Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

5G, de nombreux enjeux pour les acteurs des télécommunications

juillet 2019 par Adrian Taylor, vice-président régional des ventes, A10 Networks

Entre les promesses techniques, les challenges de transformation des réseaux et les impératifs de sécurité, le secteur des télécoms doit relever de nombreux défis.

Avec la prolifération des sujets autour de ce nouveau standard de la téléphonie mobile, peu nombreux sont ceux qui auraient pu passer à côté du terme « 5G » ces derniers temps. Les médias ont en effet multiplié les dossiers visant à expliquer la 5G au profane, après que des préoccupations en matière de sécurité nationale ont été soulevées quant au risque de laisser certains fournisseurs s’immiscer dans la mise en œuvre de l’infrastructure 5G en Europe et en Amérique du Nord.

En Amérique du Nord, en Corée du Sud et au Japon, certains opérateurs déploient déjà la 5G parallèlement à la 4G (technologie LTE — Long Term Evolution) au cours d’une phase provisoire baptisé NSA (Non-Stand Alone), c’est-à-dire « non-autonome ». La 5G ouvre de nouvelles possibilités à de nombreux égards. Par rapport à l’actuelle 4G, son débit de pointe sera au moins 10 fois plus élevé, à savoir 10 Gbit/s en liaison montante, son temps de latence divisé par 10 (1 ms) et sa capacité (le nombre de terminaux pouvant être pris en charge) 1 000 fois supérieure. Or, la révolution que constitue l’aptitude des entités à communiquer entre elles au sein d’un réseau 5G représente un aspect majeur de cette transformation qui est souvent masqué par les banalités associées à la rapidité et aux performances.

Jusqu’à la 4G, le cœur du réseau sans fil était articulé autour de nœuds (ou terminaux) dont les interfaces physiques et logiques se superposaient dans une pile bien définie de couches de protocoles. Ces couches échangeaient des messages de signalisation et de contrôle sur des liaisons point à point (logiques) établies avec d’autres nœuds. Dans le cas de la 5G, les messages de signalisation et de contrôle entre nœuds cèdent la place aux « appels d’API ouvertes » effectués par des fonctions réseau virtuelles (VNF — Virtual Network Functions). Étudions à présent cette situation en détail.

Au cours des quinze dernières années, le monde de l’entreprise a changé, passant de l’utilisation d’applications monolithiques résidant sur des serveurs dédiés (similaires aux nœuds d’un réseau 4G) à l’exécution d’applications modulaires constituées de microservices ouverts exposant des interfaces API ouvertes — généralement de type REST (Representational State Transfer) — déployées sur un cloud public ou privé.

Avec la 5G, le réseau de télécommunications opère enfin sa mue. Les fonctions desservies par les nœuds spécialement conçus pour la 4G ont été virtualisées sous forme de fonctions VNF chargées d’exposer des API ouvertes sur le cloud — les API « RESTful » étant le choix préconisé par le 3GPP . Ainsi, le mode de communications entre ces fonctions virtuelles repose à présent sur les appels d’API REST, et non plus sur l’échange de messages de signalisation et de contrôle. Il est intéressant de noter que les couches de protocole impliquées dans l’exécution de certaines des fonctions de contrôle ont évolué au fil des générations de réseaux sans fil qui se sont succédé. Pour illustrer cette évolution, le mieux est de s’intéresser aux couches de protocole qui interviennent pour assurer la connexion initiale d’un terminal mobile au réseau, ainsi que l’authentification de cet appareil mobile et de l’abonné associé dans le réseau.

Dans le cas de la 2G (GSM/GPRS), l’interface entre le centre de commutation des terminaux mobiles MSC et les registres de localisation nominale/des visiteurs HLR/VLR envoie des messages de contrôle de gestion de la mobilité MM via les liaisons exécutant les protocoles du système de signalisation SS7 . Dans le cas de la 3G (UMTS ), les couches SS7 de niveau inférieur (MTP et SCCP ) sont remplacées par le transport de signalisation défini par le groupe de travail SIGTRAN , tandis que les messages de contrôle de gestion de la mobilité NAS sont envoyés via des protocoles SS7 fonctionnant sur des liaisons utilisant les protocoles SIGTRAN. Dans le cas de la 4G (LTE), les messages de contrôle de gestion de la mobilité NAS sont transmis vers la passerelle SGW ou MME par l’intermédiaire du protocole S1AP , ou vers l’interface DIAMETER du serveur domestique HSS via le protocole SCTP . Dans ces différentes situations, les messages de contrôle de gestion de la mobilité sont transmis en utilisant une myriade de protocoles de signalisation sur des liaisons point à point (logiques).
Dans le cas de la 5G, plutôt que des messages de signalisation et de contrôle, la gestion de la mobilité est réalisée par l’appel API REST effectué par une fonction VNF utilisatrice de services via le protocole http, avant d’emprunter une session TCP jusqu’à une fonction VNF productrice de services associée (peer). Pour être transparent, il faut signaler que l’appel API traverse encore ensuite une pile basée sur le protocole HTTP superposé au protocole TCP/IP.

Cependant, la fonction VNF n’est plus rattachée à un nœud et elle peut littéralement se déplacer entre le cloud associé au cœur de réseau et le cloud en périphérie de réseau mobile, tout en utilisant la même API ouverte pour communiquer en toute transparence avec la fonction VNF associée (peer). On peut également signaler que les appels API émanant des fonctions VNF 5G circulent potentiellement dans les réseaux publics, ce qui soulève des questions de sécurité supplémentaires.

À cet égard, le service proxy de protection en périphérie de réseau SEPP joue un rôle important dans la sécurisation des communications entre les fonctions VNF consommatrices de services d’une part, et productrices de services d’autre part. Le proxy SEPP applique des règles de protection pour sécuriser la couche applicative afin d’assurer l’intégrité et la confidentialité des communications entre les fonctions VNF utilisatrices et productrices de services, utilisant pour ce faire le chiffrement Web JWE .

En résumé, la transformation du cœur de réseau sans fil d’un nœud chargé d’échanger des messages de signalisation et de contrôle en différentes fonctions réseau virtuelles VNF conçues comme des microservices appelant des API ouvertes qui empruntent des réseaux publics, crée des failles de sécurité inédites. Cette transformation s’appuie sur des réseaux « tout IP » et des infrastructures informatiques standard historiques et expose le cœur de réseau sans fil à des vulnérabilités bien connues du monde de l’entreprise.
Pour remédier aux failles de sécurité des réseaux 5G, les opérateurs de réseaux mobiles peuvent désormais utiliser les outils de sécurité mis en place depuis de nombreuses années pour protéger les applications professionnelles, telles que les pare-feu, les interceptions SSL et la protection contre les attaques DDoS.


Voir les articles précédents

    

Voir les articles suivants