Brouilleurs GSM Chinois
Les détails et les réglages pour taper la ou ca fait mal (en cours de reecriture)

L'histoire commence en 2008 avec un lien sur Digg menant vers un brouilleur GSM à très bas prix (comprendre: prix normal), sur un site chinois spécialisé dans la vente d'inutilités, de pièces détachées et de matériel partielement légal: DealExtreme.

Le brouilleur en question etait listé sous le SKU 4355 mais a depuis ete retire avec tous les autres.

Bien sûr, DealExtreme n'est qu'un revendeur, qui s'occupe de stocker (quand ils le peuvent) les produits et de les vendre sur le net. C'est TanGreat Technology Co., Ltd qui fabriquent ces brouilleurs, on peut même les voir sur leur site et dans leur démo vidéo sur Alibaba.net.

 

 

 

 

Si vous lisez cet article, je doute que vous ne sachiez pas à quoi sert un brouilleur, mais au cas où: un brouilleur "pollueur" est un appareil plus ou moins portatif qui emmet du bruit par ondes radio sur une plage de fréquences donnée, dans le but de pourrir les transmissions.

Il est évident qu'avec une transmission mobile-base (telephone-antenne relais par exemple), c'est la voie descendante (le downlink, base vers mobile) qui sera la plus simple à brouiller, car on se trouve typiquement plus pres du mobile que de la base. L'inverse impliquerai de brouiller l'uplink, donc soit d'avoir un brouilleur plus puissant que le mobile, soit d'etre tres pres de la base.

Le brouilleur dont je parle ici a une puissance de l'ordre de 100mW (20dBm) par bande, sachant qu'un telephone mobile peut monter jusqu'a 250mW pour l'uplink et les antennes relais jusqu'a quelques watts pour le downlink.

On peut tres facilement trouver l'attribution des frequences sur Wikipedia:

• GSM 900 et 1800 (telephones mobiles)
• DECT (telephones fixes sans fil)
• UMTS (3G)
• WiFi

Pour simplifier encore plus les choses, voici les plages de frequences qui nous interessent et qui pourront etre pourries avec les brouilleurs presentes:

• 920~960MHz, downlink GSM 900 (avec le GSM-R, pour les trains !)
• 1805~1880MHz, downlink GSM 1800
• 2120~2180MHz, downlink 3G
• Une plage qui n'est habituellement pas atteinte par ces brouilleurs, mais qui peut l'etre apres reglage de la partie GSM 1800: 1880~1900MHz, DECT.

Le démontage est plutot simple, il faut retirer les antennes et les 8 vis sur les deux plaquettes, penser à retirer le morceau en plastique du bouton poussoir et pousser le circuit du haut vers le bas, si il résiste, tirez-le avec précaution à l'aide d'une pince depuis le bas.
S'il vous arrive d'exploser le bouton poussoir, sachez qu'un "switch subminiature" classique peut vous arranger le coup. Si vous avez eu du mal à pousser le circuit hors du boitier, pensez à limer ses bords avant de le remonter.

Il se peut que son efficacité ne soit pas terrible lorsque vous le recevez, un instructable donne quelques informations sur le réglage à effectuer mais n'entre pas assez dans les détails pour bien le faire.

Commençons par le principe d'un brouilleur simple:

Il faut emettre du bruit modulé sur une plage de fréquences. La solution la plus simple serait de faire un balayage depuis la fréquence basse jusqu'à la fréquence haute, et de recommencer. Puis de moduler le "bruit" volontaire par cette fréquence.
Pour cela, le brouilleur utilise trois composants principaux:

• Un timer, qui va fournir des pics réguliers.
• Un système (variable selon les modèles) qui donnera un signal en rampe depuis ces pics.
• Un VCO (Voltage Controlled Oscillator) qui fournira une fréquence variable, selon la rampe.

Le signal qu'il faut régler est celui en forme de rampe, qui va controller le VCO et donc fournir la plage de fréquences que l'on désire. La précision de la forme importe peu, mais peut rendre le VCO instable, l'amplitude et l'offset sont les facteurs détérminants.

Dans les, on retrouve ce à quoi on pouvait s'attendre:

Un circuit d'alimentation et de charge, s'occupant de passer les 4.2V de la batterie en 5V.
Des générateurs de rampes, et un étage radio par sortie antenne (les VCOs sont les rectangles argentés).
Heureusement pour nous, la partie qui genère les rampes est bardée de potentiomètres.

En l'espace d'un an, les changements apportés au circuit son minimes: les VCOs ont été changés, et la réference des circuits intégrés n'est parfois pas effacée.

Une source de VCOs variés à prix raisonables: MiniCircuits

On peut regler ces brouilleurs a l'aide d'un analyseur de spectre, ou meme d'une cle tuner TNT et SDRSharp. J'utilise ici un RF Explorer, afin d'avoir une meilleure precision et une bande visualisable plus large.

La plage GSM 900:

La 3G, plongeant dans 12dB de bruit a 1m de distance:

Le reglage en sortie d'usine pour le GSM 1800, a pratiquement 20dB:

Avec la plage etendue sur les frequences DECT (1880~1900MHz), apres reglage, toujours a 20dB:

 

Nouvelle version:

Le brouilleur fonctionne en émettant simplement du bruit sur une bande de fréquences, empêchant le téléphone portable de différencier ce bruit des bonnes données.
La bande de fréquence GSM pour la liaison descendante est comprise entre 935-960 MHz. Pas besoin de pourrir la liaison montante (et ça serait beaucoup plus dur!).

Composants:

FZT789A PNP
Siemens BFP420

Batterie: bq2057C Liion Lipo 4.2v

5.45V à fond (nouveaux)
4.77V en fonctionnement

Infos depuis TanGreat:

925–960 MHz (downlink) E-GSM

2 watts in GSM850/900 and 1 watt in GSM1800/1900.
1805–1880 MHz for the other direction (downlink) DCS

Cover interface standards: Digital : IDEN, TDMA, CDMA, GSM, UMTS
Analog: AMPS, NMT, N-AMPS, TACS

Total output power: 0.5Watt
All the TX frequency covered down link only.
Battery: Ni-Mh battery DC5V/1100mA
Work time: 150 Minutes

1500mAh

Effective range:2- 8meters radius , the signal must <or=-75dBm in the location,The jamming Radius still depends on the strength signal in given area

 

 

Dans notre cas, on voudra régler l'amplitude au maximum, et l'offset au minimum, de sorte à avoir une bande-pourrie la plus large possible. J'ai démonté le brouilleur et directement soudé l'oscilloscope à la masse (la LED), et sur l'entrée du premier VCO:

(Il est toujours plus prudent de souder sur la résistance du filtre RC avant le VCO, que directement sur sa broche)

Voici une photo annotée du circuit. Il y a deux circuits intégrés: un 4066 (Quad bilateral switch) et un NE556 (double NE555) tous deux en boitiers SOIC. Le premier NE555 (nommé NE555-A) donne les pics nécéssaires pour générer les rampes des VCO GSM et 3G, le deuxième NE555 (NE555-B) fournit des pics légérements plus rapides pour le VCO DCS.

Les pics sont ensuite passés comme commandes de trois switchs bilateraux (4066), un seul n'est donc pas utilisé (broches barrées ABC). Ce passage donne un signal en rampe réglable et passe dans un filtre RC avant d'atteindre les entrées de chaque VCO.

Ce signal est réglable par 2 potentiomètres: GSM SHAPE et GSM OFFSET.

Inutile de dire que les potentiomètres sont minuscules et qu'un peu trop de force va fendre le circuit...

Réglez votre oscilloscope, sachant que le signal peut être entre 100mV et 2V, et qu'il a une fréquence d'environ 66Khz.

Dans le pire des cas, le signal de sortie sera semblable à ceci:

[Photo please]

Il a un offset d'environ 200mV, et comme dirait benjamin, il est moche.

Dans ce cas, il faut ajuster le potentiomètre SHAPE, jusqu'à avoir une rampe propre et surtout en dessous de 200mV:

[Photo please]

Il reste encore un offset d'environ 90mV maintenant, qui peut être éliminé en ajustant le potentiomètre OFFSET, jusqu'à être pile au dessus du 0V:

[Photo please]

Ce signal donnera la meilleur efficacité, et donc le meilleur foutage de merde possible.

Comme référence, voici deux photos, et un schéma refait à partir de datasheets.

La référence des composants et les numéros de broches correspondent au circuit, les broches du NE556 sont notés en gras.
Le quatrième switch n'est pas dessiné.

Antennes de DX, mauvaise idée de les mettre sur les sorties 3G et DCS par contre.