OSIRIS

Observatoire sur les systèmes d’information, les réseaux et les inforoutes au Sénégal

Show navigation Hide navigation
  • OSIRIS
    • Objectifs
    • Partenaires
  • Ressources
    • Société de l’Information
    • Politique nationale
    • Législation et réglementation
    • Etudes et recherches
    • Points de vue
  • Articles de presse
  • Chiffres clés
    • Le Sénégal numérique
    • Principaux tarifs
    • Principaux indicateurs
  • Opportunités
    • Projets

Accueil > Ressources > Points de vue > 2025 > La 5G est-elle plus sûre que la 4G et la 3G ?

La 5G est-elle plus sûre que la 4G et la 3G ?

jeudi 23 janvier 2025

Point de vue

Deux questions majeures se posent : le contenu des communications entre deux utilisateurs peut-il être intercepté et lu par un tiers ? Les utilisateurs peuvent-ils être tracés ou géolocalisés ?

On fait le point sur la sécurité des télécommunications mobiles, en expliquant les différences entre la 4G et la 5G.

Les réseaux mobiles permettent aux utilisateurs d’échanger n’importe quand, pour peu que l’on se trouve sous la couverture massive de la 4G ou la 5G.

Malheureusement, l’ubiquité des communications mobiles a également des effets indésirables : la possibilité d’accéder au contenu des communications et de tracer les utilisateurs, voire de les identifier. Un problème quand on sait que l’utilisation d’un smartphone devient presque inévitable pour de nombreux aspects de nos vies quotidiennes : authentification à double facteur, confirmation et suivi de commandes, accès aux transports en commun, accès à l’éducation pour les adultes et les enfants, jusqu’à des processus démocratiques comme l’exercice du droit de vote.

Le passage de la technologie 4G à la technologie 5G est une transformation d’architecture permettant l’accès à un nombre très important de services et un renforcement de la sécurité 4G par rapport à certaines attaques connues. Ce passage permet une meilleure résistance au traçage, et aussi une meilleure confidentialité… à condition qu’une méthode de chiffrement soit proposée par l’opérateur — ce qui n’est pas toujours le cas.

Confidentialité et anonymat : deux des grands enjeux de la sécurité des communications mobiles

Dans un réseau mobile, les ondes émises par des équipements utilisateurs (téléphones, tablettes…) sont reçues, traitées et relayées par des éléments d’un réseau d’accès. Si l’utilisateur se trouve dans son propre pays, ses communications passeront par le réseau d’accès de l’opérateur mobile auprès duquel l’utilisateur a un abonnement (c’est le réseau propre ou home network). Si l’utilisateur est à l’étranger, sa communication sera relayée par un opérateur partenaire (réseau de service ou service network).Offres sur les smartphones

Disons qu’Alain, un habitant d’une jolie ville française, utilise son téléphone pour envoyer un texto à sa voisine Barbara, en vacances aux Pays-Bas. Le message d’Alain sera pris en charge par son réseau propre, mais pour qu’il arrive à Barbara, il passera par des réseaux de services partenaires (qui permettent à Barbara d’accéder au message d’Alain). Typiquement, si le réseau d’Alain et tous les réseaux partenaires sont fiables, le message arrivera bien à sa destination.

Mais, est-ce que la transmission du message d’Alain est sécurisée ? Est-ce qu’Alain peut être sûr qu’aucun élément de son message ne fuit à aucun attaquant ? Est-ce qu’il peut être sûr, en plus, que toute modification ou transmission partielle sera détectée (et potentiellement rectifiée) ? La confidentialité des données transmises est un premier enjeu des communications mobiles.

De plus, supposons que Barbara a prétendu être aux Pays-Bas pour le travail, mais qu’elle est en fait partie au soleil. Qui peut savoir, grâce à ses communications avec Alain, où elle est ? Est-il légal de la localiser ainsi ? C’est le deuxième grand enjeu de cybersécurité dans les communications mobiles : l’anonymat des utilisateurs.

Le chiffrement des données est prévu… mais il n’est pas toujours obligatoire

Tout d’abord, une bonne nouvelle : les standards techniques pour la 3G, 4G et pour la 5G prévoient bien des mécanismes pour le chiffrement de données, qui permet de garantir un certain niveau de confidentialité.

Ainsi, si le texto envoyé par Alain à Barbara passe par des canaux sécurisés par une forme de chiffrement, la confidentialité des données transmises est (partiellement) garantie. Même en utilisant une antenne capable d’intercepter les signaux émis par Alain, son voisin d’en face, Maurice le Malveillant, ne pourra jamais accéder au contenu des messages d’Alain.

En pratique, le choix d’algorithmes de chiffrement pour la 5G est similaire à celui offert pour la 4G, mais des petites modifications et révisions ont été réalisées pour augmenter le niveau de sécurité, d’une part, et pour rendre certains algorithmes plus rapides, d’autre part.

Mais il y a aussi deux mauvaises nouvelles en ce qui concerne le chiffrement des communications.

Premièrement, alors que des algorithmes de chiffrement sont prévus dans les standards techniques, il n’y a pas d’obligation universelle de les utiliser. Ainsi, dans certains pays, les communications mobiles ne sont pas du tout protégées. Il est donc important de se renseigner lors de voyages, pour savoir quels opérateurs, réseaux et territoires géographiques offrent quels niveaux de garantie — ainsi, un rapport récent signale de potentiels soucis de sécurité par rapport à la Chine, par exemple.

Deuxièmement, le chiffrement de données n’est réalisé qu’en transit, c’est-à-dire que les réseaux de services (propre ou partenaires) qui ont traité les messages y ont accès. Dans le cas hypothétique d’Alain et de Barbara, le message envoyé par Alain est chiffré de son côté, puis déchiffré du côté de son réseau de service, puis rechiffré et envoyé au réseau de service de Barbara, puis finalement déchiffré et rechiffré au niveau du réseau de service de Barbara. Ainsi, les 4 entités ayant accès à ce message sont : Alain, Barbara, et leurs deux réseaux de services.

Selon les législations de chaque pays, les données sont par la suite susceptibles d’être interceptées par des autorités. Ce processus, datant de l’époque des écoutes physiques des appels menés pas des services de renseignement et par la police (la première législation dans ce sens aux États-Unis date de 1968), s’appelle l’« interception légale » : à tout moment, les opérateurs mobiles sont obligés par la loi de ne proposer que des méthodes de chiffrement compatibles avec l’interception légale. C’est ce qui a poussé les opérateurs, notamment les réseaux d’accès, à utiliser un chiffrement de données partiel, qui n’est pas « de bout au bout ».

En effet, pour que le chiffrement soit de bout au bout, il faudrait que seuls l’expéditeur et le destinataire final puissent le déchiffrer. Or, comme on l’a vu, dans les réseaux mobiles, le chiffrement est également déchiffrable par les opérateurs qui fournissent le service mobile (4G, 5G) à l’expéditeur et au destinataire.

Ce mécanisme a plusieurs inconvénients, dont deux très importants : il rend le processus d’interception légale extrêmement facile et parallélisable pour les autorités, et il brise la confidentialité des utilisateurs par rapport aux opérateurs gérant les réseaux de services intermédiaires, alors que cet accès n’est pas demandé spécifiquement par le processus d’interception légale et n’est pas — en théorie — indispensable.

Si des travaux de recherche de plusieurs groupes en France (dont je fais partie), travaillant avec Orange Recherche, suggèrent que l’on peut faire mieux, les méthodes proposées n’ont pas encore été acceptées par des organisations de standardisation.

L’anonymat, un peu meilleur sur la 5G que sur les générations précédentes

Même sans connaître les contenus des communications, en associant celles-ci à un utilisateur donné, un attaquant peut suivre le trajet de celui-ci : c’est le « traçage ». Il est dangereux de trahir notre localisation à des potentiels attaquants : cela indique si notre logement est vide par exemple, mais peut aussi contribuer au profilage d’un utilisateur, voire de l’identifier.

Les réseaux mobiles 3G et 4G permettaient un traçage relativement facile des usagers, par une attaque appelée « IMSI Catcher ». Le terme IMSI est une abréviation de « International Mobile Subscriber Identity », un identifiant permanent et unique par équipement utilisateur qui permet au réseau propre de l’utilisateur de valider son accès aux services. La valeur de l’IMSI de chaque utilisateur est considérée comme sensible justement parce qu’elle permet un traçage direct. Pour la cacher, dans les réseaux 3G et 4G, chaque équipement utilisateur était associé à des identifiants temporaires, appelés TMSI (« Temporary Mobile Subscriber Identity »), qui changeaient de façon imprévisible à chaque communication.

Malheureusement, pour pouvoir garantir un service mobile ubiquitaire sur la 3G et 4G, un mécanisme de repli avait été mis en place, permettant, en cas de perte de TMSI, de retrouver l’IMSI caché derrière. Un attaquant n’avait qu’à exploiter ce système de repli pour tracer un utilisateur par son IMSI. Pire encore, l’attaque était parallélisable : il était relativement facile de retrouver et de tracer un nombre important d’usagers par leurs IMSI à tout moment.

Mais il y a là une bonne nouvelle. Les attaques de type IMSI Catchers ne sont plus aussi faciles à mettre en place dans les réseaux 5G, car, si le mécanisme de repli des générations précédentes existe toujours, l’identifiant permanent n’est plus envoyé en clair sur le réseau : un mécanisme de chiffrement est utilisé.

Mais si ce chiffrement de l’identifiant permanent permet de réduire le traçage à large échelle, le chiffrement utilisé est un chiffrement à clé publique, qui permet à n’importe quelle entité de former des textes chiffrés valides. Ceci ne brise pas la confidentialité d’un message déjà chiffré, mais des travaux existants montrent comment cela peut en revanche permettre à un attaquant de tracer un utilisateur spécifique (dont l’attaquant connaît l’identifiant permanent). L’attaque demande la participation active de l’attaquant et n’est pas parallélisable, mais elle avait déjà été identifiée avant le déploiement des protocoles actuellement en usage dans les réseaux 5G et une solution avait déjà été présentée… sans être adoptée jusqu’à présent.The Conversation

Cristina Onete, Maître de conférence en informatique, Université de Limoges

(Source : Social Net Link, 23 janvier 2025)

Un message, un commentaire ?

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Fil d'actu

  • TIC ET AGRICULTURE AU BURKINA FASO Étude sur les pratiques et les usages Burkina NTIC (9 avril 2025)
  • Sortie de promotion DPP 2025 en Afrique de l’Ouest Burkina NTIC (12 mars 2025)
  • Nos étudiant-es DPP cuvée 2024 tous-tes diplomés-es de la Graduate Intitute de Genève Burkina NTIC (12 mars 2025)
  • Retour sur images Yam Pukri en 2023 Burkina NTIC (7 mai 2024)
  • Quelles différences entre un don et un cadeau ? Burkina NTIC (22 avril 2024)

Liens intéressants

  • NIC Sénégal
  • ISOC Sénégal
  • Autorité de régulation des télécommunications et des postes (ARTP)
  • Fonds de Développement du Service Universel des Télécommunications (FDSUT)
  • Commission de protection des données personnelles (CDP)
  • Conseil national de régulation de l’audiovisuel (CNRA)
  • Sénégal numérique (SENUM SA)

Navigation par mots clés

  • 2060/2251 Régulation des télécoms
  • 173/2251 Télécentres/Cybercentres
  • 1552/2251 Economie numérique
  • 798/2251 Politique nationale
  • 2251/2251 Fintech
  • 253/2251 Noms de domaine
  • 836/2251 Produits et services
  • 697/2251 Faits divers/Contentieux
  • 370/2251 Nouveau site web
  • 2156/2251 Infrastructures
  • 798/2251 TIC pour l’éducation
  • 90/2251 Recherche
  • 121/2251 Projet
  • 1416/2251 Cybersécurité/Cybercriminalité
  • 862/2251 Sonatel/Orange
  • 781/2251 Licences de télécommunications
  • 132/2251 Sudatel/Expresso
  • 470/2251 Régulation des médias
  • 601/2251 Applications
  • 494/2251 Mouvements sociaux
  • 791/2251 Données personnelles
  • 60/2251 Big Data/Données ouvertes
  • 296/2251 Mouvement consumériste
  • 179/2251 Médias
  • 322/2251 Appels internationaux entrants
  • 710/2251 Formation
  • 51/2251 Logiciel libre
  • 853/2251 Politiques africaines
  • 408/2251 Fiscalité
  • 83/2251 Art et culture
  • 285/2251 Genre
  • 731/2251 Point de vue
  • 483/2251 Commerce électronique
  • 697/2251 Manifestation
  • 156/2251 Presse en ligne
  • 62/2251 Piratage
  • 102/2251 Téléservices
  • 422/2251 Biométrie/Identité numérique
  • 151/2251 Environnement/Santé
  • 159/2251 Législation/Réglementation
  • 168/2251 Gouvernance
  • 830/2251 Portrait/Entretien
  • 72/2251 Radio
  • 342/2251 TIC pour la santé
  • 133/2251 Propriété intellectuelle
  • 29/2251 Langues/Localisation
  • 505/2251 Médias/Réseaux sociaux
  • 937/2251 Téléphonie
  • 95/2251 Désengagement de l’Etat
  • 486/2251 Internet
  • 57/2251 Collectivités locales
  • 188/2251 Dédouanement électronique
  • 530/2251 Usages et comportements
  • 512/2251 Télévision/Radio numérique terrestre
  • 275/2251 Audiovisuel
  • 1384/2251 Transformation digitale
  • 191/2251 Affaire Global Voice
  • 75/2251 Géomatique/Géolocalisation
  • 147/2251 Service universel
  • 331/2251 Sentel/Tigo
  • 88/2251 Vie politique
  • 744/2251 Distinction/Nomination
  • 17/2251 Handicapés
  • 337/2251 Enseignement à distance
  • 320/2251 Contenus numériques
  • 293/2251 Gestion de l’ARTP
  • 90/2251 Radios communautaires
  • 887/2251 Qualité de service
  • 212/2251 Privatisation/Libéralisation
  • 67/2251 SMSI
  • 225/2251 Fracture numérique/Solidarité numérique
  • 1280/2251 Innovation/Entreprenariat
  • 670/2251 Liberté d’expression/Censure de l’Internet
  • 23/2251 Internet des objets
  • 86/2251 Free Sénégal
  • 174/2251 Intelligence artificielle
  • 98/2251 Editorial
  • 12/2251 Yas

2025 OSIRIS
Plan du site - Archives (Batik)

Suivez-vous