne supporte que les bandes 850, 900, 1 800 et 1 900 MHz. Selon le pays, il est également possible que toutes les bandes disponibles ne soient pas utilisées.

En général, les fréquences plus élevées transfèrent les données plus rapidement mais sur une portée plus courte, tandis que les fréquences plus basses transportent les données sur de plus longues distances mais plus lentement.

Méthodes d’accès au canal
#

Nous avons précédemment mentionné FDMA, TDMA, CDMA et OFDMA. Maintenant que nous avons aussi parlé des fréquences, nous pouvons entrer dans plus de détails sur ce qu’ils font.

Ces acronymes sont des méthodes d’accès au canal utilisées par les technologies radio. Imaginez que vous avez plusieurs terminaux envoyant des données sur la même fréquence radio ; si rien n’est fait, les données vont simplement entrer en collision et un appareil écoutant ce canal radio ne comprendrait rien. Les méthodes d’accès au canal visent à résoudre ce problème.

FDMA
#

Le Frequency Division Multiple Access va diviser la bande passante disponible en plusieurs canaux non chevauchants qu’il attribuera aux appareils connectés. Par exemple, si nous avons une tour utilisant une bande passante B et deux appareils connectés, l’appareil 1 se verra attribuer les premiers 200 KHz, les 50 MHz suivants seront non attribués pour éviter le chevauchement, et l’appareil 2 se verra attribuer les 200 MHz suivants. De cette façon, tous les appareils peuvent communiquer en même temps et la tour peut distinguer leur trafic.

TDMA
#

Le Time Division Multiple Access nécessite plus de synchronisation entre les appareils. Tous les appareils utilisant une tour pourront utiliser toute la bande passante, mais ils auront un créneau horaire spécifique pendant lequel ils sont autorisés à communiquer, il est donc important que leurs horloges soient strictement les mêmes.

CDMA
#

Avec les techniques de Code Division Multiple Access, tous les appareils peuvent transmettre des données en même temps sur la même fréquence. Chaque appareil utilise une séquence de code spécifique lors de la transmission de données, ce qui permet de distinguer les différents signaux. La principale différence entre le CDMA et le W-CDMA est que ce dernier supporte une bande passante plus large.

Le réseau téléphonique
#

Le réseau téléphonique nécessite plusieurs composants pour être opérationnel. Votre téléphone n’interagira directement qu’avec les antennes-relais pour envoyer et recevoir des données, mais ces tours utiliseront différents systèmes pour authentifier correctement les appareils et acheminer les appels/données appropriés au bon endroit.

Stations de base émettrices-réceptrices
#

Les stations de base émettrices-réceptrices (BTS) sont la partie la plus visible du réseau ; ce sont les antennes-relais qui envoient ou reçoivent des signaux radio. Notez qu’elles peuvent être appelées « node B » dans les réseaux 3G, « evolved node B » en LTE, ou généralement « station de base ».

Les stations de base sont généralement installées à des emplacements fixes, mais il est aussi possible d’en installer des portables. Cela se produit typiquement lorsque les opérateurs prévoient une concentration de personnes plus importante que d’habitude dans une certaine zone, par exemple lors d’un concert, et permet au réseau de ne pas être saturé.

Les stations de base peuvent avoir deux types d’antennes :

  • Les antennes omnidirectionnelles sont utilisées dans les zones à faible volume de trafic ou pour les petits relais intérieurs et recevront/diffuseront des signaux à 360 degrés.
  • Les antennes sectorielles, qui sont directionnelles. Elles peuvent avoir jusqu’à 6 secteurs mais utilisent le plus souvent 3, ce qui signifie qu’elles diffuseront/recevront des signaux dans trois zones de 120 degrés.

Le schéma suivant montre comment les stations de base cellulaires sont organisées pour créer un réseau. On peut observer qu’elles ont toutes une antenne à 3 secteurs et sont placées de manière à ce que le signal puisse être capté partout sur la carte.

Réseau cellulaire (Source : Wikipedia)

Si nous regardons la cellule en haut à droite, nous pouvons voir qu’elle est entourée de trois stations de base, qui diffusent sur les fréquences 14, 16 et 1. Si vous étiez avec votre téléphone au milieu de cette cellule, vous pourriez capter les signaux des trois stations.

Le réseau est conçu de manière à ce que :

  • Les entreprises de téléphonie mobile utilisent des fréquences radio différentes pour que leurs tours n’interfèrent pas entre elles (les fréquences sont généralement attribuées aux entreprises par des organismes gérés par l’État)
  • Les opérateurs téléphoniques configurent leur réseau de manière à ce que les tours adjacentes utilisent des fréquences radio différentes pour ne pas interférer entre elles

Contrôleur de station de base (BSC)
#

Les contrôleurs de station de base peuvent être en charge du contrôle d’une ou (le plus souvent) de plusieurs stations de base émettrices-réceptrices (chaque BTS a un seul BSC). Certaines des choses dont ils s’occupent spécifiquement sont :

  • La gestion des fréquences radio
  • Les transferts intercellulaires des BTS (c’est-à-dire : un appareil est connecté à une BTS, le signal devient faible, il commence à utiliser une autre BTS avec un meilleur signal)
  • L’établissement des appels

Centre de commutation mobile (MSC)
#

Les centres de commutation mobile sont connectés à un ou plusieurs BSC (chaque BSC a un seul MSC) et interagiront avec divers systèmes du réseau pour s’assurer que les différentes communications sont correctement acheminées. Certaines de leurs tâches sont :

  • Se connecter au registre de localisation nominale (HLR) et au registre de localisation des visiteurs (VLR) pour s’assurer que les appareils connectés aux stations de base sont autorisés à se connecter, et journaliser leur utilisation d’appels/SMS/données afin que les clients puissent être facturés
  • Acheminer les appels, SMS, Internet
  • S’interfacer avec le réseau téléphonique commuté public (PSTN)

Registre de localisation nominale (HLR)
#

Le registre de localisation nominale est une base de données contenant des informations relatives aux abonnés mobiles. Il est chargé de savoir si un utilisateur est autorisé à accéder au réseau et quels services il est autorisé à utiliser, de savoir comment acheminer les transmissions vers et depuis les appareils, et comment facturer les clients. Il stockera également la dernière localisation connue des utilisateurs et la mettra à jour si nécessaire.

Pour authentifier les utilisateurs, le HLR stockera les identifiants internationaux d’abonnés mobiles (IMSI) qui sont stockés dans les modules d’identification d’abonnés (cartes SIM).

Registre de localisation des visiteurs (VLR)
#

Le registre de localisation des visiteurs (VLR) est une base de données similaire au HLR. Il peut être utilisé par un ou plusieurs MSC (chaque MSC est connecté à un seul VLR) et stockera temporairement des données relatives aux clients connectés à ses MSC. Il stockera également des données relatives aux utilisateurs en itinérance.

Connexion des téléphones et sélection de l’antenne
#

Pour résumer certains des éléments que nous avons discutés jusqu’ici, voyons ce qui se passe lorsque vous vous promenez avec votre téléphone à l’extérieur.

  • Votre téléphone va scanner votre environnement pour essayer de trouver des antennes-relais
  • Il se connectera à l’antenne-relais ayant le signal le plus fort (sauf si la tour a atteint le nombre maximum de connexions)
  • Lorsqu’il se connecte à la BTS, le MSC vérifiera que l’utilisateur est autorisé à se connecter en utilisant le HLR et le VLR, et mettra à jour divers enregistrements tels que la localisation du téléphone (quelle BTS il utilise)
  • Une fois connecté, il y aura une connexion full-duplex (FDX) entre le téléphone et la BTS
  • Pendant que vous vous déplacez, le téléphone vérifie toujours quelles tours sont autour et quel signal est le plus fort. Si nécessaire, un transfert intercellulaire peut avoir lieu (c’est-à-dire : le téléphone utilisera une BTS différente avec un meilleur signal). Ce peut être un transfert dur (la connexion est coupée puis recréée), ou un transfert doux (le processus est transparent et le téléphone est connecté au réseau à tout moment)
  • Si quelqu’un essaie de vous appeler, son téléphone interrogera le HLR (via le BSC/MSC) pour savoir quelle BTS vous utilisez, et l’appel sera acheminé vers vous grâce à cette information

Méthodes de suivi
#

Maintenant que nous avons fini de présenter le fonctionnement du réseau mobile, il est temps de voir comment il est possible de tirer parti des différentes infrastructures pour suivre les utilisateurs des réseaux.

Localisation historique
#

Nous avons mentionné précédemment que lorsque vous essayez d’utiliser le réseau, ses composants vérifieront si vous êtes autorisé à le faire. Les mêmes composants enregistreront également certaines informations sur votre utilisation du réseau. Certaines de ces informations peuvent être conservées pendant quelques années ou moins, selon les politiques de votre opérateur (jusqu’à 7 ans pour AT&T aux États-Unis). Dans cette partie, nous discuterons du type d’informations stockées et de ce qu’on peut en faire.

Relevés détaillés des appels
#

Chaque fois qu’un appareil mobile passe un appel, les informations sont enregistrées dans les relevés détaillés des appels (CDR), principalement à des fins de facturation (notez que des informations similaires seront également enregistrées pour l’activité données et SMS).

Ces relevés incluront les éléments suivants, avec éventuellement quelques variations selon l’opérateur réseau :

  • Les numéros appelant et appelé
  • La date et l’heure de début et de fin
  • Les identifiants des premières et dernières tours utilisées lors de l’appel (et le secteur utilisé)
  • L’IMSI et l’IMEI du téléphone utilisé

Ces relevés seront conservés plus ou moins longtemps selon l’opérateur réseau (AT&T les conserve pendant 7 ans tandis que Verizon ne les conserve que pendant 1 an).

Puisque nous ne connaissons que les tours qui ont pris l’appel et dans quel secteur, il n’est pas possible d’utiliser ces données pour obtenir une localisation plus ou moins large. En particulier, la concentration d’antennes-relais dépend de l’environnement (il y a beaucoup d’antennes-relais si vous êtes à Manhattan, beaucoup moins si vous êtes au milieu de la Vallée de la Mort). Une tour pourrait très bien couvrir un rayon de 10 km ou de 100 m.

Vidage de tour
#

Un vidage de tour désigne les données relatives à l’activité d’une station de base émettrice-réceptrice spécifique. Il contiendra un journal de toute l’activité effectuée via la tour (appels, SMS, …) mais aussi la liste de tous les appareils connectés à la tour à un moment donné, y compris les connexions passives (comme nous l’avons mentionné précédemment, un appareil est toujours connecté à une tour même s’il ne fait activement rien).

PCMD, RTT, NELOS
#

Jusqu’à présent, nous n’avons vu que des choses qui permettraient d’associer un appareil à une localisation assez large. Dans cette partie, nous mentionnerons des systèmes qui peuvent permettre de localiser un emplacement plus précis (mais encore assez approximatif). Un document d’AT&T évalue que sa précision est probablement « meilleure que 100 m » et « meilleure que 10 km » selon les cas.

PCMD (Per Call Measurement Data) et NELOS (Network Event Location Systems - propriétaire d’AT&T) sont des noms différents pour des mécanismes faisant la même chose : puisque nous savons à quelle vitesse les ondes radio se déplacent, les tours mesureront le temps qu’il faut pour que les données voyagent entre la tour et les appareils connectés, et calculeront une estimation de la distance du récepteur.

Les données PCMD sont généralement conservées pour une durée plus courte que les données comme les CDR (typiquement environ une ou deux semaines). Certains opérateurs n’auront pas ces données (le PCMD n’est utilisable qu’avec les réseaux CDMA, mais des choses comme le Timing Advance sont plus ou moins équivalentes), certains les conserveront une semaine, et d’autres jusqu’à trois mois.

Les données PCMD ne seront normalement enregistrées que lorsque des transferts de données ont lieu (Internet/Appel/SMS) mais certains opérateurs pourraient avoir des politiques différentes selon le type de données.

Localisation en temps réel
#

Les méthodes que nous avons discutées jusqu’à présent sont principalement basées sur les journaux d’activité, mais il existe aussi des moyens de suivre un téléphone en temps réel. Le plus courant est la triangulation (mais certains opérateurs comme Sprint offrent aussi des choses comme les pings GPS pour envoyer une requête au téléphone afin qu’il retourne sa position GPS actuelle).

La triangulation utilisant les mesures de temps d’arrivée (TA) et de temps aller-retour (RTT) est une méthode largement supportée par les opérateurs téléphoniques. Elle consiste à faire en sorte que plusieurs tours envoient un ping à un terminal puis mesurent sa distance avec le TA ou le RTT (basé sur le temps qu’il a fallu aux ondes radio pour atteindre les appareils).

La figure ci-dessous est un exemple de triangulation effectuée par 4 tours. Chaque cercle symbolise la distance calculée depuis une tour, et nous pouvons voir que toutes les distances ont un seul point (rouge) en commun, qui est le terminal que nous voulions localiser. Bien sûr, plus il y a de tours, plus la localisation sera précise, mais le rayon sera probablement de 50 à 100 m au mieux.

Conclusion
#

Nous avons discuté dans cet article du fonctionnement du réseau téléphonique, de la façon dont il conserve des journaux (et quelles informations ils contiennent), et de la façon dont il est possible de trouver la position d’un téléphone en temps réel. Sur cette base, nous pouvons conclure que tant que vous portez un téléphone allumé dans un endroit avec de la connectivité, vous laisserez des traces. La seule solution à ce sujet est de ne pas avoir de téléphone, ou de le garder éteint quand c’est possible (réduisant donc considérablement son utilité).

Si le sujet vous intéresse, vous pouvez consulter les différentes sources listées à la fin de cet article, mais aussi des choses comme les IMSI-catchers (dispositifs d’écoute téléphonique).

Sources et ressources supplémentaires
#

Crédits images
#