PGPP, l’appli mobile qui rend vos déplacements invisibles

Des chercheurs américains ont lanc le service Pretty Good Phone Privacy (PGPP) qui a la bonne idée de découpler l’authentication de l’abonnement de sa connexion au réseau. Finie la géolocalisation par identificant IMSI !

Nous avons tous un smartphone et, par consequent, nous sommes donc tous géolocalisables en permanence par notre opérateur mobile. Comment? Thanks to a unique identifier stored in the SIM card and transferred to the operator when the terminal is connected to the network through an antenna relay. Dans la 4G, cet identificant s’appelle IMSI (International Global Subscriber Identity), dans la 5G il devient le SUPI (Subscription Permanent Identifier).

Thanks to this transfer, the operator can authenticate the user and verify that he has good access to the network. Et au passage, il peut ainsi savoir où cet abonné se trouve, vu qu’il connaît l’antenne-relais où il s’est connecté. Pour les forces de l’ordre, c’est évidence du pain bénit, car elles peuvent ainsi localiser les suspects, que ce soit en temps réel ou a posteriori dans le cadre d’une enquête judiciaire. Dans le jargon policier, cela s’appelle le « bornage telefonique ».

L’IMSI est rendu inutile

Mais pour les paranos et les militants des libertés, cette architecture est une horreur absolue, digne de figurer dans un roman de Georges Orwell. C’est pourquoi deux chercheurs américains, Paul Schmitt et Barath Raghavan, en ont created une autre. Baptisée « Pretty Good Phone Privacy » (PGPP), elle permet de casser cette surveillance et de rendre les déplacements des abonnés beaucoup plus difficiles à repérer. They presented their technology in 2021, on the occasion of the Usenix conference. Un an plus tard, ils la metten déjà en application avec le launch d’un commercial service en version bêta, au travers de leur entrêpe « Invisv ».

Celle-ci est un operateur mobile virtuale qui s’interconnecte avec la plupart des opérateurs en Europe et aux États Unis et qui n’offre que des services de données mobiles. Il n’y a pas de téléphonie classique, nor de SMS, car le routing de ces deux services s’apui sur l’IMSI/SUPI. Or, l’architecture imaginée par les deux chercheurs fait justement l’impasse sur cet identificant. Il existe, mais il ne sert à rien. C’est pourquoi Invisv peut lui attribuer une valeur aleatorye qui change régulémente, ou à la demande du client.

PGPP
Invisv / Architecture PGPP

To manage the connection to the network – and accessorize billing and roaming – the researchers created a passerelle baptized «PGPP-GW». Elle receives from the part of the subscribers des jetons d’accès baptisés « PGPP Tokens » qui ont été distribués préalamente et qui ne sont pas liés à l’identité de l’abonnement. Une cuisine interne permet ensuite de rétribuer les opérateurs en fonction de l’usage réalisé.

En découplant ainsi l’authentication et la connexion au réseau, il est beaucoup plus difficile pour les opérateurs mobiles sous-jacents de suivre quelqu’un à la trace. This technology also reduces the risk of local surveillance by IMSI Catcher, even though this risk should disappear in any way with 5G where the IMSI/SUPI are encrypted from end to end. Mais Invisv ne s’arrête pas là.

Anonymisation of the IP address

His service integrates also an anonymization of the IP address, thanks to the use of a double proxy. Les requêtes are first sent to Invisv sans être déchiffrées, then routed towards the provider Fastly, avant d’aller vers le serveur demandé. « Neither Invisv nor Fastly ne peuvent lier votre adresse IP à votre trafic Internet, ce qui signifie qu’à la différence d’un VPN, il n’y a pas de point de surveillance unique », peut-on lire sur le site de l’entreprise.

Le service d’Invisv ne fonctionne pour l’instant qu’avec des terminals Android compatibles avec la technology eSIM. Pour y acceder, c’est simple : il suffit d’installer l’application mobile « PGPP – Mobile Privacy » sur Google Play. However, il faut avoir les poches profondes. The service costs a minimum of 40 dollars per month. At this price, the subscriber benefits every month from a volume of traffic of 9 Go and 8 changes of IMSI/SUPI. Pour 90 dollars par mois, he peut avoir un volume de trafic illimité et 30 changements d’IMSI/SUPI. C’est le prix à payer pour se sustraire à la surveillance générale.

Source:

Invisv

Leave a Reply

Your email address will not be published.