SaRace Traduction ! du 30/05/97 Ver 2.0 Ce Filez est destine a vous apprendre les bases du Cellular phreaking mais en francais pour pas vous fatiguer :) Eh bin ouais g'lai fait pour vous mes ptits loups... :). Ceci n'est que la theorie du phreaking, toutes les sections de reprogrammage sont disponibles sur le web... PS : Ceci n'est pas exclusivement une traduction, g remanie le filez a ma maniere et ajouter kelke explikations made in me. :)) PART I Cellular Phreaking : Bases Kan on fait un appel avec un cellulaire, ca transmet 3 numeros importants a l'identification du cellulaire : les NSE (numero de securite electronique, ESN en anglais), le NIM (numero d'identification du mobile, MIN en anglais) et le SCM (numero de Sation Class Mark c-a-d la marque du cellulaire, SCM en anglais). Ces 3 No sont envoyes a la centrale avant le numero de phone et vous pouvez l'entendre apres avoir presser le bouton SND 'SEND' sur votre phonetel par un petit buzz tres court. Ces 4 elements sont les conditions necessaires pour ke la centrale vous donne une communication facturee (enfin jve dire poa a vous mais kelle ait l'impression) en verifiant ke le cellulairen appartient bien a l'utilisateur en kestion. Il y a normalement 2 compagnies de phonetel cellulaire dans une zone. L'Une est la compagnie avec un reseau a lignes (Band B) l'autre est la compagnie a reseau hertzien (Band A). Chaque Band possede 416 canaux ce qui fait en tout 832 canaux :). Dans ces band de canaux il ya des des sous-canaux qui eux transmettent les infos de la centrale juskau cellulaire. Le NSE (numero de securite electronique) et le NIM (numero d'identification du mobile) sont les 2 premiers identificateurs pour n'importe kel cellulaire. En changeant les 2 la centrale va accepter l'appel et le facturer vers un mauvais compte ou un compte fictif qui pour elle sera kome un compte non deconnecte. La centrale va checker les 2 autres elements a savoir le SCM (la marque du cellulaire) et le numero de telephone du cellulaire pour s'assurer que c'est un telephone cellulaire du marche. Le fait de changer le SCM (numero de marque du cellulaire) vous empechez la centrale de connaitre le type de phonetel ki fait l'appel. En faisant ainsi, vous vous protegez du tracage puisque ces connards chercherons une marque en particulier alors que votre cellulaire phreake est fictif. KEwl. Par exemple : vous pouvez dire ke vous utilisez un phonetel Radio Shack alors ke vous uilisez un Novatell... :) Il reste un numero hyper important le NAM (numero d'assignement du module) qui contient tout ce qui peut etre reprogrammer seulement grace au handset (la programmation direct par les touches du cellulaires, donc par le consommateur neophite :) ). En gros le NAM correspond au chiffres qu'il faut taper pour mettre la ligne du cellulaire en service. Dans ce NAM il ya plein de sous numeros qui definissent des parametres comme de SIZ (Systeme d'identifictation de la zone). Vous l'aurez compris le SIZ determine la localisation du cellulaire et des frequences (villes). Reprogrammer un SIZ ne prend que kelkes minutes mais faites attention de verifier que le NSE (numero de securite electronique) est toujours envoye a la centrale car s'ils voient k'il ne correspond poa a un phonetel en service ou a un phonetel possedant un faux NSE alors ils bloqueront le service. La seule solution apres ca c de reprogrammer le NSE. ****************************************************************************************** PART II Definitions La liste qui suit definit les termes communs utilises pour le phreaking de cellulaire. Rem : Je vais les citer en anglais pour vous retrouver avec les autres txt en english ;). SIDH (System Identification for the Home System, SIZ en francais) dans le NAM Un champ de 15 bits situe dans le NAM (Numero d'assignement du module). Habituellement, c un numero a 5 digits : Digit 1: Haut parleur interne, 0 enable Digit 2: Local Use Mark, 0 ou 1. (voir plus loin) Digit 3: MIN Mark, 0 ou 1. (voir plus loin) Digit 4: Rappel Auto, Toujours sur 1 (enabled). Digit 5: Second numero de telephone ??? (pas sur tous les phonetel), 1 pour enable. Digit 6: Divers (Deux antennes, poa tous les phonetel), 1 pour enable. LU (Local Use Flag) dans le NAM Dit au cellulaire de se prepresenter au system c'est a dire de transmettre les paramettre de connection a la ligne des la pression sur la touche 'deccrocher' du cellulaire. 1 enable. Mettez theoriquement sur 1. Sinon le cellulaire entamera une postpresentation c'est a dire apres avoir entre le numero de telephone. MIN1 (Mobile Identification Number 1) dans le NAM Un champ de 24 bits representant le numero de telephone du mobile (tres important) MIN2 (Mobile Identification Number 2) dans le NAM Un champ de 10 bits representant le code zone (area code) du MIN. MIN1+MIN2 dans le NAM Representent a eux deux le numero de telephone a 10 chiffres du cellulaire. MIN MARK (Mobile Identification Number Mark) dans le NAM Repere de 1 bit ordonnant ou non l'envoie du MIN2 lors d'un appel, donc le code zone (area code) du cellulaire. 1 enable. Mettez sur 1. SCM (Station Class Mark ou marque du cellulaire) dans le NAM Un champ de 4 bits designant la marque du cellulaire. IPCH (Initial Paging Channel for Home system) dans le NAM Un champ de 11 bits designant le canal initial a choisir pour le system du domicile. Normalement c'est 334 pour les systemes de centrales avec reseau a lignes et 333 pour les systemes de centrales avec reseau hertzien. Mais la plupart des cellulaires ont leur propre canal ou un canal different. ACCOLC (Access Overload Class) Un champ de 4 bits designant le status du cellulaire dans le systeme. Kewl ce truc :). Le but de cette option est de donner un priorite a certain cellulaires kome ceux des ambulances :). Le choix normal est 0 + la derniere digit du No telephone du cellulaire. Les telephones de test sont a 10, les vehicules d'urgence a 11, 12, et 15 est reserve (probablement la police, les pompiers ou les militaires : a ne poa utiliser biensur). PS (Preferred system) Un Champ de 11 bits designant le systeme preferrentiel. il est en rapport avec le IPCH (Initial Paging Channel for Home system). Si il est regle sur 0, les canaux allant de 334 a 666 (Satan!) seront utilises. Si le PS est sur 1 les canaux allant de 1 a 333 seront utilises. Les numeros de systeme 'even' necessitent un PS en 0, les numeros de systeme 'odd' necessitent un PS en 1. GIM (Group Identification Mark) Un champ de 4 bits ordonnant a la centrale du cellulaire juskou elle doit regarder dans le SIDH pour determiner si c'est un cellulaire environnant qui devrait avoir un agreement de zone avec la centrale. Habituellement regle sur 10. (jsais c poa tres tres clair mais jessaye d'interpreter le mieux possible :)...) LOCK DIGITS dans le NAM Un champ de 4 bits designant le code d'acces au cellulaire (code perso). La digit 0 dans le LOCK CODE est representee par un A dans le NAM en hexadecimal. Le code par defaut est 000. EE (End-to-End) Un repere de 1 bit ordonnant au cellulaire de traiter les tones en DTMF par le canal voix comme s'ils etaient transmis a la main. Cette option est necessaire pour les services a touches. ...VMB :-)... PABX :-)... REP (Repertory) dans le NAM Un repere de 1 bit annoncant ke les numeros mis en memoires sont enable. 1 enable. HA (Horn Alert) dans le NAM Un repere de 1 bit annoncant ke la sonnerie du cellulaire est enable. 1 enable. HF (Hanf Free) dans le NAM Un repere de 1 bit annoncant ke la fonction mains libres est activee. 1 enable. PART III Formats de NAM standards Les NAM sont generalement programmer de facon analogue dans tous les cellulaires. Ce chapitre explique les digits et les reglages communs pour la plupart des NAM. ETAPE DESCRIPTION NOMBRE DE DIGITS REGLAGE PAR DEFAUT -------------------------------------------------------------------------- 1 3 1ere digits 3 XXX du No de PHONE 2 4 dernieres digits 4 XXXX du No de PHONE 3 Lock Code(LOCK) 3 ou 4 XXXA ou XXXX 4 Code zone (MIN2) 3 XXX =(area code) 5 Systeme d'ID zone ID No. (SIDH) 4* XXXX 6 Horn Alert (HA) 1 0 or 1 7 Hands Free (HF) 1 0 or 1 8 End-to-End Signalement 1 1 (EE) 9 Repertory Mark (REP) 1 1 10 Group Identification 2 10 Mark (GIM) 11 Access Overload Class 2 XX* (ACCOLC) 12 Station Class Mark (SCM) 4* XXXX 13 Local Use Mark (LU) 1 1 14 Min Mark (MIN) 1 1 15 Initial Paging Channel 3 333 ou 334* (IPCH) 16 Preferred System Mark 1 0 or 1* (PS) Notes : 1. Le SIDH (Systeme D'identification de la zone, SIZ en francais) est compose normalement de cinq digits et quatre suffisent pour les USA. 2.Le numero d'Access Overload Class (2 didgits) est normalement compose d'un 0 plus le dernier chiffre du numero de phone du cellulaire. Certains systemes sont regles a 15 ou 00. 3.Le numero de Station Class Mark (SCM, la marque du cellulaire) est compose de 4 digits. 4.Le Initial Paging Channel est 334 pour les ligne a reseau par fil, 333 pour les systemes a reseau hertzien. 5.Le numero de systeme preferrentiel (Preferred Mark System, PS) doit etre regler sur 0 pour les reseaux a fil, sur 1 pour les reseaux hertziens. PART IV Le numero de securite electronique, ou numero de serie, ou ESN Quand un cellulaire est achete avec sa boite, l'ESN est normalement livre avec la doc ou sur un autocollant situe sur le phonetel. Ce ESN est le bon et la mise en service se fait alors vite. Si le cellulaire a ete bloque par la centrale pour non payement de la facture telephone, la personne qui veut remettre en service le cellulaire doit posseder cet ESN de facon a reprogrammer le systeme avec un nouveau MIN (il est en rapport avec l'ESN). Chaque fabriquant determine son propre ESN, mais il est possible qu'ils en possedent en commun. Par exemple, il peut y avoir un Motorola avec un ESN a 123456, et un Audiovox avec un ESN a 123456 (OK ?...).Partant de ce principe, il est possible de phreaker une ligne sans changer l'ESN, mais plutot le SCM et le SIDH (pour faire croire ke c'est un autre phonetel). L'ESN est un nombre de 32 bits, ki defini chaque unite portable. Cet ESN est porgramme en usine et ne peut etre modifie k'en enlever la puce concernee et en la reprogrammant a l'aide de votre becane et d'un prog special. L'ESN de la puce peut ou non etre en relation avec celui inscrit sur le chassis du cellulaire. L'ESN est encode dans des messages qui sont transmis a la centrale du cellulaire. Il doit vous etre demande lors de la mise en service. L'ESN est un nombre a 11 digits. LES 3 PREMIERS NOMBRES DESIGNENT LE CODE DU FABRICANT...LES 2 SUIVANTS SONT RESERVES (MAIS DOIVENT CONTENIR DES 00 OU DES CHIFFRES) ET 6 RESTANTS REPRESENTENT LE NUMERO DE SERIE... PART V Identifier l'ESN de votre cellulaire. Dependant du modele de votre phonetel, votre ESN sera situe sur la PROM. La PROM, petite puce, est porgrammee en usine et habituellement installee avec, un fusible de securite contre le piratage. Le code sur la PROM devrait etre obtenu en detachant la puce du cellulaire, en la mettant dans un lecteur de PROM, et en obtenant ainsi une image de sa memoire. La PROM d'un cellulaire possede de 16 a 28 broches. C'est une PROM bipolaire.(Voir ESN.GIF). La majorite des cellulaires acceptent la puce de type semiconducteur 32x8 PROM, qui detient l'ESN et ne peut poa etre reprogramme. Si l'ESN est konu, il est possible de detecter le plan de la memoire en installant la PROM dans un lecteur de PROM, et en obtenant le schema du fusible de protection en nickant le "READ MASTER" switche (un ptit jumper koi) grace au reprogrammeur. De plus, la plupart des prog de reprogrammation de PROM ont la possibilite de verifier et comparer la programmation d'une PROM avec une autre. La puce contenant l'ESN est de couleur noire uniforme (normale, hehe), avec de 16 a 28 broches, rectangulaire (enveloppe ceramique) ou carree(enveloppe plastique, plus petit). Fonctionnellement ce sont les memes chips mais celui en plastique est utilise dans les plus petits cellulaires. Il ya des inscriptions dessus grace auxkelles vous pourrez les reconnaitre : MMI, TI, NS, HARRIS, NSC, MB, DM, HM, AMD(hehe), TBP, MOTOROLA(hehe good), AMPS. Lorsque vous avez localiser le chip, essayez d'en acheter un nouveau... PART VI Scanner et trouver la paire ESN/MIN correcte Bon si vous n'avez toujours poa compris, l'ESN et le MIN du cellulaire doivent etre changes ou sinon ca marchera poa. C'est obligatoire pour eviter la facture de phone :). Si vous avez un ESN et le no de telephone (MIN), vous pourrez appeler partout kan vous voulez sans peur d'etre trace, sans meme un facture :)). La demarche ideale serait de scanner le canal d'emission de frequence(voir plus loin), enregistrer et afficher les ESN. Tous les codes sont envoyes en Hexadecimal, en NRZ code quand un abonne fait un appel. Et tous les cellulaires ont un emetteur/recepteur NRZ ! :). Tout ce kon a faire c'est d'avoir un recepteur sur le canal d'emission de frequence (voir plus loin), capter les infos des autres abonnes. Les cellulaires communiquent en full duplex c'est a dire k'ils recoivent en meme tant k'ils emettent. Un canal est utilise pour la transmission de la centrale au phonetel, une autre de la centrale au phonetel. Les frequences de la centrale sont exactement plus hautes de 45Mhz et les deux sont incrementees de 30Khz entre les etapes(canaux) #1 a #1023. (rem : il n'y a poa de canal entre #800 et #990). Avec certains systemes (poa tous) la transmission du cellulaire est envoyee d'abord a la centrale puis renvoyee sur la frenquence de la centrale. Kan cela est fait, un scanner de frequence peut ecouter les deux cotes de la conversation en ecoutant simplement la frequence de la centrale :)). Voila pkoi, lorsque vous entendez une voix parfois dans votre sans fil d'appart vous captez les voisins mais eux ne peuvent poa vous capter (parceka ce moment la, vous etes en full duplex). Voici une liste de frequences d'appel pour les cellulaires. Reseau Hertzien Reseau cable BAND A BAND B Numero Freq Emission Freq Reception Numero Freq Emssion Freq Reception Canal Mhz Mhz Canal Mhz Mhz 1 870.03 825.03 334 880.02 835.02 2 870.06 825.06 335 880.05 835.05 3 870.09 825.09 336 880.08 835.08 4 870.12 825.12 337 880.11 835.11 5 870.15 825.15 338 880.14 835.14 6 870.18 825.18 339 880.17 835.17 7 870.21 825.21 340 880.20 835.20 8 870.24 825.24 341 880.23 835.23 9 870.27 825.27 342 880.26 835.26 10 870.30 825.30 343 880.29 835.29 11 870.33 825.33 344 880.32 835.32 12 870.36 825.36 345 880.35 835.35 13 870.39 825.39 346 880.38 835.38 14 870.42 825.42 347 880.41 835.41 15 870.45 825.45 348 880.44 835.44 16 870.48 825.48 349 880.47 835.47 17 870.51 825.51 350 880.50 835.50 18 870.54 825.54 351 880.53 835.53 19 870.57 825.57 352 880.56 835.56 20 870.60 825.60 353 880.59 835.59 21 870.63 825.63 354 880.62 835.62 22 870.66 825.66 355 880.65 835.65 23 870.69 825.69 356 880.68 835.68 24 870.72 825.72 357 880.71 835.71 25 870.75 825.75 358 880.74 835.74 26 870.78 825.78 359 880.77 835.77 27 870.81 825.81 360 880.80 835.80 28 870.84 825.84 361 880.83 835.83 29 870.87 825.87 362 880.86 835.86 30 870.90 825.90 363 880.89 835.89 31 870.93 825.93 364 880.92 835.92 32 870.96 825.96 365 880.95 835.95 33 870.99 825.99 366 880.98 835.98 34 871.02 826.02 367 881.01 836.01 35 871.05 826.05 368 881.04 836.04 36 871.08 826.08 369 881.07 836.07 37 871.11 826.11 370 881.10 836.10 38 871.14 826.14 371 881.13 836.13 39 871.17 826.17 372 881.16 836.16 40 871.20 826.20 373 881.19 836.19 41 871.23 826.23 374 881.22 836.22 42 871.26 826.26 375 881.25 836.25 43 871.29 826.29 376 881.28 836.28 44 871.32 826.32 377 881.31 836.31 45 871.35 826.35 378 881.34 836.34 46 871.38 826.38 379 881.37 836.37 47 871.41 826.41 380 881.40 836.40 48 871.44 826.44 381 881.43 836.43 49 871.47 826.47 382 881.46 836.46 50 871.50 826.50 383 881.49 836.49 51 871.53 826.53 384 881.52 836.52 52 871.56 826.56 385 881.55 836.55 53 871.59 826.59 386 881.58 836.58 54 871.62 826.62 387 881.61 836.61 55 871.65 826.65 388 881.64 836.64 56 871.68 826.68 389 881.67 836.67 57 871.71 826.71 390 881.70 836.70 58 871.74 826.74 391 881.73 836.73 59 871.77 826.77 392 881.76 836.76 60 871.80 826.80 393 881.79 836.79 61 871.83 826.83 394 881.82 836.82 62 871.86 826.86 395 881.85 836.85 63 871.89 826.89 396 881.88 836.88 64 871.92 826.92 397 881.91 836.91 65 871.95 826.95 398 881.94 836.94 66 871.98 826.98 399 881.97 836.97 67 872.01 827.01 400 882.00 837.00 68 872.04 827.04 401 882.03 837.03 69 872.07 827.07 402 882.06 837.06 70 872.10 827.10 403 882.09 837.09 71 872.13 827.13 404 882.12 837.12 72 872.16 827.16 405 882.15 837.15 73 872.19 827.19 406 882.18 837.18 74 872.22 827.22 407 882.21 837.21 75 872.25 827.25 408 882.24 837.24 76 872.28 827.28 409 882.27 837.27 77 872.31 827.31 410 882.30 837.30 78 872.34 827.34 411 882.33 837.33 79 872.37 827.37 412 882.36 837.36 80 872.40 827.40 413 882.39 837.39 81 872.43 827.43 414 882.42 837.42 82 872.46 827.46 415 882.45 837.45 83 872.49 827.49 416 882.48 837.48 84 872.52 827.52 417 882.51 837.51 85 872.55 827.55 418 882.54 837.54 86 872.58 827.58 419 882.57 837.57 87 872.61 827.61 420 882.60 837.60 88 872.64 827.64 421 882.63 837.63 89 872.67 827.67 422 882.66 837.66 90 872.70 827.70 423 882.69 837.69 91 872.73 827.73 424 882.72 837.72 92 872.76 827.76 425 882.75 837.75 93 872.79 827.79 426 882.78 837.78 94 872.82 827.82 427 882.81 837.81 95 872.85 827.85 428 882.84 837.84 96 872.88 827.88 429 882.87 837.87 97 872.91 827.91 430 882.90 837.90 98 872.94 827.94 431 882.93 837.93 99 872.97 827.97 432 882.96 837.96 100 873.00 828.00 433 882.99 837.99 101 873.03 828.03 434 883.02 838.02 102 873.06 828.06 435 883.05 838.05 103 873.09 828.09 436 883.08 838.08 104 873.12 828.12 437 883.11 838.11 105 873.15 828.15 438 883.14 838.14 106 873.18 828.18 439 883.17 838.17 107 873.21 828.21 440 883.20 838.20 108 873.24 828.24 441 883.23 838.23 109 873.27 828.27 442 883.26 838.26 110 873.30 828.30 443 883.29 838.29 111 873.33 828.33 444 883.32 838.32 112 873.36 828.36 445 883.35 838.35 113 873.39 828.39 446 883.38 838.38 114 873.42 828.42 447 883.41 838.41 115 873.45 828.45 448 883.44 838.44 116 873.48 828.48 449 883.47 838.47 117 873.51 828.51 450 883.50 838.50 118 873.54 828.54 451 883.53 838.53 119 873.57 828.57 452 883.56 838.56 120 873.60 828.60 453 883.59 838.59 121 873.63 828.63 454 883.62 838.62 122 873.66 828.66 455 883.65 838.65 123 873.69 828.69 456 883.68 838.68 124 873.72 828.72 457 883.71 838.71 125 873.75 828.75 458 883.74 838.74 126 873.78 828.78 459 883.77 838.77 127 873.81 828.81