EP2218237A1 - Dispositif et procede permettant d'intercepter des communications dans un reseau - Google Patents

Dispositif et procede permettant d'intercepter des communications dans un reseau

Info

Publication number
EP2218237A1
EP2218237A1 EP08842919A EP08842919A EP2218237A1 EP 2218237 A1 EP2218237 A1 EP 2218237A1 EP 08842919 A EP08842919 A EP 08842919A EP 08842919 A EP08842919 A EP 08842919A EP 2218237 A1 EP2218237 A1 EP 2218237A1
Authority
EP
European Patent Office
Prior art keywords
mobile
bursts
communication
channel
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP08842919A
Other languages
German (de)
English (en)
Inventor
Philippe Viravau
Jeremy Hirsch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thales SA
Original Assignee
Thales SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales SA filed Critical Thales SA
Publication of EP2218237A1 publication Critical patent/EP2218237A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/1853Satellite systems for providing telephony service to a mobile station, i.e. mobile satellite service
    • H04B7/18565Arrangements for preventing unauthorised access or for providing user protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/18578Satellite systems for providing broadband data service to individual earth stations
    • H04B7/18593Arrangements for preventing unauthorised access or for providing user protection

Definitions

  • the invention relates to a device and a method for intercepting communications in a network where mobiles communicate with each other using, for example, a satellite link.
  • IMSI International Mobile Subscriber Identity
  • IMEI abbreviated English International Mobile Equipment Identity
  • GSM Global System Mobile
  • IMSI Catcher passive interception systems to obtain all the information transmitted in the clear by the mobile and the satellite on the so-called channels broadcast or broadcast.
  • the object of the present invention relates to a device and a method that allows fine and precise synchronization on the traffic channels.
  • the invention also makes it possible to force mobiles connected on a network to pass over another network in order to be intercepted.
  • the object of the invention relates to a method for intercepting communications exchanged between at least a first terminal and a second terminal characterized in that it comprises a step during which at least one signal identical to that or those transmitted by the one of the two terminals is transmitted by means of an interception device and a step of synchronization of the communication exchanges on the traffic channel, comprising a step where the times of emission of the bursts responsible for the transmission are determined. allocating resources for the communication and a step of calling the demodulator in the sample intervals that may contain these bursts in order to obtain the characteristics of the intercepted or synchronized communication.
  • the signal emitted by the interception device simulates a broadcast channel identical to that transmitted by one of the two terminals.
  • the emitted signal simulates with a sufficient power a "broadcast" broadcast channel identical to that emitted by the satellite, the mobiles are trying to hang on this fictitious signal, the next step consists to interrogate said mobiles.
  • an interception device when another mobile transmits its encryption capacity to a network, an interception device generates a disturbance signal for neutralizing the messages sent by the mobile and sends a virtual message indicating to the network that the mobile does not have an encryption capacity, the module dedicated to the upstream channels between the mobile and the network decode the information sent by the mobile to the network and the module dedicated to the downstream channels decodes the information transmitted by the network.
  • the method exploits, for example, the IMSI, TMSI type information present in the intercepted communication.
  • the invention also relates to a device for intercepting one or more communications between two devices comprising in combination at least one synchronization device adapted to determine the times of issue slots or "bursts" responsible for the allocation of resources for the communication and means for generating a demodulator call in the sample intervals that may contain such slots or "bursts" to obtain the characteristics of the intercepted or synchronized communication.
  • FIG. 1 represents an example of organization of the cover in FIGS. 2, an example of a system architecture according to the invention, FIG. 3, a detailed example of the module allowing the interception of communications, FIG. 4, the principle of synchronization on the traffic channels.
  • FACCH FACCH from the information contained in the message AGCH, o Figure 5, the positioning of NT3 bursts used for precise synchronization, o Figure 6, the symbol synchronization on FACCH3 bursts of type 0 and 1, o Figure 7 FIG. 8, an automatic synchronization in single-channel mode, FIGS. 9 and 10, an application of the method for disturbing transmitted signals.
  • the invention is in no way limited to this type of system, and can also operate in any communication system comprising a broadcast channel or "Broadcast", a traffic channel, and several mobiles communicating with each other or a mobile and a satellite.
  • the principle is based on the use of two mobile phones of equivalent size to a conventional GSM mobile (Global System Mobile) and operating in two possible modes: the conventional GSM mode when the area in which the mobile is located is covered by the network and the "Thuraya" mode when the area in which the mobile is located is covered only by the Thuraya network. Both modes are of course selected by the user (GSM alone or preferential, THURAYA alone or preferential). It is possible to call or be called by any phone, but you can also send SMS, data up to 9.6 kbps, as well as FAX.
  • GSM Global System Mobile
  • the service link operates the L-band.
  • the polarization is circular left and the operating frequencies are:
  • a downlink frequency channel is always paired with a rising frequency channel, the two channels being spaced 101.5 MHz apart.
  • the spacing between adjacent channels is 31.25 kHz.
  • the spatial coverage for the L-band is organized in multiple beams, or spot-beams of about 700 km in diameter.
  • An example of geographic coverage is given in Figure 1.
  • the frequencies are assigned to the beams at the initial configuration (or during reconfigurations of the network).
  • the minimum allocation per spot is a "sub-band" corresponding to 5 contiguous contiguous and descending channels.
  • One of the channels is dedicated to "broadcast” and the allocation of communication resources (downlink) or the transmission of access requests (uplink). This is the “broadcast” channel that allows the mobile to synchronize on the network (to allow the registration and use of dedicated resources).
  • This is the inventory of the multiplexed logical channels on this channel called “broadcast”:
  • FCCH Frequency Correction CHannel
  • the GBCH GPS Broadcast CHannel
  • the GBCH transmits the ephemeris of GPS satellites, as well as GPS time.
  • the Broadcast Control CHannel transmits general information about the system configuration (channel positions, TDMA offsets, access setpoints, etc.). "The CBCH (CeII Broadcast CHannel) is used for the diffusion of SMS addressed to all the mobiles of a beam.
  • Random Access CHannel allows the transmission of initial mobile requests according to the ALOHA access protocol.
  • the CCCH Common Control CHannel
  • CCCH Common Control CHannel
  • the PCH Paging CHannel
  • the PCH for broadcasting paging messages (precedes the reception of a call or an SMS).
  • ACH Access Grant CHannel
  • BACH Broadcast Alerting CHannel
  • All these channels are of course descendants, with the exception of the RACH which is amount.
  • all these channels are permanent, with the exception of the CBCH which is dynamically created and then deleted by the system according to the SMS broadcast needs in the beam.
  • the other channels are traffic channels and allow relaying the dedicated exchanges between the mobile and the network (setting up communication, exchange of parameters, voice, FAX, data).
  • the traffic channels are as follows:
  • TCH3 Traffic CHannel
  • FACCH3 Fast Associated Control CHannel
  • FIG. 2 schematizes an interceptor according to the invention composed, for example, of 4 main functions: o GSM disturbance function ("GSM disturbance device" 1): this function has the particular objective of neutralizing a GSM network so as to force THURAYA mobiles under GSM coverage to switch to THURAYA mode.
  • GSM disturbance device 1
  • this function is shown diagrammatically in FIG. 3 by the "GSM disturbance” module consisting of a GSM disturbance device of the WinPower type and a GSM band antenna.
  • GSM disturbance module consisting of a GSM disturbance device of the WinPower type and a GSM band antenna.
  • THURAYA disturbance function, 2 this function aims to neutralize a THURAYA network in order to force the mobiles 5
  • THURAYA under cover THURAYA, thus operating in thuraya mode, to switch to GSM mode.
  • THURAYA or "THURAYA Catcher" 4 this function is intended, inter alia, to intercept Thuraya mobiles connected on the Thuraya network.
  • the architecture comprises a low-noise amplifier, 6, or LNA (Low Noise Amplifier) for switching on the various functionalities of the system according to the invention and GSM antennas for the uplink and the downlink, 7, 8 and antennas L for up and down channels, 10, 1 1.
  • the satellite is referenced 12.
  • Downstream FACCH channels allow the network to transmit information to the MES during a transaction (call, location update ). These channels are active only after the allocation of resources by the network (that is, after the RACH / AGCH exchange). On these channels are, for example, information on the encryption used during the communication. Depending on the type of communication established the length of these bursts can be 3, 6 or 9 IT (Time Interval). "Interception" function
  • the interceptor consists of a module dedicated to the demodulation and decoding of upstream channels (communication of mobiles to the satellite), a module dedicated to the demodulation and decoding of downstream channels (satellite to mobile), and a module dedicated to transmitting the signal corresponding to the virtual spotbeam (a "lure" signal that will allow "to hang" the desired mobiles to extract information from them).
  • the modules are described in Figure 3.
  • the dedicated downlink module is composed of the following elements:
  • L band antenna Downlink L-Band (1550 MHz)
  • LNA Low Noise Amplifier
  • a receiver module in the downgoing L-band (between 1.255 and 1. 559 GHz) with an instantaneous band at least 156.25 kHz wide so as to intercept the frequency channels at one time;
  • the module is, for example, a receiver composed of a frame 22, an alpha RF module 23 and a local oscillator LO alpha 24, for transposing the radio signal to a compatible intermediate frequency Fl of the card.
  • acquisition 25 an FN 26 and ST 27 module for controlling the receiver from a microcontroller, for example a PC called PCO 28.
  • the digital acquisition module 25 making it possible to digitize at least 156.25 kHz of band (downlink) in instantaneous mode, composed for example of the acquisition card 25 and the PC 28.
  • the acquisition card 25 must have 2 analog converters / Digital 29, 30, a Digital / Analog Converter 31 (DAC for Digital to Analogie Converter) and a time synchronization means 32 between the receive and transmit channels.
  • a THURAYA signal decoding module 33 capable of simultaneously decoding the broadcast channel (BCCH), the resource allocation channel (AGCH) and the communication channels (NTx) of each mobile connected at the time of acquisition (the method does not attempt to decrypt the encrypted communications, but it decodes all the information transmitted in the clear).
  • This module is schematized by the PC named "PC1: Thuraya decoding, downlink (Satellite signal)".
  • a means 34i sending information decoded in the clear to the function of "decoy". It may be for example an Ethernet link accompanied by a client / server type of exchange means between the elements of the system.
  • the different lines 34 1; 34 2 , 34 3 are schematized for reasons of simplification in a single line 34 which groups them together.
  • the module dedicated to the upstream channels is composed of the following elements: • An omnidirectional L-band antenna 35 making it possible to pick up the signals transmitted by the mobile telephones with a sufficient power to decode the information transmitted by them without error,
  • a reception module in the rising L-band (between 1.6265 and 1.660 GHz) with an instantaneous band at least 156.25 kHz wide so as to intercept the 5 frequency channels at one time;
  • the presented module present on the chassis comprises an alpha RF module 36 and a local oscillator LO alpha 37 for transposing the radio signal to a compatible intermediate frequency F1 of the acquisition card. • The above acquisition module for the downlink.
  • a THURAYA signal decoding module capable of simultaneously decoding the mobile signaling channel (RACH) and the communication channels (NTx) of each mobile connected at the time of acquisition (the method decodes all the information transmitted in clear and saves the encrypted data of one communication at a time).
  • This module is schematized by the PC named "PC2: Thuraya decoding, link up (Mobile THURAYA)", 38.
  • the means of dispatch is schematized by the lines connecting the different elements of the system. It may be for example an Ethernet link accompanied by a client / server type of exchange means between the elements of the system.
  • the module dedicated to transmitting the signal corresponding to the virtual spotbeam is composed of the following elements:
  • a band antenna L to emit the signal corresponding to the virtual spotbeam and received by the mobile phones with sufficient power so that they hang on this signal instead of the signal emitted by the satellite, -
  • An amplifier 40 to amplify the signal to be emitted (schematized by the triangle). A power of a few milliwatts is necessary to allow the hanging of Thuraya mobiles on the virtual spotbeam.
  • a L-band transmitting module (between 1, 5625 and 1, 5659 GHz) with an instantaneous band of at least 156.25 kHz wide so as to transmit the 5 frequency channels of 31.25 kHz at one time wide corresponding to a beam.
  • it comprises a Tx module 41 and a local oscillator LO alpha 42 for transposing the radio signal to a compatible intermediate frequency Fl of the acquisition card.
  • a module for transmitting an analog signal making it possible to transmit at least
  • This module is for example composed of the aforementioned card and the PC 28.
  • the acquisition card must have 2 analog / digital converters (ADC for Analogie to Digital Converter in the figure), a digital / analog converter (DAC for Digital to Analogie Converter on the figure) and time synchronization means between the channels.
  • ADC Analogie to Digital Converter
  • DAC Digital to Analogie Converter
  • a THURAYA signal coding module capable of simultaneously coding the broadeast channel (BCCH), the resource allocation channel (AGCH) and the communication channels (NTx) of each mobile seeking to connect to the signal corresponding to the virtual spotbeam.
  • This module is schematized by PC 39 named "PC3: Spot-Beam Thuraya Generator”.
  • the reception means is schematized by lines 34 3 connecting the different elements of the system. It can be an Ethernet link with a 1 Gb / s Ethernet switch accompanied by a client / server type of exchange between the elements of the system.
  • the interceptor is synchronous in time on the aforementioned 3 modules thanks to a unique date reference fixed by the acquisition card.
  • the THURAYA Catcher is able to work in 3 modes:
  • An “active” mode the interception device 19 passes for a real spotbeam by simulating with a sufficient power a "broadcast” channel strictly identical to those emitted by the satellite. Mobile therefore try to register on this fictional spotbeam, which allows the interceptor (once registered mobile) to "query" through appropriate queries on FACCH communication channels (request IMSI, 'IMEl, GPS position ). The technique makes it possible to locate, identify and intercept all the characteristics of the mobiles present in the coverage area. To realize this mode:
  • the module 50, 51 dedicated to the transmission of the signal corresponding to the aforementioned virtual spotbeam generates the signal of "broadcast” (BCCH) virtual.
  • the module intercepts, demodulates and decodes this RACH.
  • the module responds to the mobile by assigning it the desired frequency channel (for traffic exchanges) via an AGCH message adapted to the content of the RACH transmitted by the mobile. • The mobile is registered on this traffic channel (TCH3 + FACCH3).
  • the module transmits the messages dedicated to the intercepted mobile for the initiation of the communication (mobile registration authorization, choice of encryption) via FACCH3 type messages.
  • the mobile transmits all the necessary information (encryption capacity, identification).
  • the module can then send messages of type FACCH3 to establish queries with the mobile, for example:
  • the interceptor emits a disturbance signal (which allows to neutralize the message sent by the mobile) before transmitting - to the place of the mobile - a "command" of non-encryption (this results in the emission of a signal containing a message meaning that the mobile only supports the A5 / 0 mode, non-encryption algorithm).
  • This technique makes it possible to follow the rest of the communication in "passive" mode since the exchanges will not be encrypted. To realize this mode:
  • the module dedicated to transmitting the signal corresponding to the virtual spotbeam generates the disturbance signal making it possible to neutralize the messages sent by the mobile, and transmits the virtual messages indicating to the Thuraya network that the mobile does not have any encryption capability;
  • the module dedicated to the upstream channels decodes the information transmitted by the mobiles to the network as well as the messages transmitted by the transmission module (this information is in this case always transmitted in clear),
  • the module dedicated to downstream channels decodes information sent by the Thuraya network.
  • a so-called "passive" mode the interceptor 19 continuously demodulates and decodes the messages in the clear (i.e. not encrypted), without intervening directly on the exchanges between the mobile and the satellite. Note that the interceptor 19 is able to synchronize on the broadcast channels as well as on the traffic channels of the FACCH and NT type when a communication is initiated (from the information decoded on the broadcast channels BCCH and AGCH / PCH) to extract the maximum amount of information from the mobile.
  • the passive mode operation is as follows:
  • the down-channel demodulation and decoding module continuously monitors the BCCH channel (for the latest information on the network) and the AGCH channel.
  • the module for demodulating and decoding the upstream channels permanently monitors the RACH channel. - As soon as a communication request is sent by a mobile on the RACH channel, it is demodulated and decoded.
  • the module searches for the corresponding communication allocation message on the AGCH channel by means of the unique random number assigned to the RACH which must be the same for the associated AGCH message.
  • the module then retrieves in the AGCH message the time and frequency parameters of the channel that has been assigned to the mobile having requested the communication.
  • the module continuously demodulates and decodes the traffic messages (type NT and FACCH) exchanged between the mobile and the network on the traffic channel. The content of these messages is analyzed and the sensitive information saved.
  • Type of service requested (call, SMS, GPS position update ).
  • an activity detector based on the calculation of the number of comfort noise frames makes it possible to stop the tracking.
  • the bitstream corresponding to the encrypted information is stored in a dedicated file.
  • the downlink FACCH channels allow the network to transmit information to the satellite phone or "MES" (Mobile Point Station) in a transaction (call, location update ). These channels are active only after the allocation of resources by the network (that is, after the RACH / AGCH exchange). On these channels, in particular, information on the encryption used during the communication is found. Depending on the type of communication established the length of these bursts can be 3, 6 or 9 IT (Time Interval). Time synchronization
  • the slots or "bursts" NT3 are sent at times defined in the message AGCH, responsible for the allocation of time and frequency resources for Thuraya communication. To avoid consuming resources unnecessarily, the traffic conditioner is called only when a channel assignment has been detected. It is considered that a communication is detected when receiving a message of the type "Immediate Assignment" (message type DC6).
  • This message contains in particular the following parameters:
  • Figure 4 shows the principle of monitoring a communication according to the decoded parameters in slots DC6 (AGCH / PCH).
  • the synchronization is made with respect to the beginning of the BCCH bursts (by analogy with the synchronization of the RACHs).
  • the elements necessary for calculating the temporal position are as follows: • The IT number that marks the beginning of the BCCH bursts in the frames containing them (provided in IT number in BCCH bursts segment 2Abis),
  • the start time of NT3 bursts (relative to the beginning of a frame containing the reference BCCH) is then, for example, expressed in ms:
  • T start (NT3) (40 - IT start (BCCH) x ⁇ ) + IT start (NT3) x ⁇ A start (BCCH) x ⁇
  • the sample interval likely to contain an NT3 burst is determined and therefore, it is possible to call the demodulator only in this interval.
  • This call is repeated for each frame from the beginning of the communication: each is likely to contain either an NT3 burst (FACCH3 / TCH3), or a burst DKAB (comfort noise).
  • the demodulator is able to make the difference by a series of discriminatory tests on the modulation used and the energy of the bursts as mentioned in the following description.
  • the processing is stopped as soon as the demodulator detects a number of "unknown" bursts (understood to be different from the NT3 or DKAB) that are too large (typically 10).
  • the communication is considered complete.
  • the start date of the NT3 downlink is calculated as the absolute date (relative to the start of the acquisition). This date is then used to perform the decoding of NT3 uplink which has no other time reference than that of the beginning of the acquisition. demodul
  • the separation of the traffic channel is performed only at times when the channel is active.
  • the principle consists in separating only the part of the signal containing burst NT3, NT6 or NT9.
  • the NT3 bursts demodulation differs according to the type of NT3 burst issued. Indeed, the bursts can be FACCH3 type, TCH3 or DKAB.
  • FACCH3 bursts are of 2 types: type 0 and type 1. Each type of burst is sent alternately (typeO, typel, type 0, ...) in packets of 4 bursts to form a complete message.
  • Timing Advance allowing the mobile to synchronize temporally with respect to its geographical position (principle equivalent to Timing Advance GSM). This offset is usually a few ms. It is therefore necessary for the interceptor to perform a first symbol synchronization to synchronize perfectly with the associated traffic channels.
  • the synchronization sequences are very short for this type of burst, and by experience it is known that the symbol synchronization is difficult or impossible to achieve on type NT3 bursts (the associated sequence gives rise to too many ambiguities). On the other hand, the results obtained on NT3 bursts of type 1 are unambiguous.
  • the method performs a symbol synchronization only on NT3 bursts of type 1. This synchronization is then kept as a reference for the other bursts. At the appearance of a burst NT3 type 1, a synchronization is again performed (it also allows to check for possible drift synchronization).
  • bursts are not FACCH3 type ( ⁇ / 4-CBPSK modulation)
  • an identification of the type of burst is then performed. It must indeed identify whether it is a traffic burst (modulated in ⁇ / 4-CQPSK), a burst DKAB or the end of the communication. The identification is based, for example, on the following criteria:
  • zones • Statistical distribution of the demodulated symbols (25% of symbols in each quadrant of the constellation), • Signal energy in DKAB zones (called zones
  • FIG. 6 represents the synchronization of a type O and type 1 FACCH3 burst.
  • the FACCH3 type 1 burst has only a maximum around the synchronization zone, which is not the case. the case of the type 0 burst.
  • Case of the traffic channels amount
  • the dedicated signaling upstream channels transmit information which informs us about the mobile identity (TMSI, IMSI, IMEI or IMEISV), its encryption capacity (A5 / 1 at A5 / 7). These data pass at least upon power up or when establishing a call.
  • the goal is to capture this data when transmitting signaling messages on FACCH3 fast signaling channels.
  • the demodulation requires the knowledge of the position (time and frequency) of NT3 bursts, position transmitted downward in the AGCH burst describing the allocation of resources fixed by the network. It is therefore at this level imperative to obtain a perfectly synchronized duplex demodulation between the downlink channel and the uplink channel.
  • the uplink demodulator receives the absolute start date of the dedicated signaling bursts with respect to the start date of the acquisition. When this date is known, the demodulator works in the same way as that of the downlink.
  • Figure 7 schematizes the principle of time synchronization in duplex mode. It is easier to make simplex acquisitions, whether upstream or downstream. In order to increase the number of antenna tests, a so-called "single-channel" mode blindly realizes the time and frequency synchronization of the signaling and dedicated traffic channels. This technique is summarized in the block diagram described in FIG.
  • a first step is to perform energy detection in the 4 channels of possible uplink traffic (the noise level is estimated by taking the lowest energy spectrum among the 4 channels). This detection gives the channel number in which the emission of the bursts will take place. A separation of this channel is then performed, then an identification of the type of burst. This identification is carried out by performing the cross-correlation of the signal received with all the possible sequences for the FACCH3-type bursts (a method which will be generalized to the FACCH6 and FACCH9 type bursts). At the output of this identifier, the type of channel used is obtained as well as the time position of the TDMA slot. The demodulation is then performed by moving each time a TDMA frame.
  • the system can operate in "active" mode and send a signal to disrupt a communication.
  • Thuraya disturbance function this function is intended to neutralize a current Thuraya communication, after synchronization on the communication channels.
  • the synchronization will be performed according to the steps described above.
  • the mode uses the band antenna L to emit a waveform with sufficient power to disrupt messages sent by the mobile during communication.
  • the operation of this mode comprises, for example, the following steps:
  • the down-channel demodulation and decoding module continuously monitors the BCCH channel (for the latest information on the network) and the AGCH channel (to intercept the call setup messages).
  • the module When the module detects a communication allocation message on the AGCH channel, it then retrieves in the AGCH message the time and frequency parameters of the channel that has been allocated to the mobile having requested the communication.
  • the module synchronizes on the channel described, as shown in Figures 4 and 5. Once synchronized, the disruptive signal transmission module takes over and neutralizes the traffic messages (NT and FACCH type) exchanged between the mobile and the network on the upstream traffic channel as shown in Figures 9 and 10.
  • the method and the device according to the invention based on the active principle of the interception, the method notably consists in decoying the mobile by emitting an equivalent signal from the satellite, have the following advantages:
  • the satellite mobiles can also automatically connect to a GSM network as soon as it is present in the area where the mobile is located.
  • the GSM network can then be disabled to force the mobile to connect to the satellite network, - in normal operation, the invention does not require an encryption module.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procédé pour intercepter des communications échangées entre un premier terminal et un deuxième terminal, caractérisé en ce qu'il comporte une étape de synchronisation des échanges de communication sur le canal de trafic, comprenant une étape où l'on détermine les instants d'émission des bursts responsables de l'allocation des ressources pour la communication et une étape d'appel du démodulateur dans les intervalles d'échantillons susceptibles de contenir ces bursts afin d'obtenir les caractéristiques de la communication interceptée ou sur laquelle la synchronisation a été effectuée.

Description

DISPOSITIF ET PROCEDE PERMETTANT D'INTERCEPTER DES COMMUNICATIONS DANS UN RESEAU
L'invention concerne un dispositif et un procédé permettant d'intercepter des communications dans un réseau où les mobiles communiquent entre eux en utilisant, par exemple, une liaison satellite.
De manière plus générale, elle s'applique dans tous les réseaux de communication qui utilisent un canal de diffusion (dit de « broadcast ») et des canaux de trafic, ces canaux étant utilisés pour la communication entre différents systèmes ou équipements.
Dans les réseaux de communication utilisant le lien satellitaire pour transmettre des informations d'un premier mobile vers un autre mobile, une grande partie des informations relatives au mobile, en particulier les identifiants IMSI (abrégé anglo- saxon de International Mobile Subscriber ldentity),et IMEI (abrégé anglo-saxon de International Mobile Equipment Identity) ne sont pas disponibles via les canaux dits de diffusion, plus connus sous l'acronyme anglo-saxon « broadcast », mais via les canaux de trafic. Cela implique de se synchroniser avec précision sur ces canaux de trafic et d'en extraire l'information disponible pour connaître le contenu échangé durant la communication. Dans l'art antérieur, différents mécanismes d'interception active des communications sont opérationnels pour les communications mobiles de type GSM (Global System Mobile). Les dispositifs qui utilisent ce principe sont plus connus sous le nom de « IMSI Catcher ». Il existe aussi des systèmes d'interception passifs permettant d'obtenir l'ensemble des informations transmises en clair par le mobile et par le satellite sur les canaux dits de diffusion ou « broadcast ». Néanmoins, ces systèmes ne sont pas capables de se synchroniser sur les canaux de trafic et donc d'exploiter les informations issues de ces canaux. Les systèmes d'interception connus à ce jour n'exploitent que les informations échangées entre le réseau et le mobile sur les canaux de broadcast, ce qui ne permet pas d'obtenir les caractéristiques des mobiles interceptés telles que I1IMSI, I1IMEI, la capacité de chiffrement du mobile.
Les systèmes de l'art antérieur ne permettent pas non plus « d'interroger » les mobiles interceptés à volonté afin d'acquérir leurs caractéristiques. La demande de brevet WO 2006/1 1 1974 divulgue un procédé et un dispositif permettant d'intercepter des échanges entre un mobile et un réseau. Si certaines informations ne sont pas échangées, elles ne seront jamais décodées.
L'objet de la présente invention concerne un dispositif et un procédé qui permettent une synchronisation fine et précise sur les canaux de trafic. L'invention permet aussi de forcer des mobiles connectés sur un réseau à passer sur un autre réseau afin de pouvoir être interceptés.
L'objet de l'invention concerne un procédé pour intercepter des communications échangées entre au moins un premier terminal et un deuxième terminal caractérisé en ce qu'il comporte une étape au cours de laquelle au moins un signal identique à celui ou ceux émis par l'un des deux terminaux est émis au moyen d'un dispositif d'interception et une étape de synchronisation des échanges de communication sur le canal de trafic, comprenant une étape où l'on détermine les instants d'émission des bursts responsables de l'allocation des ressources pour la communication et une étape d'appel du démodulateur dans les intervalles d'échantillons susceptibles de contenir ces bursts afin d'obtenir les caractéristiques de la communication interceptée ou sur laquelle la synchronisation a été effectuée. Selon un mode de réalisation, le signal émis par le dispositif d'interception simule un canal de diffusion identique à celui qui est émis par un des deux terminaux. Dans le cas où un terminal est un satellite, le signal émis simule avec une puissance suffisante un canal de diffusion "broadcast" identique à celui émis par le satellite, les mobiles tentent de s'accrocher sur ce signal fictif, l'étape suivante consiste à interroger lesdits mobiles.
Selon un autre mode de réalisation, au moment où un autre mobile transmet sa capacité de chifffrement à un réseau, un dispositif d'interception génère un signal de perturbation permettant de neutraliser les messages envoyés par le mobile et émet un message virtuel indiquant au réseau que le mobile ne dispose pas de capacité de chiffrement, le module dédié aux canaux montants entre le mobile et le réseau décodent les informations émises par le mobile au réseau et le module dédié aux canaux descendants décode les informations émises par le réseau. Le procédé exploite, par exemple, les informations de type IMSI, TMSI présentes dans la communication interceptée. L'invention concerne aussi un dispositif permettant d'intercepter une ou plusieurs communications entre deux équipements comportant en combinaison au moins un dispositif de synchronisation adapté à déterminer les instants d'émission des créneaux ou « bursts » responsables de l'allocation des ressources pour la communication et un moyen permettant de générer un appel du démodulateur dans les intervalles d'échantillons susceptibles de contenir ces créneaux ou « bursts » afin d'obtenir les caractéristiques de la communication interceptée ou sur laquelle la synchronisation a été effectuée.
D'autres caractéristiques et avantages de la présente invention apparaîtront mieux à la lecture de la description d'un exemple de réalisation donné à titre illustratif et nullement limitatif annexé des figures qui représentent : o La figure 1 représente un exemple d'organisation de la couverture en faisceaux, o La figure 2 un exemple d'architecture de système selon l'invention, o La figure 3, un exemple détaillé du module permettant l'interception des communications, o La figure 4, le principe de synchronisation sur les canaux de trafic (NT et
FACCH) à partir des informations contenues dans le message AGCH, o La figure 5, le positionnement des bursts NT3 utilisés pour la synchronisation précise, o La figure 6, la synchronisation symbole sur les bursts FACCH3 de type 0 et 1 , o La figure 7, un schéma de synchronisation temporelle en mode duplex, o La figure 8, une synchronisation automatique en mode mono voie, o Les figures 9 et 10, une application du procédé pour perturber des signaux émis.
Afin de mieux faire comprendre l'invention, la description qui suit est donnée dans le cadre d'un système spatial de radiotéléphonie mobile par satellite. Le système utilise, deux et à terme trois satellites géostationnaires. Dans la description, ce système est désigné sous le nom « Thuraya ».
L'invention n'est nullement limitée à ce type de système, et peut fonctionner aussi dans tout système de communication comprenant un canal de diffusion ou « broadcast », un canal de trafic, et plusieurs mobiles communiquant entre eux ou encore un mobile et un satellite.
Le principe repose sur l'utilisation de deux téléphones mobiles de taille équivalente à un mobile GSM (Global System Mobile) classique et fonctionnant sous deux modes possibles : le mode GSM classique lorsque la zone dans laquelle se trouve le mobile est couverte par le réseau et le mode « Thuraya » lorsque la zone dans laquelle se trouve le mobile est couverte uniquement par le réseau Thuraya. Les deux modes sont bien entendus sélectionnâmes au choix par l'utilisateur (GSM seul ou préférentiel, THURAYA seul ou préférentiel). Il est possible d'appeler ou d'être appelé par n'importe quel téléphone, mais on peut également transmettre des SMS, des données jusqu'à 9,6 kbits/s, ainsi que des FAX.
La liaison de service exploite la bande L. La polarisation est circulaire gauche et les fréquences de fonctionnement sont :
La bande 1 ,525 - 1 ,559 GHz pour la liaison descendante ou « downlink » satellite vers mobile,
La bande 1 ,6265 - 1 ,6605 GHz pour la liaison montante « uplink » ou liaison montante.
Un canal fréquentiel descendant est toujours appairé à un canal fréquentiel montant, les deux canaux étant espacés de 101 ,5 MHz. L'espacement entre canaux adjacents est de 31 ,25 kHz.
La couverture spatiale pour la bande L est organisée en multiples faisceaux, ou spot-beams de 700 km de diamètre environ. Un exemple de couverture géographique est donnée sur la figure 1. Les fréquences sont attribuées aux faisceaux à la configuration initiale (ou lors des reconfigurations du réseau). L'allocation minimale par spot est une « sous-bande » correspondant à 5 canaux contigus montants et descendants. L'un des canaux est dédié au « broadcast » et l'allocation de ressources de communication (liaison descendante) ou à l'émission de requêtes d'accès (liaison montante). C'est le canal de « broadcast » qui permet au mobile de se synchroniser sur le réseau (pour permettre l'inscription et l'utilisation de ressources dédiées). Voici l'inventaire des canaux logiques multiplexes sur ce canal dit de « broadcast » :
• Le FCCH (Frequency Correction CHannel) transmet des paquets qui aident les terminaux à se synchroniser en fréquence.
• Le GBCH (GPS Broadcast CHannel) transmet les éphémérides des satellites GPS, ainsi que l'heure GPS.
• Le BCCH (Broadcast Control CHannel) transmet les informations générales relatives à la configuration du système (positions des canaux, offsets TDMA, consignes d'accès...). « Le CBCH (CeII Broadcast CHannel) est utilisé pour la diffusion de SMS adressés à l'ensemble des mobiles d'un faisceau.
• Le RACH (Random Access CHannel) permet l'émission des requêtes initiales des mobiles selon le protocole d'accès ALOHA.
• Le CCCH (Common Control CHannel) contient tout ou partie des sous- canaux logiques suivants :
• Le PCH (Paging CHannel) pour la diffusion des messages de paging (précède la réception d'un appel ou d'un SMS).
• L'AGCH (Access Grant CHannel) pour l'attribution de ressources dédiées aux terminaux émetteurs de requêtes initiales. « Le BACH (Broadcast Alerting CHannel) pour la diffusion de messages d'alerte à forte puissance.
• Le CICH (Common IdIe CHannel) sur lequel aucun signal n'est émis afin de permettre au mobile de calibrer le bruit ambiant.
Tous ces canaux sont bien entendu descendants, à l'exception du RACH qui est montant. De plus, tous ces canaux sont permanents, à l'exception du CBCH qui est dynamiquement crée puis supprimé par le système en fonction des besoins de diffusion de SMS dans le faisceau.
Les autres canaux sont des canaux de trafic et permettent de relayer les échanges dédiés entre les mobiles et le réseau (mise en place de la communication, échange de paramètres, voix, FAX, données). Les canaux de trafic sont les suivants :
• Le TCH3 (Traffic CHannel) destiné aux communications téléphoniques, qui est couplé à un FACCH3 (Fast Associated Control CHannel),
• Le TCH6 destiné aux télécopies ou aux transmissions de données à 2.4 et 4.8 kbit/s, qui est associé à un FACCH6, • Le TCH9 destiné aux communications de télécopie à 2.4, 4.8 ou 9.6 kbit/s ainsi qu'aux transmissions de données à 9.6 kbit/s, qui est associé à un FACCH9. Ces canaux sont tous bidirectionnels. La figure 2 schématise un intercepteur selon l'invention composé par exemple de 4 fonctions principales : o Fonction de perturbation GSM (« Perturbateur GSM »1 ): cette fonction a notamment pour objectif de neutraliser un réseau GSM de manière à forcer les mobiles THURAYA sous couverture GSM à passer en mode THURAYA.
A titre d'exemple, cette fonction est schématisée sur la figure 3 par le module « Perturbateur GSM » constitué d'un perturbateur GSM de type WinPower et d'une antenne Bande GSM. o Fonction de perturbation THURAYA, 2: cette fonction a pour objectif de neutraliser un réseau THURAYA de manière à forcer les mobiles 5
THURAYA sous couverture THURAYA, donc fonctionnant en mode thuraya, à passer en mode GSM. o Fonction d'interception des mobiles THURAYA connectés sur le réseau GSM classique ou fonction « Catcher GSM » 3 : cette fonction a pour but d'intercepter les mobiles Thuraya connectés sur le réseau GSM. o Fonction d'interception des mobiles THURAYA connectés sur le réseau
THURAYA ou « Catcher THURAYA », 4 : cette fonction a, notamment, pour but d'intercepter les mobiles Thuraya connectés sur le réseau Thuraya.
Cette fonctionnalité du dispositif selon l'invention est détaillée en relation avec les figures 2, 3, 4 et 5.
L'architecture comprend un amplificateur faible bruit, 6, ou LNA ( Low Noise Amplifier) permettant de basculer sur les différentes fonctionnalités du système selon l'invention et des antennes GSM pour la voie montante et la voie descendante, 7, 8 et des antennes L pour les voies montantes et descendantes, 10, 1 1. Le satellite est référencé 12.
Les canaux FACCH descendants permettent au réseau de transmettre des informations à la MES lors d'une transaction (appel, location update...). Ces canaux ne sont actifs qu'après l'allocation des ressources par le réseau (c'est-à-dire après l'échange RACH/AGCH). Sur ces canaux, se trouvent, par exemple, des informations sur le chiffrement utilisé lors de la communication. Suivant le type de communication établie la longueur de ces bursts peut être de 3, 6 ou 9 IT (Intervalle Temporel). Fonction « interception »
Cette fonction a pour but d'intercepter les signaux émis par les mobiles THURAYA situés à portée d'un intercepteur selon l'invention schématisé à la figure 3 (quelques mètres à quelques kilomètres suivant le type d'antenne et les obstacles situés entre le mobile et l'intercepteur) ainsi que les signaux émis par le réseau à destination des mobiles. L'intercepteur est constitué d'un module dédié à la démodulation et au décodage des canaux montants (communication des mobiles vers le satellite), d'un module dédié à la démodulation et au décodage des canaux descendants (satellite vers mobiles), et d'un module dédié à l'émission du signal correspondant au spotbeam virtuel (un signal « leurre » qui permettra « d'accrocher » les mobiles voulus pour leur soutirer des informations). Les modules sont décrits en figure 3.
Le module dédié aux canaux descendants est composé des éléments suivants :
• Une antenne bande L (« Antenne Bande L DownLink (1550 MHz) », référencée 20 sur la figure) dirigée vers le satellite et un amplificateur faible bruit, ou LNA (Low Noise Amplifier), 21 , permettant de capter les signaux émis par le satellite 12 avec une puissance suffisante pour décoder sans erreur les informations reçues,
- Un module de réception dans la bande L descendante (comprise entre 1 ,525 et 1 ,559 GHz) avec une bande instantanée d'au moins 156.25 kHz de large de manière à intercepter en une seule fois les 5 canaux fréquentiels
(descendants) de 31.25 kHz de large correspondant à un faisceau. Le module est, par exemple, un récepteur composé d'un châssis 22, d'un module RF alpha 23 et d'un oscillateur local LO alpha 24, permettant de transposer le signal radio vers une fréquence intermédiaire Fl compatible de la carte d'acquisition 25, d'un module FN 26 et ST 27 permettant de contrôler le récepteur à partir d'un microcontrôleur, par exemple un PC intitulé PCO 28.
- le module d'acquisition numérique 25 permettant de numériser au moins 156.25 kHz de bande (descendante) en instantané, composé par exemple de la carte d'acquisition 25 et du PC 28. La carte d'acquisition 25 doit disposer de 2 convertisseurs Analogique/Numériques 29, 30, d'un convertisseur Numérique/Analogique 31 (DAC pour Digital to Analogie Converter) et d'un moyen de synchronisation temporelle 32 entre les voies de réception et d'émission. - Un module de décodage 33 des signaux THURAYA capable de décoder simultanément le canal de broadcast (BCCH), le canal d'allocation de ressources (AGCH) et les canaux de communications (NTx) de chaque mobile connecté au moment de l'acquisition (le procédé ne cherche pas à décrypter les communications chiffrées, mais il décode toutes les informations transmises en clair). Ce module est schématisé par le PC nommé « PC1 : Décodage Thuraya, lien descendant (signal Satellite) ».
• Un moyen 34i d'envoi des informations décodées en clair vers la fonction de « leurrage ». Il peut s'agir par exemple d'une liaison Ethernet accompagnée d'un moyen d'échange de type client/serveur entre les éléments du système.
Les différentes lignes 341 ; 342, 343, sont schématisées pour des raisons de simplification en une seule ligne 34 qui les regroupe.
Le module dédié aux canaux montants est composé des éléments suivants : • Une antenne bande L omnidirectionnelle 35 permettant de capter les signaux émis par les téléphones mobiles avec une puissance suffisante pour décoder sans erreur les informations transmises par ces derniers,
- Un module de réception dans la bande L montante (comprise entre 1 ,6265 et 1 ,660 GHz) avec une bande instantanée d'au moins 156.25 kHz de large de manière à intercepter en une seule fois les 5 canaux fréquentiels
(montants) de 31.25 kHz de large correspondant à un faisceau. Le module présenté présent sur le châssis comprend un module RF alpha 36 et un oscillateur local LO alpha 37 permettant de transposer le signal radio vers une fréquence intermédiaire Fl compatible de la carte d'acquisition. • Le module d'acquisition précité pour la liaison descendante.
- Un module de décodage des signaux THURAYA capable de décoder simultanément le canal de signalisation des mobiles (RACH) et les canaux de communications (NTx) de chaque mobile connecté au moment de l'acquisition (le procédé décode toutes les informations transmises en clair et enregistre les données cryptées d'une communication à la fois). Ce module est schématisé par le PC nommé « PC2 : Décodage Thuraya, lien montant (Mobile THURAYA) », 38.
• Un moyen d'envoi des informations 342 décodées en clair vers la fonction de « leurrage ». Le moyen d'envoi est schématisé par les lignes reliant les différents éléments du système. Il peut s'agir par exemple d'une liaison Ethernet accompagnée d'un moyen d'échange de type client/serveur entre les éléments du système.
Le module dédié à l'émission du signal correspondant au spotbeam virtuel est composé des éléments suivants :
• Une antenne bande L 39 permettant d'émettre le signal correspondant au spotbeam virtuel et reçu par les téléphones mobiles avec une puissance suffisante pour que ces derniers s'accroche sur ce signal à la place du signal émis par le satellite, - Un amplificateur 40 permettant d'amplifier le signal à émettre (schématisé par le triangle). Une puissance de quelques milliwatts est nécessaire pour permettre l'accrochage des mobiles Thuraya sur le spotbeam virtuel.
- Un module d'émission dans la bande L descendante (comprise entre 1 ,5625 et 1 ,5659 GHz) avec une bande instantanée d'au moins 156.25 kHz de large de manière à émettre en une seule fois les 5 canaux fréquentiels de 31.25 kHz de large correspondant à un faisceau. Sur le châssis pré mentionné, il comporte un module Tx 41 et un oscillateur local LO alpha 42 permettant de transposer le signal radio vers une fréquence intermédiaire Fl compatible de la carte d'acquisition. - Un module d'émission d'un signal analogique permettant d'émettre au moins
156.25 kHz de bande en instantané. Ce module est par exemple composé de la carte précitée et du PC 28. La carte d'acquisition doit disposer des 2 convertisseurs Analogique/Numériques (ADC pour Analogie to Digital Converter sur la figure), d'un convertisseur Numérique/Analogique (DAC pour Digital to Analogie Converter sur la figure) et du moyen de synchronisation temporelle entre les voies.
• Un module de codage des signaux THURAYA capable de coder simultanément le canal de broadeast (BCCH), le canal d'allocation de ressources (AGCH) et les canaux de communications (NTx) du chaque mobile cherchant à ce connecter sur le signal correspondant au spotbeam virtuel. Ce module est schématisé par le PC 39 nommé « PC3 : Générateur Spot-Beam Thuraya ».
- Un moyen de réception des informations décodées par les modules de réception décrits précédemment. Le moyen de réception est schématisé par les lignes 343 reliant les différents éléments du système. Il peut s'agir d'une liaison Ethernet avec un switch Ethernet 1 Gb/s accompagnée d'un moyen d'échange de type client/serveur entre les éléments du système. L'intercepteur est synchrone en temps sur les 3 modules précités grâce à une référence de date unique fixée par la carte d'acquisition.
Le « Catcher THURAYA » est capable de fonctionner selon 3 modes :
Un mode dit « actif » : le dispositif d'interception 19 se fait passer pour un spotbeam réel en simulant avec une puissance suffisante un canal de « broadcast » rigoureusement identique à ceux qui sont émis par le satellite. Les mobiles tentent donc de s'inscrire sur ce spotbeam fictif, ce qui permet à l'intercepteur (une fois les mobiles inscrits) de les « interroger » grâce à des requêtes appropriées sur les canaux de communication FACCH (demande d'IMSI, d'IMEl, de position GPS...). La technique permet de localiser, d'identifier et d'intercepter l'ensemble des caractéristiques des mobiles présents dans la zone de couverture. Pour réaliser ce mode :
• Le module 50, 51 dédié à l'émission du signal correspondant au spotbeam virtuel pré mentionné génère le signal de « broadcast » (BCCH) virtuel.
• Le mobile s'accroche sur ce signal de « broadcast » et émet un RACH pour demander l'inscription sur ce spotbeam virtuel. Le module intercepte, démodule et décode ce RACH.
- Le module répond au mobile en lui attribuant le canal fréquentiel voulu (pour les échanges de trafic) via un message de type AGCH adapté au contenu du RACH émis par le mobile. • Le mobile s'inscrit sur ce canal de trafic (TCH3 + FACCH3).
- Le module transmet les messages dédiés au mobile intercepté pour l'amorce de la communication (autorisation d'inscription du mobile, choix du chiffrement) via des messages de type FACCH3.
• Le mobile transmet l'ensemble des informations nécessaires (capacité de chiffrement, identification).
• Le module peut alors envoyer des messages de type FACCH3 pour établir des requêtes auprès du mobile, par exemple :
- Demande d'envoi des identifiants (TMSI, IMSI, IMEI),
- Demande d'envoi de position GPS. Un mode dit « semi-actif » : les échanges entre le réseau composé d'un ou plusieurs terminaux et le mobile sont suivis en mode « passif » jusqu'à l'établissement de la communication. Au moment où le mobile transmet sa capacité de chiffrement (A5/1 ou A5/2 dans la plupart des cas), l'intercepteur émet un signal de perturbation (qui permet de neutraliser le message envoyé par le mobile) avant de transmettre - à la place du mobile - un « ordre » de non-chiffrement (cela se traduit par l'émission d'un signal contenant un message signifiant que le mobile ne supporte que le mode A5/0, algorithme de non-chiffrement). Cette technique permet de suivre le reste de la communication en mode « passif » puisque les échanges ne seront pas chiffrés. Pour réaliser ce mode :
- Le module dédié à l'émission du signal correspondant au spotbeam virtuel génère le signal de perturbation permettant de neutraliser les messages envoyés par le mobile, et émet les messages virtuels indiquant au réseau Thuraya que le mobile ne dispose pas de capacité de chiffrement, - Le module dédié aux canaux montants décode les informations transmises par les mobiles au réseau ainsi que les messages émis par le module d'émission (ces informations sont dans ce cas toujours transmises en clair),
- Le module dédié aux canaux descendants décode les informations émises par le réseau Thuraya.
Un mode dit « passif » : l'intercepteur 19 démodule et décode en permanence les messages en clair (i.e. non chiffrés), sans intervenir directement sur les échanges entre le mobile et le satellite. Notons que l'intercepteur 19 est capable de se synchroniser sur les canaux de « broadcast » ainsi que sur les canaux de trafic de type FACCH et NT lorsqu'une communication est amorcée (à partir des informations décodées sur les canaux de « broadcast » BCCH et AGCH/PCH) afin d'extraire le maximum d'informations venant du mobile. Le fonctionnement du mode passif est le suivant :
• Le module de démodulation et de décodage des canaux descendants veille en permanence le canal BCCH (pour avoir les dernières informations sur le réseau) et le canal AGCH.
• En parallèle, le module de démodulation et de décodage des canaux montants veille en permanence le canal RACH. - Dès qu'une requête de communication est envoyée par un mobile sur le canal RACH, elle est démodulée et décodée.
- Le module recherche ensuite le message d'allocation de communication correspondant sur le canal AGCH grâce au numéro aléatoire unique attribué au RACH qui doit être le même pour le message AGCH associé.
L'association du message AGCH au message RACH associé est confirmée par la valeur du paramètre « GPS discriminator » qui est un identifiant contenu lui aussi dans les deux messages.
- Le module récupère alors dans le message AGCH les paramètres temporels et fréquentiels du canal qui a été attribué au mobile ayant demandé la communication.
• Le module se synchronise sur le canal décrit, comme le montrent les figures 4 et 5.
• Une fois synchronisé, le module démodule et décode en permanence les messages de trafic (type NT et FACCH) échangés entre le mobile et le réseau sur le canal de trafic. Le contenu de ces messages est analysé et les informations sensibles sauvegardées. Voici les informations auxquelles on peut ainsi avoir accès :
- TMSI, IMSI. - Position GPS.
Numéro appelé.
- Chiffrement utilisé (A5/x), clés SRES et RAND utilisés.
Type de service demandé (appel, SMS, mise à jour de position GPS...).
- Lorsque la communication se termine, un détecteur d'activité basé sur le calcul du nombre de trames de bruit de confort permet de stopper le suivi. Le train binaire correspondant aux informations chiffrées est, lui, enregistré dans un fichier dédié. Pour exécuter les étapes de décodage du trafic descendant et du trafic montant, le procédé exécute différentes étapes dont l'étape de synchronisation selon l'invention détaillée ci-après. Canaux descendants
Les canaux FACCH descendants permettent au réseau de transmettre des informations au téléphone satellite ou « MES » (abrégé anglo-saxon de Mobile Earth Station) lors d'une transaction (appel, location update...). Ces canaux ne sont actifs qu'après l'allocation des ressources par le réseau (c'est-à-dire après l'échange RACH/AGCH). Sur ces canaux, se trouvent en particulier des informations sur le chiffrement utilisé lors de la communication. Suivant le type de communication établie la longueur de ces bursts peut être de 3, 6 ou 9 IT (Intervalle Temporel). Synchronisation temporelle
Les créneaux ou « bursts » NT3 sont envoyés à des instants définis dans le message AGCH, responsable de l'allocation des ressources temporelles et fréquentielles pour la communication Thuraya. Pour éviter de consommer des ressources inutilement, le conditionneur de trafic n'est appelé que lorsqu'une attribution de canal a été détectée. On considère qu'une communication est détectée lorsqu'on reçoit un message de type « Immédiate Assignment » (message de type DC6). Ce message contient en particulier les paramètres suivants :
• la fréquence attribuée en downlink et en uplink, • les IT utilisés en downlink et en uplink (c'est-à-dire le numéro du time slot dans la trame TDMAJ,
• le type de canal alloué (NT3 NT6 ou NT9),
• la raison de l'attribution d'un canal dédié (appel entrant, appel sortant, « location update »...), • la référence du RACH correspondant à la requête de la MES.
Grâce à tous ces paramètres, il est possible de tracer la transaction entre la MES et le réseau, de se synchroniser sur les IT voulus et d'enregistrer l'échange (voix, fax...).
La figure 4 représente le principe de suivi d'une communication en fonction des paramètres décodés dans les créneaux DC6 (AGCH/PCH).
La synchronisation est prise par rapport au début des bursts BCCH (par analogie à la synchronisation des RACH). Les éléments nécessaires au calcul de la position temporelle sont les suivants : • Le numéro d'IT qui marque le début des bursts BCCH dans les trames qui en contiennent (fourni en nombre d'IT dans le segment 2Abis des bursts BCCH),
• Le numéro d'IT qui marque le début des bursts NT3 dans les trames qui en contiennent (fourni en nombre d'IT dans le message « Immédiate
Assignment »),
• L'affinement de la position temporelle du début des bursts BCCH (fourni en nombre de symboles dans le segment 1 A des bursts BCCH).
Le temps de début des bursts NT3 (par rapport au début d'une trame contenant le BCCH de référence) vaut alors, par exemple, exprimé en ms :
Tdepart (NT3) = (40 - ITdepart (BCCH)x^) + ITdepart (NT3)x→ Adepart (BCCH)x^
où 5/3 est la durée en ms d'un intervalle temporel, IT, et 23.4 est la vitesse symbole en kbds.
Grâce à ce calcul, l'intervalle d'échantillons susceptible de contenir un burst NT3 est déterminé et donc, il est possible d'appeler le démodulateur uniquement dans cet intervalle. Cet appel est répété pour chaque trame à partir du début de la communication : chacune est susceptible de contenir, soit un burst NT3 (FACCH3/TCH3), soit un burst DKAB (bruit de confort). Le démodulateur est capable de faire la différence par une série de tests discriminatoires sur la modulation utilisée et l'énergie des bursts comme il est mentionné dans la suite de la description. Le traitement est arrêté dès que le démodulateur détecte un nombre de bursts « inconnus » (sous-entendu différents des NT3 ou des DKAB) trop important (10 typiquement). La communication est considérée comme étant terminée. La date de début des NT3 en voie descendante est calculée en date absolue (par rapport au début de l'acquisition). Cette date est ensuite utilisée pour réaliser le décodage des NT3 en voie montante qui ne dispose pas d'autre référence de temps que celle du début de l'acquisition. Démodulation
La séparation du canal de trafic n'est réalisée qu'aux instants où le canal est actif. Le principe consiste donc à ne séparer que la partie du signal contenant le burst NT3, NT6 ou NT9. La démodulation des bursts NT3 diffère selon le type de burst NT3 émis. En effet, les bursts peuvent être de type FACCH3, TCH3 ou bien DKAB. Les bursts FACCH3 sont quant à eux de 2 types : type 0 et type 1 . Chaque type de burst est envoyé en alternance (typeO, typel , type 0,...) par paquet de 4 bursts pour former un message complet. De plus, le système envoie au mobile une valeur appelée Timing Advance permettant au mobile de se synchroniser temporellement par rapport à sa position géographique (principe équivalent au Timing Advance en GSM). Ce décalage est en général de quelques ms. Il est donc nécessaire pour l'intercepteur de réaliser une première synchronisation symbole pour se synchroniser parfaitement avec les canaux de trafic associés.
Les séquences de synchronisation sont très courtes pour ce type de burst, et par expérience il est connu que la synchronisation symbole est difficile voire impossible à réaliser sur des bursts NT3 de type 0 (la séquence associée donne lieu à trop d'ambiguïtés). En revanche les résultats obtenus sur les bursts NT3 de type 1 sont sans ambiguïté. Avantageusement, le procédé réalise une synchronisation symbole uniquement sur les bursts NT3 de type 1 . Cette synchronisation est ensuite gardée comme référence pour les autres bursts. A l'apparition d'un burst NT3 de type 1 , une synchronisation est de nouveau réalisée (elle permet en outre de vérifier d'éventuelles dérives de synchronisation). Si les bursts ne sont pas de type FACCH3 (modulation π/4-CBPSK), une identification du type de burst est ensuite réalisée. Il faut en effet identifier s'il s'agit d'un burst de trafic (modulé en π/4-CQPSK), d'un burst DKAB ou encore de la fin de la communication. L'identification est basée, par exemple, sur les critères suivants :
• EQM des symboles démodulés (si celle-ci est supérieure à un seuil pour N bursts consécutifs, la communication est considérée comme ayant été interrompue),
• Répartition statistique des symboles démodulés (25% de symboles dans chaque quadrant de la constellation), • Energie du signal dans les zones DKAB (zones appelées
EchantillonDebutDKAB et EchantillonFinDKAB).
Ces critères permettent alors d'identifier les bursts suivants : TCH3, DKAB, BURST NULL (plus d'émission). A titre d'exemple, la figure 6 représente la synchronisation d'un burst FACCH3 de type O et de type 1. Le burst FACCH3 de type 1 ne présente qu'un maximum autour de la zone de synchronisation, ce qui n'est pas le cas du burst de type 0. Cas des canaux de trafics montant Les canaux montants de signalisation dédiée transmettent des informations qui nous renseignent sur l'identité du mobile (TMSI, IMSI, IMEI ou IMEISV), sa capacité de chiffrement (A5/1 à A5/7). Ces données transitent au moins lors de la mise sous tension ou lors de l'établissement d'un appel.
L'objectif est de capturer ces données lors de la transmission des messages de signalisation sur les canaux de signalisation rapide FACCH3. Synchronisation temporelle
Comme pour la voie descendante, la démodulation nécessite la connaissance de la position (temporelle et fréquentielle) des bursts NT3, position transmise en voie descendante dans le burst AGCH décrivant l'allocation des ressources fixées par le réseau. Il est donc à ce niveau impératif d'obtenir une démodulation duplex parfaitement synchronisée entre la voie downlink et la voie uplink. Dans ce cas, le démodulateur voie montante reçoit la date absolue de début des bursts de signalisation dédiée par rapport à la date de début de l'acquisition. Lorsque cette date est connue, le démodulateur fonctionne de la même manière que celui de la voie descendante. La figure 7 schématise le principe de synchronisation temporelle en mode duplex. Il est plus facile de réaliser des acquisitions simplex, que ce soit en voie montante ou en voie descendante. Afin d'augmenter le nombre de tests sur antenne, un mode dit « mono voie » réalise de manière aveugle la synchronisation temporelle et fréquentielle des canaux de signalisation et de trafic dédié. Cette technique est résumée dans le schéma fonctionnel décrit à la figure 8.
Une première étape consiste à réaliser une détection d'énergie dans les 4 canaux de trafic possible en voie montante (le niveau de bruit est estimé en prenant le spectre d'énergie la plus faible parmi les 4 canaux). Cette détection donne le numéro de canal dans lequel aura lieu l'émission des bursts. Une séparation de ce canal est ensuite réalisée, puis une identification du type de burst. Cette identification est réalisée en réalisant l'intercorrélation du signal reçu avec l'ensemble des séquences possibles pour les bursts de type FACCH3 (procédé qui sera généralisé aux bursts de type FACCH6 et FACCH9). En sortie de cet identifieur, le type de canal utilisé est obtenu ainsi que la position temporelle du slot TDMA. La démodulation est ensuite réalisée en se déplaçant à chaque fois d'une trame TDMA.
Application à la perturbation d'une communication Selon un mode de fonctionnement, le système peut fonctionner en mode « actif » et émettre un signal permettant de perturber une communication.
Fonction de perturbation Thuraya : cette fonction a pour objectif de neutraliser une communication Thuraya en cours, après synchronisation sur les canaux de communication. La synchronisation sera effectuée selon les étapes décrites précédemment. Le mode utilise l'antenne bande L pour émettre une forme d'onde avec une puissance suffisante pour perturber les messages émis par le mobile en cours de communication. Le fonctionnement de ce mode comporte, par exemple, les étapes suivantes :
• Le module de démodulation et de décodage des canaux descendants veille en permanence le canal BCCH (pour avoir les dernières informations sur le réseau) et le canal AGCH (pour intercepter les messages d'établissement de communication).
• Lorsque le module détecte un message d'allocation de communication sur le canal AGCH, il récupère alors dans le message AGCH les paramètres temporels et fréquentiels du canal qui a été attribué au mobile ayant demandé la communication.
• Le module se synchronise sur le canal décrit, comme le montrent les figures 4 et 5. Une fois synchronisé, le module d'émission du signal perturbateur prend le relais et neutralise les messages de trafic (type NT et FACCH) échangés entre le mobile et le réseau sur le canal de trafic montant comme il est représenté aux figures 9 et 10. Le procédé et le dispositif selon l'invention reposant sur le principe actif de l'interception, le procédé consiste notamment ) leurrer le mobile en émettant un signal équivalent du satellite, présentent les avantages suivants :
• il est possible d'interroger un mobile et d'obtenir toutes les informations sur ce dernier,
• les mobiles satellites peuvent de plus se connecter automatiquement sur un réseau GSM dès que ce dernier est présent dans la zone où se trouve le mobile. Le réseau GSM peut alors être neutralisé pour forcer le mobile à se connecter sur le réseau satellite, - en fonctionnement normal, l'invention ne nécessite pas de module de chiffrement.

Claims

REVENDICATIONS
1 - Procédé pour intercepter des communications échangées entre au moins un premier terminal et un deuxième terminal, caractérisé en ce qu'il comporte une étape au cours de laquelle au moins un signal de simulation identique à celui ou ceux émis par l'un des deux terminaux est émis au moyen d'un dispositif d'interception et une étape de synchronisation des échanges de communication sur le canal de trafic, comprenant une étape où l'on détermine les instants d'émission des bursts responsables de l'allocation des ressources pour la communication et une étape d'appel du démodulateur dans les intervalles d'échantillons susceptibles de contenir ces bursts afin d'obtenir les caractéristiques de la communication interceptée ou sur laquelle la synchronisation a été effectuée.
2 - Procédé selon la revendication 1 , caractérisé en ce que le signal émis est un signal de simulation de canal de diffusion avec une puissance suffisante identique à celui émis par un terminal satellite, et en ce qu'un mobile tente de s'inscrire sur ledit signal et en ce qu'il comporte une étape d'interrogation dudit mobile.
3 - Procédé selon la revendication 2, caractérisé en ce que ledit procédé exploite les informations de type IMSI, TMSI présentes dans la communication interceptée.
4 - Procédé selon la revendication 1 , caractérisé en ce que le signal émis par l'intercepteur est émis après établissement d'une communication entre un mobile terminal et un réseau, et en ce qu'au moment où un mobile transmet par message sa capacité de chiffrement, le signal émis est un signal adapté à neutraliser ledit message, et en ce que le mobile dédié aux canaux montants entre le mobile et le réseau décode les informations émises par le mobile au réseau, et le module dédié aux canaux descendants décode les informations émises par le réseau.
5 - Procédé selon la revendication 1 , caractérisé en ce que les bursts considérés sont les bursts NT3 et en ce que le temps de début desdits bursts NT3 est déterminé en tenant compte du numéro IT qui marque le début des bursts BCCH dans les trames et du numéro IT qui marque le début des bursts NT3 dans les trames.
6 - Procédé selon la revendication 5, caractérisé en ce que le temps de début des bursts NT3, par rapport au début d'une trame contenant le BCCH de référence, vaut alors, par exemple, exprimé en ms :
Tdepart (NT3) = (40 - ITdepart (BCCH) x|) + ITdepart (NT3)x→ Adepart (BCCH)X^ où 5/3 est la durée en ms d'un intervalle temporel, IT, et 23.4 est la vitesse symbole en kbds.
7 - Procédé selon l'une des revendications 5 ou 6, caractérisé en ce qu'il utilise les bursts NT3 de type 1.
8 - Procédé selon l'une des revendications précédentes, caractérisé en ce qu'après avoir intercepté le message échangé entre les deux terminaux, il comporte en outre une étape où le message d'allocation de communication sur un canal est détecté, une étape de récupération des paramètres temporels et fréquentiels du canal attribué à un mobile, une étape de synchronisation sur le canal trouvé et une étape d'émission d'un signal perturbateur qui prend le relais sur les messages de trafic échangés entre un premier terminal et le réseau sur le canal de trafic montant.
9 - Dispositif permettant d'intercepter une ou plusieurs communications entre deux équipements comportant en combinaison au moins un module d'émission d'un signal identique à celui émis par l'un des deux équipements, un dispositif de synchronisation (32) adapté à déterminer les instants d'émission des créneaux ou « bursts » responsables de l'allocation des ressources pour la communication et un moyen permettant de générer un appel du démodulateur dans les intervalles d'échantillons susceptibles de contenir ces créneaux ou « bursts » afin d'obtenir les caractéristiques de la communication interceptée ou sur laquelle la synchronisation a été effectuée.
EP08842919A 2007-10-23 2008-10-22 Dispositif et procede permettant d'intercepter des communications dans un reseau Withdrawn EP2218237A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0707414A FR2922700B1 (fr) 2007-10-23 2007-10-23 Dispositif et procede permettant d'intercepter des communications dans un reseau
PCT/EP2008/064310 WO2009053402A1 (fr) 2007-10-23 2008-10-22 Dispositif et procede permettant d'intercepter des communications dans un reseau

Publications (1)

Publication Number Publication Date
EP2218237A1 true EP2218237A1 (fr) 2010-08-18

Family

ID=39362300

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08842919A Withdrawn EP2218237A1 (fr) 2007-10-23 2008-10-22 Dispositif et procede permettant d'intercepter des communications dans un reseau

Country Status (3)

Country Link
EP (1) EP2218237A1 (fr)
FR (1) FR2922700B1 (fr)
WO (1) WO2009053402A1 (fr)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5897810B2 (ja) * 2011-03-29 2016-03-30 シャープ株式会社 基地局装置、端末装置、通信システム、通信方法
EP3681056A3 (fr) * 2016-08-31 2020-11-04 Horizon Technologies Consultants, Ltd. Surveillance de téléphone par satellite
US11237277B2 (en) 2019-02-15 2022-02-01 Horizon Technologies Consultants, Ltd. Techniques for determining geolocations

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19749388C2 (de) * 1997-11-07 2000-02-17 Siemens Ag Verfahren, mobile Abhöreinrichtung und Funk-Kommunikationssystem zum Abhören von Verbindungen auf einer Funkschnittstelle
FR2869189B1 (fr) * 2004-04-16 2006-06-02 Thales Sa Procede de controle et d'analyse des communications dans un reseau de telephonie
IL168149A (en) * 2005-04-20 2010-11-30 Elta Systems Ltd System and method for processing satellite communication data
GB0601954D0 (en) * 2006-01-31 2006-03-15 M M I Res Ltd Acquiring identity parameter

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2009053402A1 *

Also Published As

Publication number Publication date
FR2922700A1 (fr) 2009-04-24
WO2009053402A1 (fr) 2009-04-30
FR2922700B1 (fr) 2011-04-01

Similar Documents

Publication Publication Date Title
EP1041392B1 (fr) Dispositif embarqué dans un véhicule et dispositif central pour localiser avec précision ce véhicule
EP3607673B1 (fr) Procede de communication spatiale pour des services iot et systeme spatial de telecommunications correspondant
EP2590341B1 (fr) Dispositif à bord d'un satellite pour recevoir des messages de surveillance d'aéronefs.
EP3416302B1 (fr) Systeme de telecommunications comprenant un serveur de cache embarque dans une plateforme a haute altitude et procede de transmission de donnees associe
JP2000503831A (ja) 時間分割マルチアクセス無線電話通信システムのためのスペクトル拡散ランダムアクセスシステムおよび方法
EP0739577A1 (fr) Procede de localisation d'une station mobile de radiocommunication cellulaire, et equipements pour la mise en uvre du procede
FR2956745A1 (fr) Procede de recouvrement d'un signal parmi un ensemble de signaux collectes par satellite.
EP1882316B1 (fr) Procede d'attribution de sous bandes de frequences a des liaisons radiofrequences montantes et reseau mettant en ævre un tel procede
KR101282381B1 (ko) 셀룰러 위성 통신을 도청하는 시스템 및 방법
WO2009053402A1 (fr) Dispositif et procede permettant d'intercepter des communications dans un reseau
EP0871342B1 (fr) Station mobile intégrant des fonctions de radiocommunication et de localisation, et procédé correspondant
KR101237305B1 (ko) 위성 통신 데이터를 처리하는 시스템 및 방법
EP3675584B1 (fr) Procede et systeme pour augmenter la capacite des communications
EP1198906A1 (fr) Procede de radiocommunication entre une station de base et des terminaux mobiles, stations de base et terminaux mobiles pour la mise en oeuvre d'un tel procede
EP1253799A1 (fr) Procédé et dispositif de localisation d'un mobile au sein d'un reseau de communication
EP3516794B1 (fr) Procédé permettant une discrimination de communications montantes ou descendantes
FR3073698A1 (fr) Noeud de reseau cote route et son procede de gestion
EP3711340A1 (fr) Système d'alerte et de gestion de désastre et procédé de fonctionnement d'un tel système
FR2888455A1 (en) Mobile telephone e.g. thuraya mobile telephone, detecting method for military field, involves determining position of mobile telephones from information transmitted by uplink signals, and representing position of telephones on map
EP2689541B1 (fr) Dispositif de communication tdma à deux antennes émettant deux balises
EP4207889A1 (fr) Procede de validation d'un positionnement d'un terminal utilisateur dans un reseau de cellules 5 g
FR3027175A1 (fr) Procede pour fournir des donnees de paquets de donnees ais recus, dispositif et programme d'ordinateur a cet effet
FR3131387A1 (fr) Procédé de validation d'un positionnement d'un terminal utilisateur dans un réseau radio cellulaire 4G
FR2804569A1 (fr) Systeme de detection de telephones cellulaires en mode reception ou veille operationnelle
WO2015135879A1 (fr) Procede de blocage d'acces a un support de communication

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20100422

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20150803

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20160216