Comment la 5G est-elle protégée contre des attaques par repli? Telle est la question à laquelle nous allons répondre dans cette vidéo. Une attaque par repli, ou bidding-down attack, consiste à faire fonctionner un équipement dans un mode dégradé. Voyons un exemple. Lors du premier enregistrement dans le réseau, il n'y a pas de contexte de sécurité, de clé de chiffrement, de vérification d'intégrité qui sont établis. Un terminal transmet donc en clair la demande d'enregistrement, et doit indiquer les algorithmes de chiffrement, par exemple, qu'il gère, plus généralement, les capacités de sécurité. L'attaquant peut se placer au milieu de la transmission et modifier les capacités de sécurité, par exemple indiquer que les algorithmes de chiffrement EA1, EA2, EA3 ne sont pas supportés alors que le terminal a annoncé qu'il les supporte effectivement. L'AMF, qui reçoit le message, n'a pas les moyens de déterminer qu'il a été modifié. Il procède à l'authentification. Une fois que l'authentification a été faite, on a les clés de sécurité et d'intégrité mais, pour respecter ce qui a été annoncé, le mode de sécurité est compatible avec ce que supporte le terminal. C'est-à -dire qu'on va utiliser EA0, qui consiste à ne pas chiffrer du tout. Comment se prémunit-on contre de telles attaques? On ne peut pas réellement les empêcher. Ce qu'on va faire c'est que, lors de l'activation du chiffrement, on va répéter en écho les capacités de sécurité qui ont été annoncées par le terminal. Et de plus, le message va avoir un Message Authentication Code pour en vérifier l'intégrité. Ce mécanisme est utilisé en 5G, mais dès la 4G, il a été aussi défini et implémenté. Voyons un cas d'attaque. L'attaquant modifie les capacités de sécurité. Après l'authentification, il y a possibilité de démarrer le contrôle d'intégrité et, plus exactement à l'émission, la protection permettant le contrôle d'intégrité, c'est-à -dire que le message a un MAC. Ici, nous supposons que l'attaquant qui a modifié les capacités ne modifie pas le message d'écho. Que va-t-il se passer? L'UE va vérifier l'intégrité du message, le message n'a pas été modifié, il n'y a donc pas de problème, et va vérifier que l'écho est cohérent avec ce qu'il a envoyé. Ici, il y a différence entre les deux, et donc, il y a rejet de la part de l'UE. Voyons le cas numéro 2 où l'attaquant cherche à modifier le message d'écho pour rendre l'écho cohérent. À ce moment-là , c'est le contrôle d'intégrité qui va jouer. L'attaquant ne connaissant pas la clé servant à l'intégrité, il peut essayer de modifier l'écho mais il ne va jamais trouver le bon MAC correspondant au message modifié. Le contrôle d'intégrité va donc échouer, et l'UE peut rejeter la demande. En 5G, il n'y a pas que les capacités de sécurité qui sont annoncées par le terminal. Il y a un ensemble de capacités qui ont trait à d'autres fonctions réseau. Par exemple, lors de l'enregistrement, un terminal indique s'il supporte le transfert de données sur l'interface S1. On peut très bien imaginer un terminal qui ne gère que des messages courts, que des SMS qui sont transportés dans le plan contrôle. L'attaquant peut modifier cette capacité réseau. Ce qu'on va faire en 5G c'est généraliser le mécanisme que nous avons vu. C'est-à -dire qu'en écho, c'est l'ensemble du message d'enregistrement qui va être renvoyé. Quelles que soient les capacités qui sont indiquées dedans, quelles que soient les évolutions de la norme à venir, on renvoie l'ensemble du message. De la même façon que précédemment, il y a contrôle d'intégrité sur ce message et, quel que soit le cas considéré, si l'attaquant décide de ne pas modifier l'écho, à ce moment-là , c'est le contrôle entre l'écho reçu et le message réellement envoyé qui va permettre de détecter l'attaque. Et si l'attaquant décide de modifier le message d'écho, c'est le contrôle d'intégrité qui va servir à l'UE pour détecter l'attaque. En conclusion, en 3G, 4G, 5G, le message initial d'enregistrement est transmis en clair car il n'y a pas de contexte de sécurité, de clé de chiffrement, de vérification d'intégrité qui sont établis. C'est une faiblesse inhérente. On empêche, ou plutôt on détecte les attaques par repli, ou bidding-down attack, qui sont des attaques de type homme au milieu qui consistent à annoncer de façon générale des capacités dégradées pour le terminal. La contre-mesure en 4G et en 5G c'est un mécanisme d'écho avec contrôle d'intégrité. En 4G, c'est limité aux capacités de sécurité. En 5G, c'est tout le message initial qu'on renvoie en écho pour détecter l'attaque. [MUSIQUE] [MUSIQUE]
