Le phreaking (piratage mobile) : qu’est-ce que c’est ? Techniques utilisées et conseils pour se protéger

Dernière mise à jour : 27 octobre 2017
Sommaire

Le phreaking désigne l’activité de piratage d’un standard téléphonique. Dans les faits, c’est plus complexe que du simple piratage comme habituellement entendu. Avant d’aller plus loin, il faut aborder quelques termes dont le sens éclaire la pratique du phreaking.

Tout d’abord, il est nécessaire de définir le phreak, ou phreaker. C’est celui qui est passionné de systèmes téléphoniques et qui, sans nécessairement de mauvaises intentions, décortique son fonctionnement pour mieux le comprendre. Le terme de phreak est la contraction de deux mots anglais : phone, pour téléphone, et freak, désignant une personne en marge de la société comme un geek ou un nerd. Un phreak est donc, par étymologie, un passionné de téléphone.

Histoire du phreaking

Si la pratique est née dans les années 50 aux États-Unis, le mythe fondateur, puisqu’il y en a un, remonte aux années 60. Il s’agit de l’histoire d’un certain John Draper qui fut surnommé Captain Crunch. Malgré ce surnom, il ne détruisait rien, mais utilisait un simple sifflet. Avec celui-ci, la légende raconte qu’il a été le premier à découvrir comment accéder à certaines fonctions de la centrale téléphonique. Le secret consistait en l’émission via le sifflet d’un son sur la même fréquence que le signal du central téléphonique. Il s’agit d’une fréquence de son de 2600 hertz. Et en ce qui concerne le surnom, Crunch est le nom de la marque de céréales, Cap’n Crunch, dans laquelle il aurait trouvé le fameux sifflet. Cette technique a ainsi été largement répandue parmi les aficionados. La faille a par la suite été comblée, mais bien après son apparition. Elle a également ouvert le domaine aux passionnés de phreaking en révélant les possibles nombreuses opportunités d’hacking. Invisibles à première vue, elles restent cependant accessibles aux plus téméraires et talentueux.

sifflet de phreaking captain crunch

Sifflet émettant un son de 2600 hertz, disponible dans les paquets de céréales Cap’n Crunch, dans les années 60.

Par la suite, le phreaking s’est répandu dans les années 70. Les phreaks passaient une grande partie de leur temps libre à parcourir le réseau téléphonique en composant des numéros, écoutant des suites de tonalités, ou encore en lisant les rapports techniques des compagnies de téléphone. Pour les plus grands fans, cela pouvait aller jusqu’à fouiller les poubelles d’une compagnie. C’est ce genre de comportements extrêmes qui leur a valu d’être considéré comme des freaks, puis d’êtres baptisés phreaks. Avec toutes ces recherches, ils en sont venus à construire du matériel électronique pour les aider : blue box, black box, red box et bien d’autres.

Blue, black, red box : les box pour pirater des lignes téléphoniques

La fonction de ces box, auxquelles on attribue une couleur, est principalement d’émettre sur les fréquences utilisées par les compagnies et opérateurs de téléphonie. Pour revenir à la légende du Captain Crunch, son coup de sifflet envoyait un signal sur une fréquence de 2600 hertz. Recevant ce signal, le central téléphonique comprenait qu’il fallait ouvrir une ligne pour appeler, et mettait donc celle-ci a disposition. Cela permettait de passer un appel sans avoir à payer. D’où la notion de piratage. Il n’est ici question que de quelques box, bien que de nombreuses autres existent : beige box, clear box, gold box, green box, magenta box, orange box, silver box et vermilion box.

La blue box

L’utilisation la plus connue reliée à la box bleue consiste à effectuer des appels téléphoniques gratuits. Associée avec la black box, la blue box permet également de recevoir des appels gratuits pour la personne appelant. Cette technique était particulièrement utilisée aux débuts de l’apparition du phreaking. La blue box n’est maintenant plus fonctionnelle dans la plupart des pays développés. Ces derniers n’utilisent maintenant plus de signalisation en bande comme durant le vingtième siècle.

La black box

La black box permet d’écouter une conversation téléphonique en se plaçant sur sa fréquence, ou bien de passer un appel sans payer. Ce genre de pratique est aujourd’hui bien connu des opérateurs, et il n’est plus possible de l’utiliser, la technologie ayant fortement évolué.

La red box

Elle n’a bien évidemment rien à voir avec la box internet de RED by SFR nommée RED box. On peut cependant s’interroger sur ce clin d’œil réalisé par le fournisseur d’accès à internet sans engagement de SFR. De la même manière, aucun rapport avec les cabines téléphoniques rouges présentes en Angleterre.

En phreaking, la red box est un appareil générant une tonalité simulant l’insertion d’une pièce de monnaie dans une cabine téléphonique. Le système mis en place interprétait le signal comme étant l’insertion d’une nouvelle pièce dans le combiné, et nécessitant donc de maintenir l’appel. Appeler depuis une cabine téléphonique avec une red box devenait donc totalement gratuit et illimité. Des appareils loufoques tels que des lecteurs MP3 et des cartes de voeux audio bricolées permettaient un phreaking des cabines téléphoniques.

Phreaking d'un combiné de téléphone fixe.

Exemple de box utilisée par les phreakers pour pirater un standard téléphonique. Dans l’exemple ci-dessus, le haker connecte son matériel au combiné du téléphone.

L’évolution du phreaking aujourd’hui

Le phreaking en entreprise, aujourd’hui au cœur des arnaques

Naturellement, cette pratique a permis à des tactiques d’arnaque d’émerger. Certains n’ont pas hésité à se servir de ces nouvelles possibilités pour acquérir des informations personnelles en écoutant des conversations téléphoniques. Aujourd’hui, la technologie employée a changé, mais la pratique, hélas, subsiste. Il est difficile de repérer l’intrusion d’un phreaker avant de recevoir une facture de téléphone bien salée. Le fait est que ce sont les entreprises qui sont majoritairement visées par les phreakers. Une pratique couramment répandue consiste en l’appel de numéros surtaxés. L’entreprise paye ainsi pour les nombreux appels effectués par le pirate. Ce dernier récupère des codes audiotels qu’il peut facilement revendre contre des sommes pécuniaires, importantes selon le volume d’appels effectués.

Pour prévenir une attaque, quelques mesures peuvent être mises en place :

  • Un renforcement de la sécurité des appareils téléphoniques via contrôle d’accès et mot de passe,
  • Une sensibilisation du personnel aux risques,
  • Une authentification des accès à internet,
  • Un cryptage des informations transmises,
  • Une analyse complète et régulière du trafic,
  • Une vérification régulière des factures.

Le but principal des actes de phreaking est généralement de bloquer des systèmes, de détruire des données, d’écouter des conversations ou encore de détourner des lignes, pour réaliser des appels à l’international ou monétiser les appels. Les smartphones se développant, les attaques sont devenues plus dangereuses. Étant donné que les appareils téléphoniques actuels sont proches des ordinateurs, la pratique s’apparente de plus en plus à de l’hacking. Mais comme l’on reste sur la téléphonie, on parle toujours de phreaking. Les systèmes de communication de type VoIP fonctionnant via accès internet (Skype, Viber, WhattsApp) sont également touchés.

Le phreaking, une activité professionnelle lucrative

De nombreuses entreprises privées se sont spécialisées dans le phreaking. Ces sociétés sont infiniment plus informatisées que les passionnés des années 70. Composées de plus de 250 salariés pour certaines, les mises à jour des logiciels des constructeurs prendraient de quelques jours à plusieurs mois à hacker. Pour une grande partie basée en Israël près de Tel Aviv, ces entreprises à la pointe des nouvelles technologies se vantent de pouvoir déverrouiller et d’extraire les données de tous les smartphones. Tous les systèmes d’exploitation et tous les smartphones, même récents, seraient accessibles. Au fil du temps, leur piratage se complexifierait, mais rien ne serait impossible.

Les clients de ces entreprises sont des Gouvernements, mais également des entreprises privées. Ces activités amènent de manière régulière de nombreuses polémiques. Des pays ne respectant pas les droits de l’Homme ont ainsi été accusés d’espionner les activités de certains dissidents, preuve à l’appuis. De même, des entreprises privées commerciales espionneraient quotidiennement les faits et gestes de concurrents. Des informations qui permettent de facilement prendre l’ascendant sur son rival.

Hackeur attaquant un smartphone ou un standard téléphonique.

Les hacking de standards téléphoniques et smartphones se portent à merveille, même à l’heure actuelle. Les techniques ont cependant évoluées, et sont maintenant proches du piratage informatique.

Comment réagir en cas de hacking de phreakers

Vous avez été victime d’un piratage de votre ligne téléphonique

Malheureusement, comme dit plus haut, une attaque ne se détecte souvent qu’après coup. La première chose à faire dès qu’une attaque de ce genre est constatée, c’est de vérifier s’il s’agit d’un manquement de l’opérateur de télécommunication à son devoir. Le fait est que ceux-ci ont un devoir de sensibilisation, et s’il n’a pas été rempli, l’opérateur est en tort. Par ailleurs, les opérateurs de télécommunication ont le devoir de contrôler toute consommation anormale et suspecte. Ils doivent alerter l’entreprise touchée dès que des consommations anormales sont repérées. Si l’opérateur ne fait pas cela, il engage sa responsabilité.

Il est plus que recommandé à l’entreprise ou au particulier touché de demander un détail de la facture avec la liste des appels. L’opérateur est tenu de fournir cette liste qui permet de démontrer l’aspect frauduleux des appels que l’on peut prouver n’avoir pas passé. Un nombre de secondes sur les relevés systématiquement identique, une régularité suspecte, un nombre d’appel faramineux ou un numéro appelé redondant sont autant de preuves pouvant clairement démontrer une anomalie.

Les actions que peut mener l’entreprise ou le particulier touché

En cas de phreaking reconnu, l’entreprise peut engager une action d’ordre pénale (voir plus bas les risques encourus). Pour cela, il faut déposer une plainte contre X devant le procureur de la République le plus rapidement possible. Le procureur peut, dans les trois mois qui suivent le dépôt de la plainte, ouvrir une enquête préliminaire ou transmettre ladite plainte à un juge d’instruction. Une procédure est alors mise en place. Hélas, le procureur peut aussi classer la plainte sans suite. Pour que ce dernier scénario n’arrive pas, il faut impérativement conserver toutes les preuves possibles pour les présenter. Il s’agit alors de faire une copie du système en passant par un huissier qui peut être assisté d’un expert informatique. Enfin, pour protéger sa réputation et empêcher la fuite d’informations déformées et inexactes, il est important de faire une communication en interne sur l’évènement.

Le phreaking représente une menace bien réelle et très dangereuse. Ce genre d’acte peut ruiner aussi bien une entreprise qu’un particulier. Ils sont d’autant plus dangereux qu’ils sont très difficiles à anticiper. C’est pourquoi il faut réagir immédiatement quand une attaque est repérée. A l’avenir, la mise en place d’un plan de prévention semble plus que nécessaire.

Pour les particuliers, l’opérateur doit pouvoir vous rembourser, qui plus est après un dépôt de plainte. Les preuves visibles sur votre relevé détaillé de consommation peuvent jouer en votre faveur. Vérifiez tout de même que le petit dernier de la famille ne soit pas responsable des appels surtaxés réalisés.

Les risques pour le phreaker

Le phreaking est une activité illicite. La loi a prévu des sanctions à la hauteur des dommages subis par les victimes. Il est bien loin le temps où un sifflet pris dans un paquet de céréales suffisait à tromper les opérateurs ! Les lecteurs peu assidus pourront consulter en haut de page la partie historique pour en savoir plus. Dorénavant, les smartphones et les réseaux sont beaucoup plus sophistiqués et informatisés. Retrouver la trace des phreakers est donc possible vis de nombreux moyens, ces derniers laissant des traces. Appeler un numéro, entrer dans une base informatique ou modifier des fichiers sur sa box internet sont autant de moyens d’être repéré. Pirate en herbe, ne vous tentez pas à l’aventure qui pourrait rapidement couper court. Le contrevenant pris la main dans le sac risque gros selon les cas.

Le phreaking rejoint les peines liées au hacking, prévues par la loi. Elles relèvent du code pénal, faisant risquer à leur utilisateur des peines de prison ferme. Le fait de s’introduire sur un serveur, un site web, un téléphone ou autre système de traitement automatisé de données sans autorisation est ainsi puni jusqu’à un an de prison et 15000€ d’amende. Dans le cas d’altération (via la modification ou la destruction, par exemple), la peine est doublée. Elle est donc portée à deux ans et 30000€ d’amende.

On vous a été utile ?
Pour nous remercier,
partagez !