Un défaut d’authentification dans le service FreeWifi_Secure a révélé en clair les identifiants IMSI des abonnés Free Mobile, ouvrant la voie à des scénarios de traçage et d’abus dignes des attaques de niveau opérateur.
Pendant des années, le réseau FreeWifi_Secure, intégré aux Freebox, a permis aux abonnés Free Mobile de se connecter automatiquement grâce à l’authentification EAP-SIM. Mais un chercheur a démontré que cette méthode divulguait en clair l’IMSI, identifiant permanent de chaque carte SIM. Une telle fuite facilite le pistage physique, la corrélation d’identité et, dans certains cas, l’exploitation de vulnérabilités dans les réseaux de signalisation comme SS7 ou Diameter. Free a reconnu le problème, coopéré à une divulgation responsable et programmé une mise à jour de firmware désactivant le service sur les Freebox anciennes.
Quand un test technique révèle une fuite d’identité
C’est un test presque banal qui a mis la puce à l’oreille de 7h30th3r0n3 (Aka Flavien Ruffel), un cybercitoyen chercheur et spécialiste en cybersécurité. En expérimentant un petit boîtier « Evil-M5 » servant à analyser le trafic réseau, un chercheur en cybersécurité a découvert que les terminaux Free Mobile connectés au SSID FreeWifi_Secure exposaient leur IMSI en clair au moment de l’authentification. Cet identifiant, normalement gardé confidentiel par les opérateurs mobiles, est unique à chaque carte SIM et persistant dans le temps.
Le protocole mis en cause est l’EAP-SIM, utilisé pour authentifier automatiquement les abonnés via la carte SIM. Lors de la séquence initiale EAP-Response/Identity, les téléphones envoyaient l’IMSI complet, suivi d’un domaine de type NAI, avant même qu’un tunnel sécurisé ne soit établi. Résultat : un simple reniflage du trafic Wi-Fi permettait d’observer l’IMSI en ASCII, sous une forme explicite telle que [email protected].
Cette fuite ne nécessite ni intrusion sophistiquée ni matériel spécialisé. Une carte réseau en mode moniteur et un logiciel comme Wireshark ou Kismet suffisent. Toute personne à portée Wi-Fi d’une Freebox diffusant l’SSID compromis pouvait collecter ces données.
Une vulnérabilité systémique
La gravité du problème tient à la nature même de l’IMSI. Contrairement à des identifiants temporaires, il s’agit d’un numéro permanent, utilisé par l’opérateur pour authentifier l’abonné dans le cœur du réseau. Sa divulgation ouvre plusieurs scénarios d’exploitation.
Le premier est le pistage physique. En capturant régulièrement l’IMSI d’un terminal dans différents lieux, un attaquant peut suivre les déplacements d’un individu sur la durée. Ce type de surveillance, habituellement réservé aux capacités des agences de renseignement ou aux IMSI catchers, devient ici accessible à toute personne disposant d’un simple sniffer Wi-Fi.
Le second scénario est la corrélation d’identité. Un IMSI associé à un utilisateur peut être lié à d’autres jeux de données, permettant de dé-anonymiser des comportements numériques ou des déplacements. Enfin, pour des attaquants disposant d’un accès aux réseaux de signalisation (SS7 ou Diameter), l’IMSI constitue une clé ouvrant la porte à des actions plus offensives : localisation en temps réel, interception d’appels ou de SMS, détournement d’authentifications par SMS.
Le chercheur insiste : il ne s’agit pas d’une exécution de code à distance ni d’une compromission logicielle de la Freebox, mais d’une faille structurelle de confidentialité. Elle découle d’une implémentation incomplète du standard, qui recommande l’usage d’identités temporaires ou pseudonymes à la place de l’IMSI permanent.
Des tests reproductibles et sans ambiguïté
Pour vérifier la découverte, le chercheur a mené plusieurs expérimentations. Sur sa propre Freebox, puis sur celles d’amis et connaissances, il a systématiquement observé la même fuite lors de l’authentification au réseau FreeWifi_Secure. Le phénomène se reproduisait quel que soit le modèle de téléphone testé, tant que la Freebox en question diffusait le SSID vulnérable.
En revanche, les Freebox plus récentes, comme les modèles Delta, Pop ou Ultra, ne proposaient plus le service FreeWifi_Secure. Leur suppression préalable a permis de réduire l’exposition, mais des millions de box plus anciennes continuaient à l’émettre, prolongeant la surface d’attaque.
L’expérimentation n’exigeait aucun privilège particulier. Un attaquant devait seulement attendre que les terminaux configurés pour se connecter automatiquement au réseau envoient leur première trame d’authentification. La fuite se produisait immédiatement, avant tout chiffrement.
Les standards de l’EAP-SIM, définis notamment par le RFC 4186, prévoient que les opérateurs mettent en œuvre des identités pseudonymes pour éviter l’exposition du permanent subscriber identity. Dans la pratique, FreeWifi_Secure n’appliquait pas cette protection.
Cette lacune transforme une commodité en vulnérabilité. Conçu pour offrir une connexion Wi-Fi automatique aux abonnés Free Mobile, le service reposait sur une sécurité supposée « intégrée » par l’usage de la SIM. Mais en négligeant l’étape des identités temporaires, Free a laissé s’installer un vecteur de collecte de masse.
Le problème n’avait sans doute pas été perçu comme prioritaire. Après tout, la portée d’un signal Wi-Fi est limitée à une centaine de mètres en environnement urbain. Mais multiplié par des millions de points d’accès, chacun exposant les IMSI des terminaux connectés, l’impact devient massif. Un observateur malveillant pouvait ainsi bâtir des bases de données de mobilité d’une ampleur considérable.
Le rôle des réseaux de signalisation
L’enjeu ne se limite pas au pistage local. L’IMSI est également la clé d’entrée vers les réseaux de signalisation mondiaux qui connectent les opérateurs. Or ces infrastructures historiques, comme SS7 ou son successeur Diameter, sont notoirement fragiles.
Des chercheurs ont montré depuis des années que l’accès à ces réseaux permettait des attaques de localisation, d’interception d’appels ou de SMS, ou encore de contournement d’authentification forte reposant sur l’envoi de codes par SMS. En exposant l’IMSI en clair dans des millions de contextes Wi-Fi, FreeWifi_Secure offrait donc à d’éventuels attaquants une matière première idéale pour tenter des abus plus avancés.
Il ne s’agit pas d’affirmer que tous les détenteurs d’un sniffer Wi-Fi pouvaient lancer ce type d’attaque. Mais la fuite abaisse la barrière technique. Elle fournit à des acteurs disposant de relais dans les télécoms l’information qu’ils auraient normalement dû extraire de manière plus complexe.
Une divulgation responsable coordonnée avec l’opérateur
Conscient de la sensibilité du sujet, le chercheur n’a pas publié immédiatement ses résultats. Il a utilisé le canal security.txt mis en place par Free pour alerter directement l’opérateur. Dans sa notification, il a recommandé l’attribution d’un identifiant CVE afin de suivre la vulnérabilité.
La réponse de Free a été rapide. L’opérateur a reconnu la validité du problème, affirmé en avoir eu connaissance en interne, et demandé un délai pour mettre en place une correction coordonnée. Le chercheur a accepté de différer toute publication le temps qu’un plan soit défini.
La mesure retenue par Free a consisté à préparer une mise à jour de firmware pour les Freebox anciennes, destinée à désactiver par défaut le SSID FreeWifi_Secure. Le déploiement de ce correctif a été annoncé pour le 1er octobre 2025. De facto, les Freebox plus récentes n’étaient déjà plus concernées. La collaboration a donc permis une sortie de crise ordonnée, sans alerter inutilement les utilisateurs avant que la correction ne soit prête.
Un cas d’école de faille de confidentialité
L’affaire FreeWifi_Secure illustre un type de vulnérabilité souvent sous-estimé. Il ne s’agit pas ici d’un bug logiciel exploitable pour prendre le contrôle d’un système, mais d’une faille de conception exposant une donnée sensible. Or les conséquences sur la vie privée peuvent être tout aussi sévères.
Un attaquant qui collecte les IMSI peut suivre des individus de manière persistante, construire des profils de mobilité ou croiser ces identifiants avec d’autres bases de données. L’impact est d’autant plus préoccupant que l’utilisateur n’a aucun signe visible de la fuite : son téléphone se connecte automatiquement, comme prévu, sans générer d’alerte ni d’erreur.
Ce type de problème appelle une vigilance accrue dans la conception des services réseau. Les opérateurs ne peuvent se contenter de déployer des mécanismes standards en supposant que leurs protections implicites suffisent. Chaque étape doit être auditée, chaque identité permanente doit être protégée ou remplacée par un pseudonyme.
Pour les abonnés, la mitigation immédiate consiste à supprimer manuellement le réseau FreeWifi_Secure de la liste des connexions automatiques de leur téléphone. Cela évite toute tentative de connexion et donc toute fuite d’IMSI. La mise à jour de firmware de Free doit supprimer la diffusion du SSID sur les Freebox anciennes, ce qui mettra fin au problème côté infrastructure. Mais l’épisode rappelle que les utilisateurs ne doivent pas considérer les mécanismes de connexion « invisibles » comme infaillibles.
Du côté des opérateurs, la leçon est claire : l’implémentation de standards tels que l’EAP-SIM doit inclure systématiquement la protection des identités. La non-application de ces mécanismes n’est pas un simple détail, mais une faille de confidentialité majeure.
Cette affaire traitée avec intelligence et efficacité ne constitue probablement pas un cas isolé. D’autres déploiements de Wi-Fi basé sur la SIM existent dans le monde, notamment dans les contextes de roaming ou de hotspot opérateur. Si ces implémentations n’intègrent pas la gestion des identités temporaires, elles risquent de présenter la même exposition.
Le chercheur souligne que la découverte est survenue presque par hasard, lors d’un test de routine. Cela suggère que d’autres services pourraient receler des vulnérabilités comparables, encore non documentées. Le véritable enjeu est donc méthodologique : intégrer la protection des identités mobiles dans les modèles de menace des opérateurs, auditer régulièrement ces services et anticiper les risques liés à la signalisation.
La conclusion est sans ambiguïté : toute diffusion en clair d’IMSI en dehors du cœur de réseau doit être considérée comme une faille critique.
