Simulateurs de site cellulaire - ITSM.00.108

Introduction

Les dispositifs CSS sont des appareils utilisés pour imiter des tours cellulaires légitimes afin de tenter d’établir une connexion avec des appareils mobiles à proximité. Ils sont utilisés comme technologie de surveillance dans le but de repérer, de suivre et de localiser les appareils mobiles connectés en utilisant leur information d’identification unique. Les dispositifs CSS sont employés par les forces de l’ordre et les fonctionnaires des gouvernements dans le cadre d’opérations autorisées, notamment l’identification et la géolocalisation de cibles.

Les auteurs de menace se servent des CSS pour exploiter les appareils mobiles qui se connectent à leur faux réseau. Le dispositif CSS émet un signal de diffusion puissant pour inciter les appareils mobiles à se connecter au réseau le plus fort. Une fois l’appareil connecté, les auteurs de menace peuvent diffuser du contenu malveillant et suivre l’utilisation ainsi que l’emplacement de l’appareil. Il s’agit d’une menace tant pour les appareils personnels que pour les appareils fournis par les organisations, car tout appareil qui se connecte à un dispositif CSS malveillant peut exposer de l’information sensible ou propager d’autres menaces.

Données nominatives

Les dispositifs CSS permettent d’identifier l’information des utilisatrices et utilisateurs d’un appareil mobile afin de les suivre, de les localiser ou d’exploiter davantage d’information sensible. Un numéro d’identité internationale d’abonnement mobile (IMSI) ou un numéro d’identité internationale d’équipement mobile (IMEI) d’un appareil mobile permet d’identifier un appareil mobile et de l’associer à son utilisatrice ou utilisateur. L’IMSI est un identifiant unique stocké sur la carte SIM, utilisé par les opérateurs de réseaux mobiles (ORM) pour identifier une abonnée ou un abonné sur les réseaux cellulaires. Certains dispositifs CSS sont employés pour recueillir ces identifiants afin de suivre, de localiser et de bloquer les téléphones perdus ou volés. Les auteurs de menace exploitent cette collecte de données afin de mener d’autres attaques malveillantes.

Considérations liées à la sécurité

Les appareils mobiles sont exposés à plusieurs risques lorsqu’ils se connectent à un dispositif CSS malveillant. Cette section présente les menaces potentielles auxquelles vous et votre organisation pourriez être exposés à la suite de ce type d’attaque.

La liste suivante comprend les types de contenu que ciblent en général les auteurs de menace :

• collecte du contenu des données sur les appareils;
• collecte de l’identification de l’appareil ainsi que de l’utilisatrice ou utilisateur;
• suivi de l’emplacement;
• collecte du contenu des messages texte (SMS).

La liste ci‑dessous décrit diverses méthodes d’attaque employées par des auteurs de menace et la façon dont ils exploitent l’information recueillie à l’aide de dispositifs CSS :

• diffusion de campagnes d’hameçonnage;
• implantation de logiciels malveillants sur des appareils;
• injection de logiciels malveillants exploitant la carte SIM;
• diffusion de maliciels par des appareils et des réseaux connectés;
• partage de MDM;
• vol d’information sensible et financière;
• modification de la configuration de la carte SIM;
• perturbation des services cellulaires et de données en infiltrant le réseau au moyen d’une attaque par déni de service (DoS).

Les menaces associées aux dispositifs CSS sont nombreuses et en constante évolution. La section suivante explique plus en détail certains types courants de dispositifs CSS utilisés par des auteurs de menace pour compromettre des appareils mobiles.

Types de simulateurs de site cellulaire

Il existe de nombreux types de dispositifs CSS, chacun ayant des objectifs et des usages différents. La section suivante présente des détails sur des dispositifs CSS couramment utilisés et sur la manière dont ils servent à compromettre des appareils mobiles.

Intercepteurs d’IMSI

Les intercepteurs d’IMSI sont un type de dispositif CSS servant à modifier certaines configurations et à collecter de l’information sensible provenant des utilisatrices et utilisateurs d’appareils mobiles. Les types d’information qu’ils peuvent dérober comprennent notamment :

• l’identification de l’appareil ainsi que de l’utilisatrice ou utilisateur, par exemple le numéro d’IMSI;
• l’information sur l’emplacement;
• les métadonnées provenant des appels vocaux, par exemple les contacts appelés et la durée des appels;
• le contenu des messages texte (SMS) et des appels;
• le contenu et l’utilisation des données, par exemple, sites Web visités.

Les intercepteurs d’IMSI sont utilisés pour cibler des personnes importantes, notamment du personnel stratégique, des cadres supérieures et supérieurs et des exploitants d’entreprises. Les auteurs de menace ont recours à des dispositifs CSS pour suivre la localisation et les déplacements, surveiller les activités opérationnelles et coordonner des activités du crime organisé. Les intercepteurs d’IMSI sont également utilisés à des fins de surveillance ciblée afin d’associer l’identité des utilisatrices et utilisateurs à un appareil et de recueillir de l’information et du renseignement lors d’événements importants.

Les intercepteurs d’IMSI peuvent être employés en mode actif ou passif. Les deux modes répondent à des objectifs différents en fonction du cas d’utilisation de l’auteur de menace et du réseau ciblé.

Intercepteur d’IMSI actif

Un intercepteur d’IMSI actif émet des signaux réseau qui sont, ou semblent être plus puissants que ceux des antennes cellulaires légitimes. Cette technique est pratiquée pour forcer les appareils à portée du signal à se déconnecter du réseau légitime de leur fournisseur de services et à établir une connexion avec l’intercepteur d’IMSI. Il peut aussi tenter de déclasser l’appareil vers un réseau 2G pour contourner les protections de sécurité du réseau, permettant ainsi l’interception de SMS en clair ainsi que d’information provenant des appels vocaux.

Intercepteur d’IMSI passif

Un intercepteur d’IMSI passif n’émet pas de signaux réseau comme le fait un intercepteur d’IMSI actif. Il sert à exploiter un réseau en interceptant et en retraçant les communications cellulaires en transit. Les auteurs de menace ont recours à cette méthode pour collecter discrètement de l’information sur les identifiants sans être détectés.

Pour obtenir de plus amples renseignements sur les intercepteurs d’IMSI, consultez la publication du Centre pour la cybersécurité intitulée Protégez vos appareils contre les intercepteurs d’IMSI (ITSAP.00.106).

Dispositifs SMS Blaster

Les dispositifs SMS Blaster (fausses antennes relais) sont un type de dispositif CSS principalement utilisé pour mener des attaques par hameçonnage, appelées hameçonnage par message texte. Ils sont également employés pour mener d’autres activités malveillantes visant à voler de l’information sensible et financière ou à diffuser de la mésinformation, de la désinformation et de la malinformation (MDM).

Les dispositifs SMS Blaster émettent des signaux 4G pour inciter les appareils situés à proximité à se connecter à un réseau plus fort que celui auquel ils sont actuellement connectés. Une fois la connexion établie, ces dispositifs tenteront de déclasser l’appareil à un réseau 2G. Ils tirent parti de vulnérabilités inhérentes aux anciennes normes des réseaux 2G toujours prises en charge par de nombreux appareils modernes. Les normes des réseaux 2G reposent sur des méthodes d’authentification et de chiffrement non sécurisés, ce qui permet aux auteurs de menace de contourner les protections et les mécanismes de filtrage mis en place par les opérateurs de réseaux mobiles (ORM) pour protéger leurs clients. Pour obtenir de plus amples renseignements sur les dispositifs SMS Blaster, consultez la publication du Centre pour la cybersécurité intitulée Protégez vos appareils contre les dispositifs SMS Blaster (ITSAP.00.104).

Les dispositifs SMS Blaster entraînent de nombreuses menaces pour les appareils mobiles qui s’y connectent. Les menaces les plus courantes sont décrites ci‑dessous.

Hameçonnage par message texte et fraude

Les auteurs de menace mettent à profit des dispositifs SMS Blaster pour mener des attaques d’hameçonnage par message texte. Ils envoient des messages frauduleux qui semblent légitimes afin d’inciter les victimes à cliquer sur des liens ou des pièces jointes, ou à divulguer de l’information sensible. Les dispositifs SMS Blaster permettent aux auteurs de menace d’envoyer facilement des milliers de messages d’hameçonnage par message texte à des appareils mobiles à l’intérieur de la zone de couverture de l’appareil. Ces messages peuvent être génériques ou adaptés à un contexte spécifique — tels que des événements sportifs ou des conférences — ou à une source donnée (par exemple, une demande d’authentification bancaire).

Les attaques d’hameçonnage par message texte peuvent mener à des fraudes impliquant des justificatifs d’identité compromis, des transactions non autorisées et le vol d’identité. Cela peut exposer votre information sensible, ou celle de votre organisation, à un risque de compromission.

Mésinformation, désinformation et malinformation

Les dispositifs SMS Blaster permettent aux auteurs de menace de diffuser efficacement de la mésinformation, de la désinformation et de la malinformation (MDM) au moyen d’attaques d’hameçonnage par message texte vers tout appareil connecté. En fonction de l’emplacement et de la situation, des auteurs de menace peuvent cibler des événements particuliers pour propager de la MDM, ce qui soulève d’importantes préoccupations. Cela représente une menace importante pour les zones à forte affluence et les lieux accueillant des événements, où les messages de MDM peuvent induire en erreur des individus et des organisations en créant un faux sentiment de conflit ou d’urgence.

Pour en savoir plus sur la façon de reconnaître la MDM, consultez la publication du Centre pour la cybersécurité intitulée Repérer les cas de mésinformation, désinformation et malinformation (ITSAP.00.300).

Autres techniques d’attaque

D’autres techniques d’attaque, comme les attaques par signalisation et les fermes de cartes SIM, permettent de mener des attaques semblables à celles associées aux dispositifs CSS. Votre organisation devrait être informée des techniques suivantes.

Attaques par signalisation

Bien que les dispositifs SMS Blaster et les intercepteurs d’IMSI nécessitent une proximité physique, les auteurs de menace peuvent utiliser une technique appelée attaques par signalisation pour obtenir des résultats sismilaires, partout dans le monde. Une attaque par signalisation exploite les interconnexions entre les fournisseurs mondiaux nécessaires à l’itinérance, en ciblant spécifiquement la couche de contrôle des réseaux mobiles plutôt que l’appareil mobile lui‑même. Un auteur de menace dans un pays donné peut suivre la localisation d’une utilisatrice ou utilisateur ou intercepter son trafic réseau à distance, peu importe où il se trouve dans le monde.

Fermes de cartes SIM

Une ferme de cartes SIM est un ensemble de cartes SIM connectées à des serveurs et à du matériel spécialisé, permettant d’interagir avec les réseaux mobiles à grande échelle. Les fermes de cartes SIM sont utilisées par des organismes légitimes pour tester des réseaux ou gérer des dispositifs de l’Internet des objets, mais elles peuvent également servir à des auteurs de menace pour mener des cyberattaques. Ces fermes utilisent des numéros locaux afin de paraître légitimes et de contourner les mécanismes de protection des réseaux. Ces dispositifs peuvent servir à diffuser à grande échelle des fraudes par hameçonnage, de la mésinformation, de la désinformation et de la malinformation, ainsi que pour infiltrer des réseaux afin de mener des attaques par déni de service (DoS).

Stratégies d’atténuation contre les attaques par simulateur de site cellulaire

Les auteurs de menace exploitent des dispositifs CSS pour infiltrer des réseaux et compromettre des appareils à l’insu des utilisatrices et utilisateurs. Même s’il est difficile de prévenir entièrement ces attaques, certaines mesures de sécurité peuvent être mises en place par vous et votre organisation afin de mieux protéger les appareils et les réseaux contre des dispositifs CSS malveillants.

Les recommandations suivantes proposent des stratégies d’atténuation destinées aux parties prenantes des produits, aux distributeurs ainsi qu’aux utilisatrices et utilisateurs d’appareils mobiles et d’infrastructures.

Opérateurs de réseau mobile

Les opérateurs de réseaux mobiles (ORM) peuvent mettre en œuvre des mesures de sécurité tant au niveau des réseaux que de la chaîne d’approvisionnement. Ces mesures sont essentielles pour protéger la sécurité de vos réseaux mobiles, de vos partenaires, de vos clients et de votre réputation.

Mettre en œuvre des outils de sécurité pour détecter les attaques et y répondre

Les ORM peuvent recourir à des outils de sécurité pour repérer des dispositifs malveillants actifs cherchant à pénétrer le réseau. La liste ci‑dessous présente des mesures de sécurité que votre ORM peut utiliser pour détecter et contrer des dispositifs CSS actifs :

• recourir à de l’équipement de détection spécialisé pour repérer de faux dispositifs CSS et surveiller les journaux réseau afin de déceler des activités inhabituelles;
• mettre en œuvre des solutions autonomes pour surveiller les couches de signalisation et repérer des hausses soudaines du trafic radio ou du réseau central, de même que des comportements d’enregistrement inhabituels;
• exploiter l’analytique pour repérer des tendances inhabituelles associées aux messages texte ou des mécanismes d’identification d’appareils suspects.

Appliquer des mesures de chiffrement

Il est essentiel de protéger au maximum l’information que vous et vos utilisatrices et utilisateurs traitez sur les appareils et les réseaux. Appliquez l’adoption des services de communication enrichis (RCS pour Rich Communication Services) plutôt que des SMS traditionnels afin d’offrir une messagerie plus sécurisée. Les RCS consistent en un protocole de communication moderne qui authentifie les expéditrices et expéditeurs et prend en charge le chiffrement de bout en bout des communications entre utilisatrices et utilisateurs. Cela aidera les utilisatrices et utilisateurs finaux à mieux protéger le contenu échangé dans l’application. Il est important de souligner que les communications RCS utilisées à des fins d’entreprise ou commerciales ne bénéficient pas des mêmes mesures de sécurité, ce qui permet à des auteurs de menace d’envoyer de faux messages en se faisant passer pour un fournisseur de services.

Votre opérateur de réseau mobile devrait également envisager l’adoption du chiffrement de l’identifiant dissimulé d’abonnement (SUCI pour Subscription Concealed Identifier) pour les réseaux 5G. Le SUCI a pour objectif d’éviter la fuite des données d’identification des abonnées et abonnés. De nombreux réseaux 5G prennent encore en charge des mécanismes de chiffrement nul (absence de chiffrement), ce qui réduit l’efficacité de cette fonctionnalité de protection. Les intercepteurs d’IMSI tentent de déclasser les appareils vers des signaux de réseaux de générations antérieures, qui ne prennent pas en charge le mécanisme SUCI.

Partager du renseignement

Lors de la surveillance des données réseau en temps réel, il est recommandé de mettre à jour les systèmes de gestion de la fraude, les listes de blocage et les adresses URL malveillantes avec le soutien d’autres opérateurs et les autorités gouvernementales. En utilisant de l’équipement spécialisé de radiogoniométrie permettant de localiser avec précision les dispositifs CSS actifs, votre organisation peut aider les forces de l’ordre à repérer et à saisir du matériel malveillant.

Il est également avantageux de collaborer avec les fabricants d’appareils et les organismes de réglementation de l’industrie des appareils mobiles afin d’échanger sur les cybermenaces actives et les constats en matière de sécurité. Cela peut contribuer à améliorer les fonctionnalités de protection de la vie privée et à renforcer les mécanismes de sécurité des appareils, favorisant ainsi l’évolution vers une meilleure infrastructure de cybersécurité.

Fabricants des dispositifs

La mise en œuvre de fonctionnalités de sécurité dès la phase de fabrication constitue une mesure de protection importante que les fabricants d’appareils devraient envisager. Cela permet aux utilisatrices et utilisateurs de mieux contrôler la sécurité de leurs appareils en restreignant les connexions réseau, par exemple en désactivant la 2G et en privilégiant par défaut des applications offrant une messagerie sécurisée. L’application systématique du chiffrement dans les réseaux mobiles et les applications permet de renforcer la protection des utilisatrices et utilisateurs contre les attaques par simulateur de site cellulaire cherchant à intercepter des informations sensibles.

Les fabricants d’appareils mobiles peuvent aussi afficher des messages d’avertissement pour informer les utilisatrices et utilisateurs lorsqu’un réseau non sécurisé est détecté ou en cours d’utilisation.

Il est nécessaire d’appliquer des principes de sécurité dès la conception durant le processus de fabrication afin de faire de la sécurité une priorité. Le principe de sécurité dès la conception intègre des fonctionnalités de sécurité aux appareils et aux logiciels tout au long du cycle de développement du produit, plutôt que de les ajouter après coup comme simples éléments techniques. Le fait d’accorder la priorité à la sécurité selon les principes de sécurité dès la conception réduit considérablement les vulnérabilités de sécurité avant que les produits ne soient accessibles aux utilisatrices et utilisateurs, et aux réseaux.

Pour en savoir plus sur la sécurité dès la conception, consultez les publications d’Open Worldwide Application Security Project (OWASP) OWASP Secure by Design Framework (en anglais seulement) et Center for Internet Security’s Secure by Design (en anglais seulement).

Utilisatrices et utilisateurs finaux

Assurez‑vous que votre organisation est au fait des formations offertes concernant les menaces liées aux CSS. Des formations portant sur la sécurité des appareils mobiles, l’hameçonnage, la mésinformation, la désinformation et la malinformation, ainsi que les menaces liées aux CSS, contribueront à renforcer la posture de sécurité globale de votre organisation.

Appliquez les mesures de sécurité suivantes pour les utilisateurs finaux afin de protéger les appareils mobiles personnels et de l’organisation contre les attaques CSS malveillantes.

Mettre en œuvre des mesures résistantes à l’hameçonnage

Mettre en œuvre des programmes de sensibilisation et des pratiques exemplaires. Veillez à ce que votre organisation applique les mesures de résistance à l’hameçonnage suivantes :

• faire preuve de vigilance lors de la réception de messages non sollicités demandant des renseignements ou contenant des liens ou des pièces jointes;
• vérifier l’identité des expéditrices et expéditeurs avant de répondre à des messages non sollicités;
• communiquer directement avec les organisations ou les personnes concernées, par exemple en utilisant les coordonnées officielles figurant sur le site Web de l’organisation;
• signaler les messages texte suspects en les transférant à 7 7 2 6 (« SPAM »), à la fonction de signalement de pourriel de l’application de messagerie et à l’équipe des TI de votre organisation.

Le Centre pour la cybersécurité recommande que votre organisation impose l’utilisation de l’authentification multifacteur (AMF) résistante à l’hameçonnage, comme des mécanismes d’authentification cryptographique ou des clés de sécurité matérielles. Évitez d’utiliser des codes envoyés par SMS et des mots de passe à usage unique comme mécanismes d’authentification. Pour en savoir plus sur l’AMF résistante à l’hameçonnage, consultez la publication du Centre pour la cybersécurité intitulée Défense contre les attaques de type adversaire au milieu grâce à une authentification multifacteur résistante à l’hameçonnage (ITSM.30.031).

Signaler un incident

• Signaler les cas de fraude et de cybercriminalité au Centre antifraude du Canada
• Signalez tout cyberincident au Centre pour la cybersécurité

Mesures de sécurité recommandées

Les utilisatrices et utilisateurs finaux devraient appliquer les mesures de sécurité suivantes afin de protéger les appareils personnels et organisationnels contre toute compromission liée à des réseaux non sécurisés et à des applications malveillantes.

• Désactivez la connectivité 2G dans les paramètres de votre appareil, lorsque cette option est disponible.
• Utiliser des applications de chiffrement de bout en bout pour sécuriser les communications.
• Assurez‑vous que la messagerie sécurisée et les appels vocaux sécurisés sont pris en compte lors de la mise en œuvre de mécanismes de chiffrement de bout en bout.
• Téléchargez les applications uniquement à partir de magasins d’applications officielles et offertes par des développeurs réputés.
• Utilisez des logiciels antivirus pour analyser les applications nouvellement téléchargées ainsi que les applications existantes pour détecter des maliciels.

Résumé

Les dispositifs CSS malveillants constituent une autre menace importante pour la cybersécurité des particuliers et des organisations. Les conseils présentés dans cette publication servent à mieux comprendre la menace actuelle et à renforcer les stratégies d’atténuation mises en place. Chaque niveau de l’infrastructure des appareils mobiles joue un rôle essentiel dans la sécurisation du contexte global de cybersécurité.

Les différents types de dispositifs CSS présentent des niveaux de menace variables pour les appareils mobiles et l’information sensible. Avec l’évolution des technologies, les auteurs de menace continueront d’adapter leurs techniques d’attaque. Mettez en œuvre les meilleures mesures de protection, partagez le renseignement et collaborez au sein de l’industrie afin de renforcer la sécurité de l’infrastructure des appareils mobiles, qui ne cesse de croître.

Date d’entrée en vigueur

Le présent document entre en vigueur le 19 mai 2026.

La présente publication est un document non classifé publié avec l’autorisation du dirigeant principal du Centre canadien pour la cybersécurité (Centre pour la cybersécurité).

Courriel : contact@cyber.gc.ca |Téléphone : 613-949-7048 ou 1‑833‑CYBER‑88

Historique des révisions

1. Première version : 19 mai, 2026