SS7, Diameter, SIMjacker : la surveillance télécom invisible qui concerne aussi l'Afrique
Citizen Lab a documenté en avril 2026 deux campagnes de surveillance télécom exploitant SS7, Diameter et des commandes SIM cachées. Des identifiants liés à des réseaux au Mozambique, en Ouganda, au Rwanda, au Maroc, en Namibie et au Lesotho apparaissent dans l'infrastructure observée, ce qui impose une réponse des régulateurs et opérateurs africains.
Publié le
4 juin 2026
Lecture
~4 min
Score Afrique
Sévérité
Partager
↗
Une couche de surveillance presque invisible
Le 23 avril 2026, Citizen Lab a publié Bad Connection, une enquête technique sur deux campagnes de surveillance télécom exploitant l'écosystème mondial d'interconnexion mobile. Le rapport décrit des acteurs capables d'utiliser des protocoles de signalisation 3G et 4G, notamment SS7 et Diameter, ainsi que des commandes SIM envoyées par SMS, pour tenter de suivre la localisation de cibles.
Pour l'Afrique, le sujet n'est pas théorique. Citizen Lab indique que les attaques ont exploité des identifiants et infrastructures associés à des opérateurs dans de nombreux pays, dont Mozambique, Ouganda, Rwanda, Maroc, Namibie et Lesotho. Le rapport précise aussi une limite importante : la présence d'identifiants opérateurs ne prouve pas que les opérateurs concernés ont volontairement participé aux attaques. Ces identifiants peuvent être obtenus ou abusés via des intermédiaires, des arrangements commerciaux ou des chemins d'interconnexion.
Pourquoi SS7 et Diameter restent critiques
SS7 est souvent présenté comme un protocole ancien, mais il reste utilisé pour l'itinérance internationale, les SMS et certains services de continuité. Diameter, associé à la 4G et à une partie de l'écosystème 5G, devait améliorer la sécurité. En pratique, selon Citizen Lab, les opérateurs continuent souvent à dépendre d'un modèle de confiance entre pairs hérité de SS7, avec des contrôles insuffisants sur l'origine réelle des messages.
Cette architecture crée une faiblesse structurelle. Les réseaux mobiles sont conçus pour permettre à des opérateurs du monde entier de se parler afin qu'un abonné puisse voyager, recevoir des SMS ou s'authentifier. Mais cette confiance peut être détournée. Un acteur disposant d'un accès à l'écosystème de signalisation peut envoyer des requêtes qui semblent venir d'un opérateur légitime, alors qu'elles servent à localiser ou surveiller une cible.
SIMjacker : quand la carte SIM devient vecteur
L'une des campagnes décrites par Citizen Lab utilisait un SMS contenant des commandes SIM cachées. L'objectif : extraire des informations de localisation et transformer le téléphone en balise de suivi. Cette technique, souvent associée au nom SIMjacker, est particulièrement préoccupante car l'utilisateur peut ne rien voir. L'attaque ne dépend pas nécessairement d'un clic sur un lien ou de l'installation d'une application.
Pour les marchés africains, où la carte SIM reste au cœur de l'identité mobile, du mobile money, de l'accès gouvernemental et des communications quotidiennes, cette invisibilité est un problème de souveraineté. Le citoyen ne peut pas se protéger seul contre une requête de signalisation malveillante. La défense se situe chez l'opérateur, le fournisseur d'interconnexion, le régulateur et les autorités de contrôle.
Le risque pour les opérateurs africains
Un opérateur africain peut être exposé de deux façons. Il peut être la cible : ses abonnés sont localisés ou surveillés via des requêtes abusives. Il peut aussi être utilisé comme apparence d'origine : des identifiants liés à son réseau servent à faire passer du trafic qui semble légitime. Dans les deux cas, la confiance dans le réseau est atteinte.
Le rapport insiste sur les faiblesses du filtrage inter-opérateurs et sur la difficulté d'attribution. Les attaques peuvent emprunter des routes d'interconnexion différentes de celles attendues dans les documents techniques de roaming, et se masquer derrière des prestataires. Cela signifie qu'un audit limité au périmètre interne de l'opérateur ne suffit pas. Il faut examiner les partenaires, les routes, les fournisseurs de messagerie internationale et les accès de tiers.
Ce que les régulateurs doivent exiger
Les autorités africaines des télécommunications devraient traiter SS7, Diameter et les commandes SIM comme des sujets de sécurité nationale. Les licences opérateurs pourraient inclure des obligations de filtrage, de journalisation, de revue des partenaires d'interconnexion et de notification d'activité suspecte. Les régulateurs devraient aussi demander des preuves : tests indépendants, rapports d'incidents agrégés, contrôle des accès tiers et cartographie des routes internationales.
La difficulté est que ce domaine est technique et peu visible publiquement. Il ne suffit pas de demander aux opérateurs s'ils ont un firewall SS7 ou Diameter. Il faut savoir quelles règles sont activées, comment les exceptions sont validées, si les anomalies sont examinées, et si les routes observées correspondent aux accords déclarés.
Recommandations opérationnelles
- Auditer les routes SS7/Diameter observées par rapport aux informations IR.21 et aux accords d'itinérance déclarés.
- Bloquer ou challenger les requêtes de localisation anormales, répétées ou venant de chemins d'interconnexion inattendus.
- Surveiller les SMS binaires ou commandes SIM associés à des comportements SIMjacker.
- Revoir les contrats avec hubs de roaming, fournisseurs SMS, MVNE et intermédiaires ayant accès à la signalisation.
- Mettre en place une obligation de notification confidentielle au régulateur pour les campagnes de localisation suspectes.
Conclusion
L'enquête de Citizen Lab rappelle que la souveraineté numérique ne se limite pas aux datacenters et aux lois sur les données. Elle inclut la couche télécom invisible qui permet à un téléphone d'exister sur le réseau. Pour l'Afrique, où le mobile est souvent l'infrastructure numérique principale, sécuriser SS7, Diameter et les cartes SIM est une condition de confiance publique.
— ◆ —