La Theorie Du Phreaking de Cellulaire Analogique.

NoRace Traduction !   update du 25/10/97   Ver 2.22

--->LES NEWBIES D'AUJOURD'HUI SERONT L'ELITE DE DEMAIN...

Ce Filez est destine a vous apprendre les bases du Cellular phreaking mais en francais pour pas
vous fatiguer :) Eh bin ouais g'lai fait pour vous mes ptits loups... :). Ceci n'est que la
theorie du phreaking, toutes les sections de reprogrammage sont disponibles sur le web...
PS : Ceci n'est pas exclusivement une traduction, g remanie le filez a ma maniere et ajouter
kelkes explikations made in me. :))

Note : Ce filez est uniquement valable pour les cellulaires analogiques. Les
Cellulaires dit "digitaux" ou "numeriques" ne sont poa phreakables pour 
l'instant.


PART I

Cellular Phreaking : Bases

Kan on fait un appel avec un cellulaire, ca transmet 3 numeros importants a l'identification
du cellulaire : le ESN (numero de securite electronique), le MIN (numero 
d'identification du mobile) et le SCM (numero de Sation Class Mark c-a-d 
la marque du cellulaire). Ces 3 N° sont envoyes a la centrale avant le numero
de phone et vous pouvez l'entendre apres avoir presser le bouton SND 'SEND' sur votre phonetel 
par un petit buzz tres court. Ces 4 elements sont les conditions necessaires pour ke la 
centrale vous donne une communication facturee (enfin jve dire poa a vous mais kelle ait 
l'impression) en verifiant ke le cellulairen appartient bien a l'utilisateur en kestion.

Il y a normalement 2 compagnies de phonetel cellulaire dans une zone. L'Une est la compagnie
avec un reseau a lignes (Band B) l'autre est la compagnie a reseau hertzien (Band A). Chaque
Band possede 416 canaux ce qui fait en tout 832 canaux :). Dans ces band de canaux il ya des
des sous-canaux qui eux transmettent les infos de la centrale juskau cellulaire.

Le ESN (numero de securite electronique) et le MIN (numero d'identification du mobile) sont
les 2 premiers identificateurs pour n'importe kel cellulaire. En changeant les 2, la centrale
va accepter l'appel et le facturer vers un mauvais compte ou un compte fictif qui pour elle 
sera kome un compte non deconnecte. La centrale va checker les 2 autres elements a savoir
le SCM (la marque du cellulaire) et le numero de telephone du cellulaire pour s'assurer que 
c'est un telephone cellulaire du marche.

Le fait de changer le SCM (numero de marque du cellulaire) vous empechez la centrale de con-
naitre le type de phonetel ki fait l'appel. En faisant ainsi, vous vous protegez du tracage 
puisque ces connards chercherons une marque en particulier alors que votre cellulaire phreake
est fictif. KEwl. Par exemple : vous pouvez dire ke vous utilisez un phonetel Ericsson 
alors ke vous uilisez un Motorola... :)

Il reste un numero hyper important le NAM (numero d'assignement du module) qui contient tout ce 
qui peut etre reprogrammer seulement grace au handset (la programmation direct par les touches 
du cellulaires, donc par le consommateur neophite :) ). En gros le NAM correspond au chiffres
qu'il faut taper pour mettre la ligne du cellulaire en service. Dans ce NAM il ya plein de sous
numeros qui definissent des parametres comme de SIDH (Systeme d'identifictation du mobile). 
Vous l'aurez compris  le SIDH determine la localisation du cellulaire et des frequences (villes).
Reprogrammer un SIDH ne prend que kelkes minutes mais faites attention de verifier que le ESN 
(numero de securite electronique) est toujours envoye a la centrale car s'ils voient k'il ne 
correspond poa a un phonetel en service ou a un phonetel possedant un faux ESN alors ils 
bloqueront le service. La seule solution apres ca c de reprogrammer le ESN.

******************************************************************************************

PART II

Definitions 

La liste qui suit definit les termes communs utilises pour le phreaking de cellulaire.
Rem : Je vais les citer en anglais pour vous retrouver avec les autres txt en english ;).

Tous les numbas ki suivent sont contenus dans le NAM (Numero d'assignement du module). 

SIDH (System Identification for the Home System) dans le NAM
Un champ de 15 bits situe dans le NAM. Habituellement, c un
numero a 5 digits : 

    Digit 1:  Haut parleur interne, 0 enable
    Digit 2:  Local Use Mark, 0 ou 1. (voir plus loin)
    Digit 3:  MIN Mark, 0 ou 1. (voir plus loin)
    Digit 4:  Rappel Auto, Toujours sur 1 (enabled).
    Digit 5:  Second numero de telephone ??? (pas sur tous les phonetel), 1 pour enable.
    Digit 6:  Divers (Deux antennes, poa tous les phonetel), 1 pour enable.

LU (Local Use Flag) 
Dit au cellulaire de se prepresenter au system c'est a dire de transmettre les 
paramettre de connection a la ligne des la pression sur la touche 'deccrocher' du cellulaire. 
1 enable. Mettez theoriquement sur 1. Sinon le cellulaire entamera une postpresentation c'est a 
dire apres avoir entre le numero de telephone.

MIN1 (Mobile Identification Number 1) 
Un champ de 24 bits representant le numero de telephone du mobile (tres important)

MIN2 (Mobile Identification Number 2) 
Un champ de 10 bits representant le code zone (area code) du MIN.

MIN1+MIN2 
Representent a eux deux le numero de telephone a 10 chiffres du cellulaire.

MIN MARK (Mobile Identification Number Mark) 
Repere de 1 bit ordonnant ou non l'envoie du MIN2 lors d'un appel, donc le code zone (area code)
du cellulaire. 1 enable. Mettez sur 1.

SCM (Station Class Mark ou marque du cellulaire) 
Un champ de 4 bits designant la marque du cellulaire.

IPCH (Initial Paging Channel for Home system) 
Un champ de 11 bits designant le canal initial a choisir pour le system du domicile.
Normalement c'est 334 pour les systemes de centrales avec reseau a lignes et 333 pour 
les systemes de centrales avec reseau hertzien. Mais la plupart des cellulaires ont leur
propre canal ou un canal different.

ACCOLC (Access Overload Class) 
Un champ de 4 bits designant le status du cellulaire dans le systeme. Kewl ce truc :). Le but
de cette option est de donner un priorite a certain cellulaires kome ceux des ambulances :).
Le choix normal est 0 + la derniere digit du N° telephone du cellulaire. Les telephones de test
sont a 10, les vehicules d'urgence a 11, 12, et 15 est reserve (probablement la police, les 
pompiers ou les militaires : a ne poa untiliser biensur).

PS (Preferred system) 
Un Champ de 11 bits designant le systeme preferrentiel. il est en rapport avec le 
IPCH (Initial Paging Channel for Home system). Si il est regle sur 0, les canaux allant
de 334 à 666 (Satan!) seront utilises. Si le PS est sur 1 les canaux allant de 1 a 333 seront
utilises. Les numeros de systeme 'even' necessitent un PS en 0, les numeros de systeme 'odd'
necessitent un PS en 1.

GIM (Group Identification Mark)
Un champ de 4 bits dictant a la centrale du cellulaire la limite de verification dans le 
SIDH pour determiner si c'est un cellulaire environnant qui devrait avoir un agrement de zone
avec la centrale. Habituellement regle sur 10. (jsais c poa tres tres clair mais jessaye
d'interpreter le mieux possible :)...)

LOCK DIGITS 
Un champ de 4 bits designant le code d'acces au cellulaire (code perso). La digit 0 dans le 
LOCK CODE est representee par un A dans le NAM en hexadecimal. Le code par defaut est 000.

EE (End-to-End)
Un repere de 1 bit ordonnant au cellulaire de traiter les tones en DTMF du cellulaire de 
maniere plus longue c a dire en mode standard car celle du cell sont trop courtes.
Cette option est necessaire pour les services a touches. 
...VMB :-)... PABX :-)...

REP (Repertory) 
Un repere de 1 bit annoncant ke les numeros mis en memoires sont enable. 1 enable.

HA (Horn Alert) 
Un repere de 1 bit annoncant ke la sonnerie du cellulaire est enable. 1 enable.

HF (Hanf Free) 
Un repere de 1 bit annoncant ke la fonction mains libres est activee. 1 enable.


PART III

Formats de NAM standards

Les NAM sont generalement programmer de facon analogue dans tous les cellulaires. Ce chapitre
explique les digits et les reglages communs pour la plupart des NAM.

ETAPE        DESCRIPTION           NOMBRE DE DIGITS      REGLAGE PAR DEFAUT
--------------------------------------------------------------------------
1           3 1ere   digits              3                     XXX
            du N° de PHONE

2           4 dernieres digits           4                     XXXX
            du N° de PHONE

3           Lock Code(LOCK)            3 ou 4               XXXA ou XXXX          

4           Code zone (MIN2)             3                     XXX
            =(area code) 

5           Systeme d'ID mobile
            ID No. (SIDH)                4*                    XXXX

6           Horn Alert (HA)              1                    0 or 1

7           Hands Free (HF)              1                    0 or 1

8           End-to-End Signalement       1                      1
            (EE)

9           Repertory Mark (REP)         1                      1

10          Group Identification         2                     10
            Mark (GIM)

11          Access Overload Class        2                     XX*
            (ACCOLC)

12          Station Class Mark (SCM)     4*                   XXXX

13          Local Use Mark (LU)          1                      1

14          Min Mark (MIN)               1                      1

15          Initial Paging Channel       3                 333 ou 334*
            (IPCH)

16          Preferred System Mark        1                   0 or 1*
            (PS)

Notes :

1. Le SIDH (Systeme D'identification de la zone) est compose normalement de
cinq digits et quatre suffisent pour les USA.

2.Le numero d'Access Overload Class (2 didgits) est normalement compose d'un 0 plus le dernier
chiffre du numero de phone du cellulaire. Certains systemes sont regles a 15 ou 00.

3.Le numero de Station Class Mark (SCM, la marque du cellulaire) est compose de 4 digits.

4.Le Initial Paging Channel est 334 pour les ligne a reseau par fil, 333 pour les systemes a
reseau hertzien.

5.Le numero de systeme preferrentiel (Preferred Mark System, PS) doit etre regler sur 0 pour 
les reseaux a fil, sur 1 pour les reseaux hertziens.

PART IV

Le numero de securite electronique, ou numero de serie, ou ESN

Quand un cellulaire est achete avec sa boite, l'ESN est normalement livre avec la doc ou sur un
autocollant situe sur le phonetel. Ce ESN est le bon et la mise en service se fait alors vite.
Si le cellulaire a ete bloque par la centrale pour non payement de la facture telephone, la 
personne qui veut remettre en service le cellulaire doit posseder cet ESN de facon a reprogram
-mer le systeme avec un nouveau ESN et un nouveau MIN (il sont en rapport car le MIN contient
le numba de telephone qui est en fonction de l'ESN). Chaque fabriquant determine son propre ESN,
mais il est possible qu'ils en possedent en commun. Par exemple, il peut y avoir un Motorola 
avec un ESN a 123456, et un Audiovox avec un ESN a 123456 (OK ?...).
Partant de ce principe, il est possible de phreaker un ligne sans changer l'ESN, mais plutot le 
SCM (Station Class Mark) (pour faire croire ke c'est un autre phonetel).

L'ESN est un nombre de 32 bits, ki defini chaque unite portable. Cet ESN est porgramme en usine
et ne peut etre modifie. Il faut alors commander une puce vierge du meme modele et la reprogram-
-mer avec nos propres parametres. L'ESN de la puce peut ou non etre en relation avec celui inscrit
sur le chassis du cellulaire. L'ESN est encode dans des messages qui sont transmis a la centrale
du cellulaire. Il doit vous etre demande lors de la mise en service. L'ESN est un nombre a 
11 digits. LES 3 PREMIERS NOMBRES DESIGNENT LE CODE DU FABRICANT...LES 2 SUIVANTS SONT RESERVES
(MAIS DOIVENT CONTENIR DES 00 OU DES CHIFFRES) ET 6 RESTANTS REPRESENTENT LE NUMERO DE SERIE...

PART V

Identifier l'ESN  de votre cellulaire.

Dependant du modele de votre phonetel, votre ESN sera situe sur la PROM. La PROM, petite puce,
est porgrammee en usine et habituellement installee avec ,un fusible de securite contre le pira-
tage. Le code sur la PROM devrait etre obtenu en detachant la puce du cellulaire, en la mettant
dans un lecteur de PROM, et en obtenant ainsi une image de sa memoire.

La PROM d'un cellulaire possede de 16 a 28 broches. C'est une PROM bipolaire.(Voir ESN.GIF).
La majorite des cellulaires acceptent la puce de type semiconducteur 32x8 PROM, qui detient
l'ESN et ne peut poa etre reprogramme. Si l'ESN est konu, il est possible de detecter le plan
de la memoire en installant la PROM dans un lecteur de PROM, et en obtenant le schema du fusible
de protection en nickant le "READ MASTER" switche (un ptit jumper koi) grace au reprogrammeur.
De plus, la plupart des prog de reprogrammation de PROM ont la possibilite de verifier et com-
parer la programmation d'une PROM avec une autre.

La puce contenant l'ESN est de couleur noire uniforme (normale, hehe), avec de 16 a 28 broches,
rectangulaire (enveloppe ceramique) ou carree (enveloppe plastique, plus petit). Fonctionnellem-
-ent ce sont les memes chips mais celui en plastique est utilise dans les plus petits cellulaires.
Il ya des inscriptions dessus grace auxkelles vous pourrez les reconnaitre :
MMI, TI, NS, HARRIS, NSC, MB, DM, HM, AMD(hehe), TBP, MOTOROLA(hehe good), AMPS.
Lorsque vous avez localiser le chip, essayez d'en acheter un nouveau en prenant soin de relever 
ses referrences. Ou ca ? bah chez n'importe kel fournisseur electronique, sur commande. (achetez
en plusieurs c mieux, au moins 3). :)

PART VI

Scanner et trouver la paire ESN/MIN correcte

Bon si vous n'avez toujours poa compris, l'ESN et le MIN du cellulaire doivent etre changes
ou sinon ca marchera poa. C'est obligatoire pour eviter la facture de phone :). Si vous avez
un ESN et le n° de telephone (MIN), vous pourrez appeler partout kan vous voulez sans peur 
d'etre trace, sans meme un facture :)). La demarche ideale serait de scanner le canal 
d'emission de frequence (voir plus loin), enregistrer et afficher les ESN.

Tous les codes sont envoyes en Hexadecimal, en NRZ code quand un abonne fait un appel. Et tous
les cellulaires ont un emetteur/recepteur NRZ ! :). Tout ce kon a faire c'est d'avoir un
recepteur sur le canal d'emission de frequence (voir plus loin), capter les infos des autres 
abonnes.

Les cellulaires communiquent en full duplex c'est a dire k'ils recoivent en meme tant k'ils
emettent. Un canal est utilise pour la transmission de la centrale au phonetel, une autre de
du phonetel a la centrale. Les frequences qu'envoie la centrale au cellulaire sont exactement 
plus hautes de 45Mhz que celles qu'envoie le cellulaire a la centrale.
et ces deux canaux sont incrementees de 30Khz entre chaque frequence #1 a #1023. (rem : il 
n'y a poa de canal entre #800 et #990).

Avec certains systemes (poa tous) la transmission du cellulaire est envoyee d'abord a la 
centrale puis renvoyee sur la meme frenquence de la centrale. Kan cela est fait, un scanner de
frequences peut ecouter les deux cotes de la conversation en ecoutant simplement la frequence
de la centrale :)). Voila pkoi, lorsque vous entendez une voix parfois dans votre sans fil
d'appart vous captez les voisins mais eux ne peuvent poa vous capter (parceka ce moment la,
votre phone est en full duplex).

***Vous pouvez trouver la liste des frequences d'un cellulaire dans le fichiers Cell-Freq.txt****
*******Ou procurez vous Cellular Manager 2.00 ki donne la liste des toutes ces frequences********


Maintenant, une petite methode pour trouver les frequences utilisees dans systeme de cellulaire,
et leskels sont dans kels cellulaires. Si le systeme utilise OMNICELLS, kome la plupart, vous 
pouvez facilement trouver tous les canaux de votre cellulaire si vous en konaissez juste un 
grace aux tables de frequences suivantes.

Les frequences d'un cellulaire sont assignees par un n° de canal, et pour tous les canaux, 
c a dire les deux groupes reunis a savoir reseau hertzien, et reseau cable, la formule est :

Frequence de reception = (numero du canal x 0.030 Mhz) + 870 Mhz
Frequence d' emission  = (numero du canal x 0.030 Mhz) + 825 Mhz

Ce qui donne ex : pour le canal N°1 de la band A        0.030 + 870 = 870.03 Mhz

La BAND A utilise les canaux de 1 a 333.  Pour construire un tableau de frequences de cellulaire,
mettez la canal 333 dans le coin en haut a gauche du tableau. La prochaine a droite sera le canal
332(hehe, normal), le prochain 331(arf)...juskau canal 313. Mettez le canal 312 en dessous du 333,
le 311 en dessous du 332 etc... OK ? :)). Chaque canal en haut du tableau est normalement le 1ere
canal de chaque cellulaire du systeme. Chaque canal en bas du tableau dans la meme colonne est la
prochaine frequence assignee a ce cellulaire. Habituellement le canal utilise pour les infos
est le plus grand numero de canal dans le cellulaire. (Si vous avez rien compris, relisez en 
regardant les tableaux qui vont suivre, c tres explicite :)).

De meme, la BAND B utilise les canaux de 334 a 666. La, le tout premier numero de canal sera 334
en haut a gauche, 335 la prochain sur la droite... Attention ! Ici le canal utilise pour les 
infos sera le canal qui aura le nombre le plus petit dans chaque cellulaire.

*********Vous pouvez trouver les tables de frequences dans le fichiers cell-tables.txt***********


NOTE IMPORTANTE : Tous ces canaux et toutes ces frequences sont disponibles dans un tres 
bon prog ki s'appelle Cellular Manager 1.00 ou 2.00. Il suffit de donner la marque du cellulaire
et il vous donne le code du fabricant a 3 digits. 
En bref, la methode de scan de frequence (snarfing) avec un scanner bidouille est une technique 
de bourrin et tres fastidieuse.
Ensuite pour reprogrammer, vous trouverez des progs tres bien sur le web.

Jespere ke ce ptit filez vous a ete profitable...
D'autres traductions seront dispos bientot.
Longue vie a PHe et a CoD4.

Lu a CoD4, [[KaUf]], Kewl, LaRsEn, Busybee, daany, Dicto, dOC|SEDOv, K0rTex, Raw, 
mAC^mAHOn, Blorp, Neur0, Strauma, RaTw3, meth0s, Mikasoft, Palm-153, yawn, KiL4, ]IdH[, n3xt... 
                               ... et tous les autres :)


www.chez.com/norace


NoRace Phreaking Research Corp.
-->Pour ke la scene francaise avance