📰 Source : NRK (média public norvégien), publié le 15 avril 2026. L’article rapporte la découverte et la divulgation responsable d’une vulnérabilité de configuration dans le réseau mobile de Telia Norvège, opérateur comptant environ 2 millions d’abonnés.

🔍 Découverte de la faille Le 20 mars 2026, le chercheur en sécurité Harrison Sand, employé de la société norvégienne Mnemonic, découvre la faille lors d’investigations sur l’abus du réseau téléphonique à des fins de fraude par SMS. En passant un appel vers un journaliste de NRK, il constate que Telia transmet spontanément l’identifiant de la station de base à laquelle le téléphone appelé est connecté.

⚙️ Nature technique de la vulnérabilité

  • La fuite d’information survient sans aucun piratage ni intrusion : il suffit de passer un appel et de lire les métadonnées transmises.
  • La faille résulte d’un changement de configuration effectué par Telia en 2023.
  • Elle révèle la station de base connectée, permettant une géolocalisation à 100–200 mètres en zone urbaine.
  • L’exploitation nécessite des compétences techniques mais aucun outil spécialisé.
  • La cible n’a pas besoin de décrocher son téléphone pour être localisée.

👥 Personnes et entités exposées

  • Abonnés privés et professionnels de Telia Norvège
  • Clients de Phonero (marque Telia), dont la Police nationale et les Forces armées norvégiennes
  • Parlementaires de tous les partis du Storting (Parlement norvégien)
  • Agents de la NSM (Nasjonal sikkerhetsmyndighet – autorité nationale de sécurité)
  • Agents de la Nkom (Nasjonal kommunikasjonsmyndighet) et du Datatilsynet (CNIL norvégienne)
  • Les téléphones pouvaient être tracés même à l’étranger

📢 Divulgation et correction

  • NRK alerte Telia le lundi 13 avril 2026
  • La faille est corrigée dans la nuit du 13 au 14 avril 2026
  • Telia a notifié le Datatilsynet et la Nkom
  • La Nkom lance une procédure de contrôle (tilsyn) sur Telia

⚠️ Contexte de menace

  • En février 2026, le PST (service de renseignement intérieur norvégien) avait alerté sur des intrusions du groupe Salt Typhoon (lié à la Chine) dans des entreprises norvégiennes, spécialisé dans le ciblage des opérateurs télécom.
  • Le chercheur Harrison Sand estime qu’il est plus probable que non que des acteurs de menace avancés aient déjà exploité cette faille avant sa découverte.
  • Les concurrents Telenor et Ice ne présentent pas la même vulnérabilité selon Mnemonic.

📋 Type d’article : Annonce d’incident / rapport de vulnérabilité. But principal : informer le public et les autorités de l’existence, de la nature et de l’impact d’une faille de sécurité télécom affectant des personnalités sensibles en Norvège.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1592 — Gather Victim Host Information (Reconnaissance)
  • T1596 — Search Open Technical Databases (Reconnaissance)
  • T1040 — Network Sniffing (Credential Access)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ nrk.no — source non référencée (0pts)
  • ✅ 8136 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Salt Typhoon (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.nrk.no/norge/sikkerhetshull-avslorte-telia-kunders-posisjon-1.17842282