•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  • Exclusif
  • Groupe de travail secret sur le SS7 et les failles de la téléphonie mobile

    Un homme consulte son téléphone cellulaire.
    Un homme manipule son téléphone cellulaire. Photo: iStock / Blackzheep

    Un reportage de l'émission Enquête, en novembre dernier, a démontré que les principaux réseaux de téléphonie mobile au pays étaient vulnérables à la fraude et à l'espionnage. Cinq mois plus tard, des documents obtenus en vertu de la Loi sur l'accès à l'information révèlent que l'agence responsable de la sécurité des réseaux du gouvernement fédéral n'a pas tout dit dans sa déclaration officielle à l'époque.

    Un texte de Brigitte Bureau

    À partir du seul numéro de téléphone mobile du député fédéral Matthew Dubé, des pirates informatiques allemands avaient été en mesure d'intercepter ses communications et de suivre ses moindres déplacements.

    Cet exercice avait été fait pour le compte de l'émission Enquête avec le consentement de M. Dubé.

    Pour intercepter ses appels, les experts en cybersécurité avaient exploité les failles du système mondial de trafic téléphonique, appelé système de signalisation no 7 (SS7). Le téléphone de M. Dubé était branché au réseau de Rogers, mais des téléphones qui utilisaient le réseau de Bell Canada avaient aussi été surveillés avec succès à partir de Berlin.

    C'est le Centre de la sécurité des télécommunications (CST) qui avait réagi à ce reportage au nom du gouvernement. Le CST est l'agence d'espionnage électronique du gouvernement canadien, qui est aussi responsable d'assurer la sécurité de ses réseaux.

    Le CST nous avait expliqué essentiellement que les problèmes de sécurité liés au SS7 sont connus depuis de nombreuses années et que l'agence travaille activement avec l'industrie des télécommunications pour en réduire les risques. Le Centre avait par la suite publié une déclaration semblable sur son site web.

    Nouvelles infos divulguées

    L'édifice du Centre de la sécurité des télécommunications du CanadaL'édifice du Centre de la sécurité des télécommunications du Canada Photo : Radio-Canada

    Mais le CST avait prévu nous en dire un peu plus. Des documents obtenus en vertu de la Loi sur l'accès à l'information démontrent que la réponse initiale du CST a été modifiée à la dernière minute à la suite de discussions entre l'agence et le ministère de l'Innovation.

    Dans son premier message, qui n'a jamais été rendu public, le CST révélait l'existence d'un groupe de travail sur les vulnérabilités du SS7 qu'il avait codirigé avec l'industrie des télécommunications dans la dernière année.

    Le CST s'avançait aussi davantage sur les efforts qui seraient nécessaires de la part des fournisseurs de téléphonie mobile pour mieux protéger leurs réseaux, et par le fait même, la vie privée de leurs abonnés.

    Certaines mesures d'atténuation des risques du SS7 peuvent être plus faciles à mettre en place par l'industrie, alors que d'autres pourraient exiger des investissements et des efforts importants

    Le CST, dans son message initial

    Ces éléments ont disparu de sa réponse officielle.

    Membres du groupe toujours secrets

    Relancé à ce propos, le CST nous a confirmé qu'au sujet du SS7 « un groupe de travail se rencontre sur une base régulière afin de discuter des mises à jour, défis et préoccupations des partenaires de l'industrie des télécommunications ». Mais là s'arrêtent les confidences. « Conformément à l'entente du groupe de travail, le CST n'est pas autorisé à fournir des détails relatifs aux réunions, ou le nom des particuliers ou entreprises qui participent aux réunions du groupe de travail », nous a répondu le CST par courriel le 16 avril 2018.

    Les documents obtenus en vertu de la Loi sur l'accès à l'information démontrent aussi qu'en novembre dernier, lorsque Radio-Canada a demandé des réactions sur le piratage des communications d'un député fédéral, le gouvernement ne savait pas trop quel ministère était responsable de cet enjeu : Sécurité publique, Innovation, Services partagés? Après deux jours d'hésitation, c'est le CST qui avait été chargé de nous répondre.

    Les documents que nous avons obtenus proviennent du ministère de la Sécurité publique. Une demande d'accès à l'information semblable auprès du CST demeure sans réponse après quatre mois d'attente, alors que le délai prévu par la Loi est de 30 jours dans la plupart des cas.

    Ottawa-Gatineau

    Société