Spécial sécurité : Hackito Ergo Sum 2013, le sans-fil-conducteur

Hackito Ergo Sum 2013, le sans-fil-conducteur]Hackito Ergo Sum 2013, le sans-fil-conducteur HES 2013 (2 au 4 mai dernier) pourrait se résumer ainsi : Vive l’Internet des Objets, vive les NFC, vive les technologies Sans Fil de tous crins, elles nous promettent des décennies de développement « quick & dirty », des avalanches d’erreurs d’intégration, des torrents de trous et de « sécurité par obscurantisme » qui feront la joie des reversers et autres hackers. Poussées par la mode et par l’opportunisme des formules faciles, ces techniques (appelées aussi technologies) font de plus en plus parler d’elles dans le monde du hacking et de la sécurité. Principalement en raison de la mode de l’Internet des Objets tant vantée par quelques ministres et beaucoup d’industriels, mais également parce que la communauté sécurité commence à découvrir, avec près de 15 ans de retard, la souplesse et la facilité d’utilisation des radios logicielles.

Le festival du sans-fil s’est ouvert avec une présentation de RFCat, effectuée par Adam Laurie, Pape du hacking des RFID (http://rfidiot.org/). Il s’agit à la fois d’un firmware open source que l’on peut récupérer sur Google Code et d’une plateforme matérielle organisée autour du CC1111EMK, outil de développement signé T.I.. Ce circuit intégré est en fait un émetteur-récepteur couvrant les bandes ISM 315/433/868/915 MHz. Une vision bien plus étriquée que ce qu’appelle Laurie un hacking « sub-GHz ». C’est d’ailleurs avec un récepteur à couverture générale, le Funcube Dongle que le chercheur effectue ses premières approches de détection.  

Le principal avantage des radios logicielles sur les émetteurs-récepteurs conventionnels, c’est qu’elles travaillent non plus sur un signal unique de quelques centaines de Hz, mais sur tout un spectre, pouvant couvrir plusieurs MHz d’un coup. Un travail qui s’entend aussi bien en émission qu’en enregistrement de ce spectre. En enregistrant un spectre, l’on peut plus aisément analyser « post mortem » une transmission numérique, même et surtout si celle-ci est accompagnée de signaux associés ou de sous-porteuses ou qu’elle comporte (c’est d’ailleurs souvent le cas) des données très importantes durant les premières secondes de transmission : préambules, handshake, échanges de clefs... En émettant dans les mêmes conditions tout spectre enregistré, sans même que l’utilisateur/hacker ait à analyser le signal, il devient possible de lancer des séries de « replay attack ». Adam Laurie montrait ainsi comment activer une sonnette de porte, ouvrir les portières d’une coûteuse automobile de marque allemande ou décoder le signal d’une commande de porte de garage.  

Comme la majorité du traitement de signal est effectuée par logiciel sur un ordinateur tout à fait conventionnel (sous Windows ou Linux) il est également possible de filtrer, traduire, transformer des informations analogiques reçues en données binaires compréhensibles par tout système numérique. La démonstration de Laurie reprenait en ce sens ce qu’il avait déjà écrit sur son blog début mars et qui explique de manière très claire comment passer de la réception au décodage, puis du décodage au spoofing.  

Ouvrir un porte, activer une sonnette, voilà, reconnaissons-le, de tous petits hacks sans grande conséquence. Mais ils donnent à réfléchir à la communauté des chercheurs en sécurité qui, des années durant, ont ignoré la couche « hardware » et son cousin germain, le fer à souder. Il faudra attendre encore quelques mois, peut-être quelques années avant que l’on voit se répandre des outils un peu moins « gadget » que des RFCat. Propreté d’émission, immunité à l’intermodulation provoquée par des signaux hors bande, sélectivité, propreté en termes de bruit de phase, tout ça est encore inconnu de bien des apprentis RF hackers aujourd’hui.

Hackito Ergo Sum, dans l’ombre de Michael Ossmann Ce n’est pas la première fois que Cnis-mag rapporte les exploits de Michael Ossmann, père de HackRF, une carte d’émission-réception « radio logicielle » qui couvre des ondes courtes à 5,4 GHz. En juillet de l’an passé notamment, puis en novembre, lorsque le Darpa avait attribué une enveloppe de 200 000 dollars au chercheur. Et nous revenons une fois de plus sur le sujet puisque HackRF (alias Jawbreaker dans sa toute dernière version) était le sujet d’étude proposé lors du dernier Hackito Ergo Sum par deux personnes relativement bien connues dans le domaine des SDR: Benjamin Vernoux et Youssef Toul, ce dernier étant l’auteur de SDR Sharp, l’un des programmes sous Windows les plus utilisés par les hackers radio.  

Il existe une grande différence entre lire la description d’un outil de hacking « sur le papier » et le voir à l’œuvre, lancer des « replay attack », intercepter des communications, esquisser les premiers pas d’une attaque MIM. La démonstration des deux chercheurs étaient édifiantes : il n’est plus nécessaire de dépenser 2 à 3000 $ pour « intruser » un réseau radio analogique ou numérique, il n’est plus obligatoire d’être un sorcier des ondes pour capturer une émission entre 100 MHz et 6 GHz (en dessous de 100 MHz, il existe d’autres solutions). Il n’est plus non plus nécessaire d’être millionnaire. Il n’y a pas 10 ans, ce genre de hack coûtait le prix d’une petite voiture de sport estampillée Rhodes & Schwartz ou Thomson CSF. Aujourd’hui, il suffit d’un circuit imprimé, d’un peu de calme pour souder quelques circuits QFN/QFPN et tssop, d’une ribambelle d’antennes (accordées) et si possible de quelques filtres, et l’on est équipé pour analyser cette couche de transport invisible et rapide comme la lumière.

HES 2013, les transmetteurs sans-fil, les conférences aussi Sans fil encore durant la conférence Parisienne Hackito Ergo Sum, avec l’exposé de Daniel Mende intitulé Paparazzi over IP. Le constructeur d’appareils photo Canon propose aux possesseurs d’appareils professionnels (gamme EOS-1D et suivantes) un service de télé-administration/transfert de fichiers par transmission sans fil (norme WiFi), couche de transport conduisant vers un service Internet et un protocole simple, PTP/IP... le tout conçu par des photographes plus que par de véritables spécialistes réseau. Le slogan de la marque est d’ailleurs assez édifiant, puisqu’il promet « vos prises de vues sur Youtube sitôt votre film achevé». L’approche est prometteuse, d’autant plus prometteuse que chaque caméra embarque un serveur Web (un grand classique de l’intrusion depuis l’apparition des premiers routeurs administrables). D’ailleurs, la prise de pouvoir sur l’appareil photo suit une logique assez proche de celle conduisant au root d’un équipement de commutation, en un peu plus simple cependant. Seule la récupération de l’ID de session demande un peu d’attention. Une fois l’appareil rooté, il est possible de récupérer les photos et films stockés dans la mémoire de l’appareil (inutile donc de se battre pour avoir une place confortable au pied des marches lors du Festival de Cannes). L’intrus peut également prendre le contrôle de l’appareil à distance, autrement dit prendre des films et photos, modifier les paramètres de prise de vue (mise au point, sensibilité, réglages des températures etc.), et ainsi piloter tout ce qui n’exige pas d’action manuelle, tel que le réglage du zoom. Autrement dit transformer l’appareil en un outil d’espionnage efficace… tant que son propriétaire ne décide pas d’obturer son « caillou » avec un cache-objectif. Une vidéo de la présentation de Daniel Mende lors de Schmoocon 2013 est disponible sur Youtube.  

Sur de plus courtes distances (bien que certains chercheurs parlent de sniffing à plus de 4 mètres), les RFID et autres NFC ont fait l’objet d’une passionnante typologie dressée par Philippe Teuwen, chercheur sécurité chez NXP (anciennement Philips), et animateur de nombreux ateliers de prise en main lors de manifestations genre Hackito. De la définition des normes utilisées (Iso 14444 et ses variantes) aux différentes techniques d’écoute, de sniffing, de spoofing, d’attaques divers, en passant par les multitudes d’outils disponibles (RFIdiot de Laurie, les libnfc tools, Omnikey CardMan 5321, ACG-LF, Frosch, ASK LoGO, SCL3711), Teuwen offre un panorama complet de ce qu’il est possible de faire dans le domaine du « sans contact ». Un peu à la manière de Charlie Miller, mais de façon plus générale encore. C’est, dans le domaine de la sécurité sans-fil, l’une des très rares personnes qui n’aborde pas les problèmes de sécurité par le point de vue étroit d’un seul type de hack, d’une seule méthode d’attaque. Une vision globale comparable à celle (dans un tout autre domaine, celui des attaques sans fil Scada) donnée par Atlas Of D00M également lors de la dernière Schmoocon.  

Une dernière couche de Wireless et de flicage en mentionnant la conférence de Glenn Wilkinson sur la surveillance et le profilage des personnes par la simple surveillance de leurs téléphones cellulaires (et un peu de hacking au passage). Ambiance Orwellienne garantie, une interview donnée notamment par Wilkinson à nos confrères de The Nacked Scientist à l’occasion de la dernière 44Con 2012 donne le ton. Difficile de mettre un Galaxy ou un iPhone sous tension après un tel discours.  

Mais toutes les interventions de Hackito Ergo Sum ne portaient pas l’étiquette « wireless ». On y parlait Scada également avec l’œil d’expert « touche à tout » d’Edmond “bigezy” Rogers, un spécialiste de la sécurité des infrastructures mises en place par les opérateurs de fourniture d’électricité des USA. Un monde ou les transformateurs de tension coûtent des millions de dollars et sont administrables à distance (tiens donc), un monde ou le consommateur-client est lui-même potentiellement vulnérable depuis que se répand la mode du déploiement des compteurs télé-opérables, un monde qui, surtout, ne fonctionne que grâce à la coexistence de techniques et technologies tantôt modernes, tantôt tellement âgées qu’il est pratiquement impossible d’assurer un service de maintenance efficace.« No pictures, no recording, no camera », exige Edmond Rogers. On le comprend lorsqu’il dévoile les plans tentaculaires du réseau IP assurant la fourniture en énergie de la moitié centre et Ouest des Etats-Unis.  

Hackito, c’était également l’occasion de retrouver des habitués des conférences sécurité Européennes. Notamment Paul Rascagnères, dont la banque Luxembourgeoise de malware devient chaque jour de plus en plus connue des chercheurs européens. Hack In Paris, Insomni’hack Genève, Hackito, Paul Rascagnères prend son bâton de pèlerin et vient prêcher en faveur de cette bibliothèque très spéciale, indépendante de tout vendeur d’antivirus, et capable de fournir une information non biaisée par les contraintes marketing et le sensationnalisme dont sont victimes les marchands de sécurité. Le discours tenu à l’occasion de Hackito Ergo Sum reprenait les grandes lignes de l’étude du virus Red October que l’on peut consulter sur le site Luxembourgeois.  

Une toute dernière mention sur le travail de Mathieu ‘GoToHack’ Renard, déjà présenté lors de GreHack 2012 et dont on peut encore consulter les transparents. Après avoir entendu Mathieu parler de sa station d’accueil pour iPhone « légèrement modifiée » à l’aide d’un Raspberry Pi, on se méfie du moindre chargeur, du plus insignifiant amplificateur que l’on trouve dans une chambre d’hôtel : le root du périphérique est si discret, si silencieux…

Hacks aux frontières du possible Nous nous enfonçons chaque jour un peu plus profondément dans la quatrième cyberdimension. Sans le secours d’AlienVault, comment aurions-nous su, par exemple, que le Ministère du Travail US avait été piraté par de probables agents Chinois ?. Un hack qui redirigeait outrageusement d’honnêtes travailleurs afin probablement de leur extorquer quelque menue monnaie et, au passage, plusieurs informations techniques concernant leur environnement dans le but de zombifier leur machine. On frémit à la seule idée qu’une telle aventure puisse un jour survenir en France, que le site de Pôle Emploi (en maintenance, veuillez consulter cette page plus tard) soit subrepticement caviardé par de dangereux agents asiatiques. Chrch monteur H/F comp. Electron. travaillant plus pour gagner moins, Ref Foxconn007. Urgent, Chef de rang et gâte sauce, spécialiste cuisine Sichuan, repas à emporter. Salaire : 3500 Yuan x12, appartement de fonction, banlieue de Wanxian. On en frémit.  

Autre attaque, revendiquée cette fois par la très médiatique cyber-armée syrienne, qui a pris pour cible le compte Twitter de The Onion, journal satirique d’expression anglaise, aussi irrévérencieux que loufoque. Plusieurs médias ont rapporté l’information, notamment Raw Story. A moins que ce hack ne soit un canular de plus monté par la rédaction de The Onion, ce que laisserait penser le Twitt prétendument détourné : « non, il n’y a pas eu usage d’arme chimique, affirme l’ONU. Les analyses prouveraient qu’il s’agirait des odeurs corporelles des jihadistes ». Détourner un compte est une chose parfois plus facile que de savoir imiter le mauvais goût et le nonsense du média anglo-saxon le plus farfelu de la planète. Et quand bien même cela serait que tout l’honneur en reviendrait encore à l’Onion.

Un administrateur SpyEye extradé vers les USA Selon le Ministère de la Justice US, l’administrateur principal du botnet « financier » SpyEye aurait été extradé de Thaïlande vers les USA. Il est sous le coup de 22 chefs d’inculpation auprès de la Cour de Géorgie. Sa culpabilité réelle est cependant contestée et minimisée par plusieurs experts Français qui ne voient en lui qu’un lampiste, ex-petit truand du phishing en France il y a quelques années, et codeur occasionnel de plugins autour de SpyEye.