IMSI-catcher 📖 Wikipedia

Un IMSI-catcher est un matériel de surveillance cachée, utilisé pour intercepter des données de trafic de téléphonie mobile et pour suivre les données de localisation des terminaux et donc de leurs utilisateurs. Il simule une fausse antenne-relais en agissant entre le téléphone mobile espionné et les antennes-relais de l'opérateur téléphonique ; exploitant des « faiblesses » dans les protocoles de communication 2G, 3G et 4G.

Les IMSI-catchers sont utilisés dans certains pays par la police ou les services de renseignement, parfois illégalement car enfreignant la liberté civile et la protection de la vie privée.

Diverses associations de défense des droits fondamentaux, et en particulier de la vie privée et des droits de l'Homme et des parlementaires le contestent, car il s'agit en fait d'une attaque de l'intercepteur, et car l'IMSI-catcher est notamment « exploité par des officines privées œuvrant dans la plus parfaite illégalité » et il permet d'écouter indistinctement toutes les personnes se trouvant dans son rayon d'action et pas uniquement la (ou les) personne(s) soupçonnée(s), ce qui le rend « plus attentatoire aux libertés que la classique interception des télécommunications »^[1].

En France, au sein de l'Assemblée nationale, un rapport de mission parlementaire a en 2013 souligné son usage probable (et illégal) par des services de renseignements (or rappellent les auteurs du rapport, une écoute illégale perd sa valeur de preuve devant la justice). Ce rapport propose une légalisation de l'outil mais en précisant que « sa mise en place ne saurait donc revêtir qu'un caractère très exceptionnel et n'intervenir qu'en dernier ressort, lorsque tous les autres moyens spéciaux d'investigation auraient échoué (principe de proportionnalité). Elle devrait par ailleurs être soumise au contrôle continu d'une autorité extérieure, afin de prévenir tout abus et d'exclure immédiatement les conversations non pertinentes de l'enregistrement. Des garde-fous supplémentaires seront nécessaires afin d'éviter la censure constitutionnelle »^[1].

Il existe peu de contre-mesures pour se prémunir d'être espionné par un IMSI-catcher, mais son utilisation peut être détectée à l'aide de certains outils.

La station mobile doit prouver son identité, mais à aucun moment le contrôleur de station de base^[a] ne doit prouver la sienne. Dans le protocole GSM, la station mobile envoie une requête de mise à jour de position^[b] lorsqu'elle doit se connecter à un nouveau réseau (IMSI attach). Le contrôleur de station de base peut alors lui demander son IMSI et la station mobile se doit de lui répondre^[2].

Une attaque peut se dérouler ainsi :

• un IMSI-catcher est présent dans les environs de la station mobile concernée,
• la station mobile essaye de se connecter grâce à une requête de mise à jour de position à l'IMSI-catcher, la prenant pour une antenne-relais « normale »,
• la requête de mise à jour de position utilisant le TMSI (en)^[c], l'IMSI-catcher ne peut pas connaître l'identité du requérant,
• elle peut cependant lui demander son IMSI grâce à une requête d'identité^[d],
• la station mobile qui reçoit cette requête renvoie une réponse d'identité^[e] contenant son IMSI.

De cette façon, l'IMSI est récupérée par l'IMSI-catcher.

Quatre algorithmes de chiffrement A5/1, A5/2, A5/3 (aussi appelé KASUMI) et A5/4 sont définis. Il en existe aussi un dernier, l'A5/0, qui est l'absence de chiffrement (aussi appelé « le mode français »). L'implémentation de ces algorithmes n'a pas été révélée, mais la rétro-ingénierie a permis de détecter des faiblesses dans certains des algorithmes.

Adi Shamir a prouvé en 2000 qu'il était possible de déchiffrer l'A5/1, mais cela demandait d'avoir des données dès le début de la conversation et d'avoir effectué un précalcul de certaines données entre 2 ⁴² et 2⁴⁸ étapes^[3]. Lors de la Chaos Communication Congress, Chris Paget et Karsten Nohl ont démontré une attaque portant sur l'A5/1 permettant de le déchiffrer. L'attaque se base sur la génération d'un livre-code des entrées et sorties de l'algorithme. Malgré la taille importante (128 pétaoctets) du livre-code brut^[4], il serait possible selon les auteurs de pouvoir réduire sa taille en cumulant une rainbow table et une table précalculée pour un résultat de seulement 2 téraoctets^[5]. Cette méthode permettrait d'avoir un déchiffrement des connexions presque instantané, avec un réseau distribué dédié pour casser les clés.

L'A5/2 est un algorithme moins sécurisé que l'A5/1. La GSM Association a déclaré qu'elle ne l'implémentait plus depuis 2006^[6]. Il existe un logiciel A5/2 Hack Tool permettant de déchiffrer les communications utilisant l'A5/2. Le logiciel a été utilisé afin de démontrer que pour déchiffrer les communications, il est nécessaire d'utiliser et d'avoir préalablement calculé une matrice de données d'environ 4,08 Go. Cette étape a pris 2 heures 23 minutes et 44 secondes lors de la démonstration et il a été possible de déchiffrer complètement une connexion chiffrée en A5/2 en 9 secondes^[7].

Une attaque appelée « attaque sandwich » a permis de déchiffrer une clé 128 bits de l'A5/3 en moins de 2 heures. Pour cela, il est nécessaire d'avoir 1 Gio de mémoire, 64 Mio de données et un temps de 2³² secondes (environ 136 ans). En plus de cela, il est nécessaire d'avoir des messages choisis chiffrés et d'avoir 4 clés par clé apparentée^[8].

L'A5/4, spécifié en 2015 et n'étant pas encore globalement déployé, n'a pas encore bénéficié de recherches sérieuses permettant de casser son algorithme^[9].

Il est possible d'écouter une conversation chiffrée sans avoir besoin de casser l'algorithme. Pour cela on doit préalablement avoir une conversion en clair et chiffrée avec la station mobile. Cela peut se faire en appelant la station mobile (ce qui donne la conversation en clair) et en écoutant le réseau pour avoir la version chiffrée^[10]. Cela permet d'avoir les 2 premiers blocs du générateur pseudo-aléatoire pour la fenêtre FN utilisée.

Si la station mobile est connectée à l'IMSI-catcher, celui-ci peut forcer l'utilisation de la fenêtre ayant le numéro FN dans lequel les 2 premiers blocs du générateur pseudo-aléatoire sont connus. Cela permettra de déchiffrer les futures conversations tant qu'on pourra forcer le numéro de fenêtre^[11].

La station mobile doit transmettre sa position quand l'opérateur lui demande afin que ce dernier mette à jour sa VLR^[f],[12].

Le contrôleur de la station de base peut indiquer la fréquence à laquelle la station mobile doit lui envoyer un message de mise à jour de position^[12]. Si une station mobile se connecte à ce contrôleur de station de base, elle devra lui envoyer avant chaque fin de période sa position. Une fréquence très basse permet de connaître la position de la station mobile toutes les 6 minutes^[13].

Une autre possibilité est d'émettre une commande paging request, soit avec l'IMSI, soit avec le TMSI (en). Une station mobile devant répondre à une paging request avec une paging response, il est possible de détourner ce mécanisme pour connaître à n'importe quel instant la position d'une station mobile.

La faille réside dans le fait que la station de transmission peut demander à utiliser un algorithme de chiffrement plus faible voire aucun^[2]. La station mobile envoie d'abord la liste des algorithmes supportés. L'antenne renvoie le message au MSC^[g] qui répond au contrôleur de station de base en envoyant la liste des algorithmes autorisés grâce à une commande cipher mode. L'antenne choisit alors par rapport aux deux listes reçues et renvoie à la station mobile l'algorithme à utiliser, toujours grâce à une commande cipher mode. Cela implique une utilisation potentielle d'un IMSI-catcher, le fait de toujours utiliser l'algorithme le plus faible supporté par la station mobile^[14].

Il est possible de faire un déni de service, de l'interception ou de l'impersonnalisation si l'IMSI-catcher reçoit une requête TAU^[h] et renvoie un rejet TAU avec la cause du rejet. Il y a deux résultats possibles en fonction des deux motifs possibles du rejet :

• « Service LTE non autorisé »^[i] signifie que le réseau n'autorise pas de connexion 4G, ainsi la station mobile passe en mode 2G/3G ou "identité de l'équipement utilisateur ne peut être délivrée par le réseau" dans ce cas on peut implémenter une redirection, dans le code source faisant fonctionner l'eNode B, qui fait basculer l'équipement utilisateur en 2G^[15] (par exemple) : ce qui permet l'interception par la suite à l'aide des méthodes spécifiques à la 2G.
• Pendant la bascule de la 4G vers la 2G l'équipement utilisateur renvoie les identifiants nécessaires à la connexion à un réseau commercial ce qui permet de se connecter avec un équipement utilisateur malicieux au réseau commercial décrite ici ^[16] (ou encore « Attaque Ghost Téléphonist »).
• « Services LTE et non LTE non autorisés »^[j] signifie que le réseau n'autorise ni la 4G, ni la 2G/3G, ainsi la station mobile passe en mode « urgence »^[k]. Ceci l'empêche de se connecter à un nouveau réseau tant que l'utilisateur ne redémarre pas la station ou qu'il enlève et remette la carte SIM.

Les requêtes TAU ne demandent pas d'authentification^[17].

Il est aussi possible de récupérer les informations de positionnement grâce aux measurement reports qui permettent de connaître l'identifiant des antennes aux alentours. La récupération de ces rapports se fait sans protection d'accès à ces informations. Cela a été créé pour analyser les problèmes potentiels liés aux réseaux^[18].

Sur les réseaux 2G et 3G, il existe un moyen de connaître la position d'une station mobile grâce à son IMSI en la demandant directement au MSC/VLR grâce à une requête d'information sur un utilisateur par le protocole SS7^[l]. Pour cela, il faut d'abord connaître l'IMSI. Il existe un moyen de se procurer l'IMSI d'une station mobile grâce à son numéro de téléphone. Il suffit d'envoyer une demande d'information de routage^[m] à la HLR. Si en plus le titre global^[n] de la MSC/VLR n'était pas connu, il est récupéré en demandant l'IMSI. Une fois l'IMSI récupéré en envoyant une requête d'information sur un utilisateur à la VLR, elle nous renvoie la position de la station mobile^[19].

Il est possible de demander la position d'une station mobile grâce à un numéro de téléphone sans avoir besoin de demander préalablement à une HLR grâce à une requête sur le service de position^[o] qui permet aux services d'urgences de connaître la position d'une station mobile. Pour cela il faut s'authentifier à la GMLC (en)^[p], qui transmet la requête au serveur MSC et qui, par le RRLP^[q]. Le serveur MSC vérifie l'adresse du service qui fait la demande, mais ne lui demande pas de s'authentifier, ce qui permet de lui demander directement en se faisant passer pour une GMLC^[20].

Il est possible de créer un déni de service en connaissant l'IMSI et la VLR. En envoyant des requêtes telles qu'un cancel Location, il est possible d'autoriser ou d'empêcher les appels entrants ou sortants, les SMS, les connexions de données ou juste de supprimer la station mobile de la table^[21].

Il est possible de rediriger les appels téléphoniques si la station mobile se trouve sur un réseau étranger. Il est alors probable que le réseau de l'opérateur envoie une requête d'insertion de données sur un utilisateur^[r] à la VLR du réseau visité contenant l'adresse de la gsmSCF^[s] et la liste d'événements à reporter. Il est alors possible pour un adversaire d'envoyer directement ce message à la VLR, pour qu'il indique sa propre gsmSCF, ce qui induit que lorsque la station mobile veut appeler un numéro, il est possible que le réseau visité envoie une demande à la gsmSCF de l'adversaire pour lui demander à quel numéro transférer (cas possible si le numéro appelé n'est pas un numéro international, mais un numéro interne au réseau de l'opérateur). La gsmSCF peut alors renvoyer à un autre numéro (un autre IMSI-catcher) pour pouvoir écouter^[22]. Une autre forme de cette attaque serait de faire une updateLocation request à la HLR de l'opérateur pour donner son adresse en tant que VLR^[23].

Il existe une attaque qui permet de « désanonymiser » les utilisateurs autour d'un IMSI-catcher. Lors d'une paging request, le TMSI (en) est envoyé non chiffré. Si un IMSI-catcher est à proximité, il peut le récupérer^[24]. Avec cette donnée, il peut faire deux choses :

• demander l'IMSI au MSC avec une sendIndentification request,
• demander la clé de session à la MSC pour pouvoir déchiffrer toutes les données chiffrées qui seront utilisées pour cette connexion.

La première implémentation d'un IMSI-catcher est faite par la société allemande Rohde & Schwarz en 1993. Un brevet est déposé le 8 novembre 2000^[25], mais celui-ci est rendu invalide le 24 janvier 2012, car l'invention est qualifiée non innovante^[26].

L'implémentation la plus connue est le StingRay (en) de la société américaine Harris Corporation à cause de ses nombreuses utilisations par l'état fédéral américain^[27],[28].

D'autres entreprises fournissent également des IMSI-catchers à destination des gouvernements, comme la société Digital Receiver Technology, Inc. avec sa Dirtbox (en), Bull Amesys, Septier Communication ainsi que PKI Electronic^[29].

Il y a également des implémentations portables afin de pouvoir placer l'IMSI-catcher plus proche des cibles sans qu'elles s'en rendent compte, par exemple Gamma Group (en) propose un modèle prenant la forme d'un vêtement^[30].

Les matériels et logiciels requis pour la mise en œuvre d'un IMSI-catcher sont devenus accessibles au grand public par des projets libres et l'utilisation de matériel générique^[31].

Pour la partie logicielle, des projets libres comme OpenBTS, YateBTS, srsLTE, OpenLTE ou encore Osmocom mettent à disposition des implémentations des protocoles GSM et LTE.

Pour la partie matérielle, l'utilisation d'ordinateurs génériques ou de Raspberry Pi, ainsi que des cartes de radios logicielles génériques comme la bladeRF, HackRF, Ettus UB210-KIT ou spécialisées dans les télécommunications comme la umTRX^[32].

Par exemple, le chercheur en sécurité informatique Chris Paget présente, à la DEF CON de 2010, la mise en place d'un IMSI-catcher à base de matériel générique pour la somme de 1 500 $, démontrant que cette solution est peu coûteuse et accessible au grand public^[33].

Les chercheurs en sécurité informatique Mike Tassey et Richard Perkins présentent à la Conférence Black Hat de 2011 l'implémentation d'un IMSI-catcher dans un drone spécialisé dans la surveillance des télécommunications^[34].

Le 13 mai 2015, le député Michel Boutant confirme l'utilisation d'un IMSI-catcher à Dammartin lors de la traque des frères Kouachi, responsables de l'attentat contre Charlie Hebdo^[35].

D'après Adrienne Charmet, porte-parole de La Quadrature du Net, des IMSI-catchers auraient été déployés face à l'Assemblée nationale lors de la manifestation contre le projet de loi relative au renseignement du 15 avril 2015^[36],[37].

D'après un article de Marie Barbier (Reporterre) et Jade Lindgaard (Mediapart), des IMSI-catcher ont été utilisés afin de préciser les relations entre les militants antinucléaires de Bure en février et mars 2018^[38].

Alors que le nombre d'IMSI-catchers était fixé à 60 dont 35 pour les services de renseignement français, 20 pour la défense et 5 pour la douane, la Commission nationale de contrôle des techniques de renseignement estime que ce nombre est insuffisant et le passe à 100 en 2021^[39].

La police chinoise a démantelé un réseau comprenant 2 600 IMSI-catchers envoyant des messages indésirables, leurrant les utilisateurs avec des messages d'hameçonnage, et interceptant les messages dédiés aux codes d'authentification par SMS^[40].

D'après l'expert en sécurité John McAfee, le gouvernement chinois utiliserait les IMSI-catchers pour espionner les communications des clients de quatre compagnies aériennes en installant une application malveillante chargée de récupérer des données du téléphone et de les envoyer à des serveurs en Chine^[41].

En 2012, la police de Los Angeles utilise le StingRay (en) 21 fois sur une période de quatre mois sur des enquêtes n'étant pas en rapport avec le terrorisme, ce qui sort de l'usage prévu initialement des IMSI-catchers^[42].

D'après des journalistes de The Intercept, la NSA utiliserait des IMSI-catchers pour géolocaliser des cibles grâce à leur téléphone mobile afin de fournir des coordonnées à d'autres organismes comme la CIA ou l'armée américaine, leur permettant d'organiser des enlèvements de personnes ou des assassinats ciblés par drone armé^[43].

D'après l'Union américaine pour les libertés civiles, de nombreuses agences fédérales américaines ont accès aux IMSI-catchers^[44].

S'il est difficile de se protéger totalement d'un IMSI-catcher, il existe des solutions pour détecter la présence éventuelle d'un tel dispositif. On parle alors d'IMSI-catcher-catcher ou d'IMSI-catcher-detector.

Certaines implémentations, comme SnoopSnitch^[45], surveillent diverses variables telles que le CID (en)^[t] et le LAC (en)^[u] pour déterminer si le réseau semble être relayé par un IMSI-catcher. En effet, si une tour de télécommunication identifiée par un CID possède un LAC incohérent ou changeant^[46], elle peut être qualifiée de suspecte. De plus, il est possible de vérifier les couples CID/LAC des tours de télécommunication connues^[46] pour confirmer les suspicions détectées par l'observation d'un LAC incohérent. D'autres suspicions peuvent être détectées si l'identifiant de cellule radio (CID) utilisé par la tour n'a jamais été rencontré dans cette zone géographique auparavant^[47].

Il existe d'autres techniques, surveillant entre autres :

• la fréquence utilisée, certains IMSI-catchers peuvent changer la fréquence utilisée par le réseau de télécommunications afin de réduire le bruit sur ce réseau^[48] ;
• les aptitudes de la tour, et les paramètres du réseau^[47] ;
• la durée de vie de la connexion à la tour. Des connexions discontinues et courtes, de bonne qualité peuvent révéler la présence d'un IMSI-catcher en mode identification des téléphones présents sur son réseau^[49].

Par exemple, le CryptoPhone utilise trois indices^[50] pour déterminer que le réseau est suspect :

• quand le téléphone passe d'un réseau 3G à un réseau 2G ;
• quand la connexion téléphonique n'est plus chiffrée ;
• quand la tour ne communique pas la liste des tours voisines.

Plusieurs applications mobiles de détection d'IMSI-catcher existent, avec des degrés de fiabilité variables^[51], dont quelques exemples :

• SnoopSnitch^[45]
• Cell Spy Catcher^[45]
• Android IMSI-Catcher Detector^[52] (AIMSICD)

Ces applications nécessitent que le téléphone soit débloqué, dit rooté ou jailbreak, et utilisent les techniques décrites ci-dessus.

Il existe deux types de solutions matérielles servant de contre-mesures aux IMSI-catchers : d'une part les solutions mobiles, d'autre part les solutions stationnaires.

Pour les solutions mobiles, il s'agit majoritairement de smartphones utilisant le chiffrement des communications, un accès Internet par un VPN^[50].

Voici une liste non exhaustive d'exemples :

• Le Blackphone (en), utilisant une version modifiée d'Android, nommée SilentOS.
• Le GSMK Cryptophone 500
• Le Privacy Phone de FreedomPop (en), basé sur le Samsung Galaxy S II
• Le T1 Communicator de TAG Consultation basé sur la technologie d'encryption de Secure-Group

Parmi les solutions mobiles alternatives, la gamme de téléphones non smartphones de X-Cellular possède des défenses contre les IMSI-catchers différentes de celles des smartphones, notamment un IMEI dynamique^[50].

Pour les solutions fixes, les équipements sont variés, allant du Raspberry Pi associé à divers équipements^[53], à des implémentations industrielles, telles que le ESD America Overwatch ou le Pwnie Express.

Dans la loi française, les interceptions des communications sont réalisées et menées seulement après autorisation judiciaire^[54]. Cependant, les autorités de surveillance ont les moyens techniques pour utiliser des IMSI-catchers à discrétion et contourner ainsi cette limitation. Il est donc difficile de prouver que des écoutes ont été effectuées en dehors du cadre du contrôle judiciaire. Il faut donc noter que des données illégalement collectées en amont d'un procès peuvent constituer des preuves non recevables lors de ce même procès, et peuvent entraîner des poursuites judiciaires^[55].

Néanmoins des États comme certains des États-Unis, l'Autriche… autorisent les interceptions de communications sans l'accord préalable de la Justice. Les gouvernements les justifient en réponse à la menace terroriste, à des besoins d'enquêtes ou plus généralement à des fins de sécurité intérieure.

L'utilisation des IMSI-catchers soulève alors des questions et des inquiétudes concernant le respect de la vie privée et du droit civil. Les défenseurs de la vie privée et des libertés individuelles soulèvent par exemple le fait que ce dispositif n'est pas conçu pour effectuer des écoutes ciblées^[56].

Le 14 août 2002 est entré en vigueur l'article 100i du Code de procédure pénale^[57], qui définit les limites d'utilisation des IMSI-catchers par les services judiciaires. La loi les autorise à des fins d'enquêtes ou de recherches pour confirmer des preuves matérielles. Elle les interdit en tant qu'outil de prévention. Dans une décision du 22 août 2006^[58], la cour fédérale a confirmé la compatibilité entre l'utilisation des IMSI-catchers et la loi constitutionnelle allemande. Selon les juges, cette utilisation ne porte pas atteinte aux droits fondamentaux, qui sont ici la confidentialité des données privées et la préservation des droits individuels.

L'utilisation des IMSI-catchers sans autorisation judiciaire a été rendue possible par la loi du 1^er janvier 2008, §53^[59]. De par la menace pour la vie privée que cela constitue, le parti écologique Die Grünen a proposé une pétition pour un réexamen de cet amendement. Malgré 24 625 signatures^[60] récoltées, aucune suite n'a été donnée. Une demande parlementaire du député Alexander Zach (parti Liberales Forum) au ministre de l'Intérieur de l'époque Günther Platter a permis de révéler que plus de 3 800 écoutes (32 par jour) avaient été effectuées entre janvier et avril 2008^[61].

Il existe aux États-Unis des lois au niveau des états. Ces lois ne mentionnent cependant pas les termes « IMSI-catchers », « Stingray » ou « cell-site simulator »^[62], mais font état d'« informations de localisation en temps réel »^[v]. Ces lois permettent également aux autorités d'obtenir les informations de localisation des clients directement en en faisant la demande auprès des opérateurs téléphoniques. Cette pratique est théoriquement plus contrôlée que ce qui se faisait avant les premières révélations d'Edward Snowden en 2013^[63]. Bien souvent, un mandat judiciaire est nécessaire, comme l'ordonne la Cour Suprême des États-Unis.

Certains états ont une réglementation spécifique. En Californie par exemple, la loi CalECPA - SB 178 (California Electronic Communications Privacy Act) adoptée le 8 octobre 2015 obligé les autorités à posséder un mandat pour accéder aux informations électroniques à distance^[64]. Cette loi a été soutenue par des associations de défense de la vie privée^[64] et par certaines des plus grandes entreprises technologiques américaines^[65].

Dans l'État de Washington, la loi est semblable à celle de Californie, mais restreinte aux IMSI-catchers^[66]. Elle est effective depuis le 5 novembre 2015. En outre, les autorités de surveillance doivent limiter les collectes inutiles et supprimer toute information qui aurait été collectée de manière fortuite ou inopportune^[67].

Les premières traces d'utilisation des IMSI-catchers par les services de renseignement français remontent aux années 2000^[68]. À l'époque, l'utilisation des IMSI-catchers n'était pas réglementée, bien que réelle comme le montrent plusieurs documents^[69],[70].

L'article 20 de la loi de Programmation militaire votée en décembre 2013 par le Sénat^[71] est la première étape vers la légalisation des écoutes à distance. Cette loi autorise la collecte de données à des fins de lutte contre le terrorisme, contre la fraude fiscale, la contrefaçon, le délit de bande organisée.

L'article 3 de la loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement du 3 juin 2016^[72] élargit les possibilités des services de renseignements en autorisant l'usage des IMSI-catchers. Ils peuvent permettre d'identifier rapidement le téléphone et le numéro - souvent d'une carte SIM prépayée - utilisés par un suspect et le placer sur écoute^[73].

Utilisation par les services judiciaires

Ces mesures sont prises notamment dans le cadre de l'état d'urgence, en place depuis les attentats du 13 novembre 2015. Désormais la loi autorise dans le cadre d'une enquête ou d'une instruction d'avoir recours aux IMSI-catchers, comme décrit dans l'article 706-95-20 du code de procédure pénale^[74]. Le juge des libertés et de la détention peut, sur réquisition du procureur de la République, autoriser les officiers de police judiciaire à utiliser un IMSI-catcher. L'interception par IMSI-catcher des correspondances émises par les appareils téléphoniques est limitée à quarante-huit heures renouvelables une fois^{[75][réf. non conforme]}. En 2018, les services enquêteurs possèdent 11 IMSI-catchers^[76].

Enfin, en cas d'urgence absolue, le procureur de la République peut lui-même donner l'autorisation d'utilisation d'un IMSI-catcher. Cette autorisation doit être confirmée dans un délai maximal de vingt-quatre heures par le juge des libertés et de la détention, sans quoi les données éventuellement collectées ne pourront pas être utilisées (706-95-4-III^[77]).

Concernant la fabrication, l'importation, la détention… y compris par négligence et sans autorisation ministérielle, d'un tel dispositif, sont prévues par la loi cinq années d'emprisonnement et 300 000 € d'amende^[78].

Pour l'installation de ce dispositif, ou l'interception, l'utilisation, la divulgation ou le détournement de correspondances émises, transmises ou reçues par un moyen de télécommunication (comme l'IMSI-catcher), la loi punit d'un an d'emprisonnement et de 45 000 € d'amende^[79].

Au Royaume-Uni, les IMSI-catchers semblent être utilisés depuis plusieurs années en dehors du cadre de la loi^[80].

En 2014, l'ONG militant contre la violation de la vie privée Privacy International pointe du doigt la non-transparence des autorités sur le sujet, ainsi que l'utilisation à priori abusive et disproportionnée des IMSI-catchers^[81].

En 2015, des révélations du média coopératif citoyen The Bristol Cable (en) montrent que l'A&S Police (en) a signé avec la société CellXion un contrat de 169 574 £ (environ 200 000 €) portant sur l'achat d'équipements CCDC (covert communications data capture : collecte secrète des données de communication), autrement dit des IMSI-catchers^{[82],[83],[84]}.

Néanmoins, la nouvelle loi britannique sur le renseignement du 16 novembre 2016, autorise l'interception de masse des communications. Les autorités de police peuvent désormais collecter les données de tous les terminaux présents dans une zone, que leurs propriétaires soient suspects ou non^{[85],[86],[87]}. Edward Snowden a tweeté sur la décision du Parlement britannique d'adopter cette loi :

• 1993 : Première mise en œuvre d'un IMSI-catcher par la société allemande Rohde & Schwarz.
• 2000 : Rohde & Schwarz déposent un brevet le 8 novembre. Il sera invalidé le 24 janvier 2012, par la Cour d'appel d'Angleterre et du Pays de Galles, pour cause d'évidence (non-innovation).
• 2002 : Les premières lois prenant en compte les IMSI-catchers apparaissent. En Allemagne par exemple, le Code de procédure pénale définit ses limites d'utilisation par les services judiciaires.
• 2003 : Commercialisation du premier prototype par Rohde et Schwarz.
• 2006 : Le département de police de Los Angeles achète un StingRay pour des investigations de terrorisme. Mais selon l'Electronic Frontier Foundation en 2013, la police l'utilise depuis à d'autres fins que son usage officiel^[42].
• 2008 : En Autriche, écriture dans la loi de l'utilisation des IMSI-catchers sans autorisation judiciaire.
• 2010 : Présentation par Chris Paget à la DEF CON d'un IMSI-catcher artisanal lui ayant coûté 1 500 $ à produire.
• 2015 : En France, la loi relative au renseignement du 24 juillet 2015 légalise l'utilisation des IMSI-catchers pour les services de renseignement^[89].
• 2015 : Utilisation d'un IMSI-catcher lors de la traque des frères Kouachi, après l'attentat contre Charlie Hebdo.
• 2016 : En France, la loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement du 3 juin 2016 rend légale l'utilisation des IMSI-catchers par les services de police.

• (en) ETSI 3rd Generation Partnership Project (3GPP), « Digital cellular telecommunications system (Phase 2+); Universal Mobile Telecommunications System (UMTS);Non-Access-Stratum (NAS) functions related to Mobile Station (MS) in idle mode (3GPP TS 23.122 version 9.3.0 Release 9) » [PDF], 2010.
• (en) Vodafone, « Analysis of the authenticated GSM cipher command mechanism » [PDF], 10-14 février 2004.
• (en) « Digital cellular telecommunications system; Location registration procedures (GSM 03.12) » [PDF], ETSI, 1996.
• (en) « Withdrawal of A5/2 algorithim support », sur security.osmocom.org (version du 7 décembre 2016 sur Internet Archive).
• (en) « 3G Security; Specification of the A5/4 Encryption Algorithms for GSM and ECSD, and the GEA4 Encryption Algorithm for GPRS », sur portal.3gpp.org, 22 janvier 2015.
• (en) Hannes Federrath, « Protection in Mobile Communications », dans Günter Müller (dir.) et Kai Rannenberg (dir.), Multilateral Security in Communications, Addison-Wesley-Longman, 1999 (ISBN 3-8273-1360-0, lire en ligne [PDF]), p. 349–364.
• (en) Daehyun Strobel, « IMSI Catcher » [PDF], juillet 2007.
• (en) Joseph Ooi, « IMSI Catchers and Mobile Security » [PDF], avril 2015.
• (en) L. Perkov, A. Klisura et N. Pavković, « Recent advances in GSM insecurities », 2011 Proceedings of the 34th International Convention MIPRO,‎ 1^er mai 2011, p. 1502–1506 (lire en ligne, consulté le 22 novembre 2016).
• (en) L. Buttyan, C. Gbaguidi et S. Staamann, « Extensions to an authentication technique proposed for the global mobility network », IEEE Transactions on Communications, IEEE, vol. 48,‎ mars 2000, p. 373-376 (ISSN 0090-6778, DOI 10.1109/26.837039, ieeexplore.ieee.org/document/837039/).
• (en) Ravishankar Borgaonkar, Altaf Shaik, N.Asokan, ValAeri Niemi et Jean-Pierre Seifert, « LTE and IMSI catcher myths » [PDF], 13 novembre 2015 (consulté le 20 novembre 2016).
• (de) D. Fox, « Der IMSI-Catcher », DuD (Datenschutz und Datensicherheit (de)), vol. 26, n^o 4,‎ avril 2002, p. 212–215 (lire en ligne [PDF]).
• (en) Audun Jøsang, Laurent Miralabé et Léonard Dallot, « It's not a bug, it's a Feature : 25 Years of Mobile Network Insecurity », dans Livre, juillet 2015 (lire en ligne), p. 129–136.

• (en) Piers O’Hanlon et Ravishankar Borgaonkar, « WiFi Based IMSI Catcher » [PDF], 3 novembre 2016 (consulté le 20 novembre 2016).
• (en) Kenneth van Rijsbergen, « The effectiveness of a homemade IMSI catcher build with YateBTS and a BladeRF » [PDF], 2016.
• (en-US) Kim Zetter, « Hacker Spoofs Cell Phone Tower to Intercept Calls », WIRED,‎ 31 juillet 2010 (lire en ligne, consulté le 13 décembre 2016).
• (en-US) Kim Zetter, « DIY Spy Drone Sniffs Wi-Fi, Intercepts Phone Calls », Wired,‎ 4 août 2011 (lire en ligne, consulté le 22 janvier 2017).
• (en) Adrian Dabrowski, Nicola Pianta, Thomas Klepp et Martin Mulazzani, « IMSI-catch Me if You Can: IMSI-catcher-catchers » [PDF], ACSAC '14, Proceedings of the 30th Annual Computer Security Applications Conference, ACM, 1^er janvier 2014 (ISBN 9781450330053, DOI 10.1145/2664243.2664272, consulté le 11 octobre 2016), p. 246–255.
• (en) Frick Joackim et Bott Rainer, « Method for identifying a mobile phone user or for eavesdropping on outgoing calls », sur worldwide.espacenet.com, 8 novembre 2000 (consulté le 14 décembre 2016).
• (en) LORD JUSTICE ELIAS LORD JUSTICE KITCHIN and SIR ROBIN JACOB, Royal Courts of Justice (United Kingdom), England and Wales Court of Appeal (Civil Division) Decisions, 24 janvier 2012 (lire en ligne).
• (en) Bruce Schneier, « The Further Democratization of Stingray - Schneier on Security », sur schneier.com, 27 avril 2015 (consulté le 14 décembre 2016).
• (en) Pierluigi Paganini, « Cellphone Surveillance: The Secret Arsenal », sur resources.infosecinstitute.com, InfoSec Institute (en), 8 janvier 2016 (consulté le 14 décembre 2016).
• (en) « Equipment List - IMSI Catcher », sur imsicatcher.info, 2015 (consulté le 14 décembre 2016).
• (en) Dan Goodin, « The body-worn “IMSI catcher” for all your covert phone snooping needs », sur Ars Technica, 1^er septembre 2013 (consulté le 14 décembre 2016).
• (en) Pierluigi Paganini, « Just $1400 to build an IMSI catcher like device to track phones », Security Affairs,‎ 29 octobre 2015 (lire en ligne, consulté le 14 décembre 2016).
• (en-US) Kim Zetter, « Hacker Spoofs Cell Phone Tower to Intercept Calls », Wired,‎ 31 juillet 2010 (lire en ligne, consulté le 14 décembre 2016).
• « Projet de loi relatif au renseignement », sur senat.fr, 9 janvier 2017 (consulté le 14 décembre 2016).
• Stéphane Pair, « Loi renseignement : des "Imsi Catcher" espions devant l'Assemblée ? », Franceinfo,‎ 15 avril 2015 (lire en ligne, consulté le 23 janvier 2017).
• Emilie Brouze, « Devant l’Assemblée, des valises-espionnes ? « Pas assez de preuves » », L'Obs,‎ 16 avril 2015 (lire en ligne, consulté le 23 janvier 2017).
• (en) Mary-Ann Russon, « China Arrests 1,500 People for Sending Spam Text Messages from Fake Mobile Base Stations », International Business Times UK,‎ 27 mars 2014 (lire en ligne, consulté le 14 décembre 2016).
• (en-US) Pierluigi Paganini, « China spies on airline passengers with IMSI-catchers », Security Affairs,‎ 23 septembre 2015 (lire en ligne, consulté le 14 décembre 2016).
• (en) Jon Campbell, « LAPD Spied on 21 Using StingRay Anti-Terrorism Tool », L.A. Weekly, 24 janvier 2013 (consulté le 14 décembre 2016).
• (en) Jeremy Scahill et Glenn Greenwald, « The NSA's Secret Role in the U.S. Assassination Program », sur The Intercept, 10 février 2014 (consulté le 23 janvier 2017).
• (en) « Stingray Tracking Devices: Who's Got Them? », American Civil Liberties Union,‎ 2016 (lire en ligne, consulté le 14 décembre 2016).

• (en) Sarvar Patel (Lucent Technologies Inc.), « Eavesdropping without breaking the GSM encryption algorithm » [PDF], 2004, p. 20.
• (en) Altaf Shaik, Ravishankar Borgaonkar, N. Asokan, Valtteri Niemi et Jean-Pierre Seifert, « Practical Attacks Against Privacy and Availability in 4G/LTE », Internet Society, San Diego‚ Californie‚ USA, n^o 23rd Annual Network and Distributed System Security Symposium,‎ 11 février 2016, p. 16 (arXiv 1510.07563).
• (en) Nicolas Paglieri et Olivier Benjamin, « Implementation and performance analysis of Barkan, Biham and Keller's attack on A5/2 » [PDF], 8 juin 2011.
• (en) Alex Biryukov, Adi Shamir et David Wagner, « Real Time Cryptanalysis of A5/1 on a PC », sur cryptome.org, 2000.
• (en) Karsten Nohl et Chris Paget, « GSM – SRSLY? » [PDF], 2009.
• (en) Karsten Nohl, « Mobile self-defense » [PDF].
• (en) Tobias Engel, « SS7 : Locate. Track. Manipulate » [PDF].
• (en) Roger Piqueras Jover, « LTE PROTOCOL EXPLOITS: IMSI CATCHERS, BLOCKING DEVICES AND LOCATION LEAKS » [PDF], 2016.
• (en) Joseph Ooi et Professor Nadia Heninger, « IMSI Catchers and Mobile Security » [PDF], 2015.
• (en) « Protecting IMSI and User Privacy in 5G Networks » [PDF], sur ericsson.com (consulté le 20 novembre 2016).
• (en) Wanqiao Zhang et Haoqi Shan, « LTE REDIRECTION Forcing Targeted LTE Cellphone into Unsafe Network » [PDF].
• (en) Elad Barkan et Eli Biham, « Conditional estimators an effective attack on A5/1 », SAC'05 Proceedings of the 12th international conference on Selected Areas in Cryptography,‎ août 2005 (DOI 10.1007/11693383_1).
• (en) Orr Dunkelman, Nathan Keller et Adi Shamir, « A Practical-Time Attack on the A5/3 Cryptosystem Used in Third Generation GSM Telephony », cryptome.org,‎ 2010 (lire en ligne).
• (en) Ulrike Meyer et Susanne Wetzel, « A Man-in-the-middle Attack on UMTS », Proceedings of the 3rd ACM Workshop on Wireless Security, ACM, wiSe '04,‎ 1^er janvier 2004, p. 90–97 (ISBN 158113925X, DOI 10.1145/1023646.1023662).
• (en) Guan-Hua Tu, Yuanjie Li, Chunyi Peng et Chi-Yu Li, « New Threats to SMS-Assisted Mobile Internet Services from 4G LTE: Lessons Learnt from Distributed Mobile-Initiated Attacks towards Facebook and Other Services », 28 octobre 2015 (arXiv 1510.08531, consulté le 22 novembre 2016).
• (en) Elad Barkan, Eli Biham et Nathan Keller, « Instant Ciphertext-Only Cryptanalysis of GSM Encrypted Communication », Journal of Cryptology, vol. 21, n^o 3,‎ juillet 2008, p. 392–429 (ISSN 0933-2790, DOI 10.1007/s00145-007-9001-y).
• (en) U. Meyer et S. Wetzel, « On the impact of GSM encryption and man-in-the-middle attacks on the security of interoperating GSM/UMTS networks », 2004 IEEE 15th International Symposium on Personal, Indoor and Mobile Radio Communications (IEEE Cat. No.04TH8754), vol. 4,‎ 1^er septembre 2004, p. 2876–2883 (DOI 10.1109/PIMRC.2004.1368846, lire en ligne, consulté le 22 novembre 2016).

• (en) Bauke Brenninkmeijer, « Catching IMSI-catcher-catchers: An effectiveness review of IMSI-catcher-catcher applications » [PDF], 2016.
• (en) Fabian van den Broek, Roel Verdult et Joeri de Ruiter, « Defeating IMSI Catchers » [PDF], CCS '15, Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security, ACM, 1^er janvier 2015 (ISBN 9781450338325, DOI 10.1145/2810103.2813615, consulté le 22 novembre 2016), p. 340-351.
• (en) Adrian Dabrowski, Nicola Pianta, Thomas Klepp et Martin Mulazzani, « IMSI-catch Me if You Can: IMSI-catcher-catchers » [PDF], ACSAC '14, Proceedings of the 30th Annual Computer Security Applications Conference, ACM, 1^er janvier 2014 (ISBN 9781450330053, DOI 10.1145/2664243.2664272, consulté le 11 octobre 2016), p. 246-255.

• Alexis Deprau, Le droit face à la terreur, Paris, Cerf, 2021, 380 p. (ISBN 978-2-204-13848-2 et 978-2-204-13870-3, lire en ligne).
• Claudine Guerrier, « Révision du code de procédure pénale 2016 : le nouveau régime des interceptions électroniques » [PDF], sur juriscom.net, octobre 2016.
• (en) Norbert Bollow, « BÜPF: What Would Change Under the Revised Law, and What Remains Unchanged », 2016 (consulté le 4 décembre 2016).
• (de) Bundesministerium der Justiz und für Verbraucherschutz, « §100i Technische Ermittlungsmaßnahmen bei Mobilfunkendgeräten », 2002 (consulté le 13 décembre 2016).
• (de) In dem Verfahren über die Verfassungsbeschwerde, « Bundesverfassungsgericht », 2006 (consulté le 13 décembre 2016).
• (de) Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Sicherheitspolizeigesetz, « Bundeskanzleramt : Rechtsinformationssystem », 2016 (consulté le 13 décembre 2016).
• (de) Die Grünen, « Petition SOS ÜBERWACHUNG », 2007 (consulté le 13 décembre 2016).
• (de) fuzo-archiv, « Polizei: 32 SPG-Abfragen pro Tag », 2008 (consulté le 13 décembre 2016).
• Martin Untersinger, « Les douanes ont acheté des appareils de surveillance des mobiles dont l'utilisation est illégale », Pixels, Le Monde, 20 mai 2015 (consulté le 13 décembre 2016).
• Jules Bonnard, Datajournaliste à l'AFP, « Et soudain, au détour d'un fichier sur les marchés publics des douanes #datadouane #pljrenseignement #imsicatcher », 2015 (consulté le 13 décembre 2016).
• douane.gouv.fr, « Recensement des Marchés Publics de la DGDDI notifiés en 2012 » [PDF], 2012 (consulté le 13 décembre 2016).
• « Dispositions relatives aux objectifs de la politique de défense et à la programmation financière », sur senat.fr, 2013 (consulté le 13 décembre 2016).
• France. « Loi n^o 2016-731 du 3 juin 2016 », art. 3 [lire en ligne (page consultée le 13 décembre 2016)].
• France. « Loi n^o 2016-731 du 3 juin 2016 », art. 706-95 à 706-95-10 [lire en ligne (page consultée le 14 décembre 2016)].
• Ministère de la Justice, « Modernisation des techniques spéciales d'enquêtes », 2016 (consulté le 14 décembre 2016).
• (en) Joshua Brustein, « State Laws Start Catching Up to Police Phone Spying », sur Bloomberg, 24 mars 2015 (consulté le 14 décembre 2016).
• « Aux États-Unis, un vaste programme de surveillance téléphonique bien avant la NSA », Pixels, Le Monde, 8 avril 2015 (consulté le 14 décembre 2016).
• (en) Electronic Frontier Foundation, « California's Electronic Communications Privacy Act (CalECPA) - SB 178 », 2015 (consulté le 14 décembre 2016).
• (en) American Civil Liberties Union of Northern California, « California's Electronic Communications Privacy Act (CalECPA) - SB 178 », 2015 (consulté le 14 décembre 2016).
• US. « CELL SITE SIMULATOR DEVICES--COLLECTION OF DATA--WARRANT », art. 222 [lire en ligne (page consultée le 14 décembre 2016)].
• (en) Cyrus Farivar (oc), « Cops must now get a warrant to use stingrays in Washington state », sur Ars Technica, 12 mai 2015 (consulté le 14 décembre 2016).
• (en) Ryan Gallagher (en) et Rajeev Syal, « Met police using surveillance system to monitor mobile phones », sur The Guardian, 30 octobre 2011 (consulté le 24 décembre 2016).
• France. « Code de la sécurité intérieure », art. R851-5 [lire en ligne (page consultée le 31 décembre 2016)].
• France. « Proposition de loi tendant à renforcer l'efficacité de la lutte antiterroriste adoptée par le Sénat le 2 février 2016 », art. 5 [lire en ligne (page consultée le 31 décembre 2016)].
• Commission nationale de l'informatique et des libertés, « Publication de l'avis sur le projet de loi relatif au renseignement », sur cnil.fr, 19 mars 2015 (consulté le 31 décembre 2016).
• (en) Alon Aviram, « Revealed: Bristol’s police and mass mobile phone surveillance », The Bristol Cable (en), 10 octobre 2016 (consulté le 31 décembre 2016).
• (en) David Pegg et Rob Evans, « Controversial snooping technology 'used by at least seven police forces' », The Guardian, 10 octobre 2016 (consulté le 31 décembre 2016).
• (en) Miss Alaina Davies, « PCC-Contracts-Disclosure-05.05.16-3 » [PDF], sur The Bristol Cable (en), 6 mai 2016 (consulté le 31 décembre 2016).
• (en) « Behind the curve: When will the UK stop pretending IMSI catchers don't exist? »^{(Archive.org • Wikiwix • Google • Que faire ?)}, sur Privacy International, 2014 (consulté le 31 décembre 2016).
• Morgane Tual, « Trois ans après les révélations Snowden, la surveillance de masse se porte bien », Pixels, Le Monde, 24 novembre 2016 (consulté le 31 décembre 2016).
• France. « Article 226-3 du 5 juin 2016 » [lire en ligne (page consultée le 3 janvier 2017)].
• France. « Article 226-15 du 18 décembre 2013 » [lire en ligne (page consultée le 3 janvier 2017)].
• France. « Article 706-95-4 de la loi n^o 2016-731 3 juin 2016 » [lire en ligne (page consultée le 11 janvier 2017)].

• Blackphone (en)

• (en) Site officiel de X-Cellular
• (en) Site officiel de Cryptophone

•   Portail du renseignement
•   Portail des télécommunications