Hackito 2013, Hack de circuits intégrés : Attaques acides et décapage de puce

Actualités - Hack - Posté on 13 Mai 2013 at 7:20 par Solange Belkhayat-Fuchs

Dangereux complice d’Adam Laurie, chimiste à ses heures et Attila des circuits intégrés, Zac Franken se fait appeler « the Hardware Monkey ». Sa passion, la mise à nu des circuits intégrés, son but, la lecture « en binaire dans le texte » des ROM que l’on peut y trouver. « Plusieurs méthodes sont envisageables, pour parvenir à « lire » littéralement le silicium d’un circuit intégré. La première consiste à effectuer une attaque à l’acide nitrique (sous hotte aspirante et enceinte chimique protectrice. Il ne reste après opération que l’or des coutures électroniques (bonding) et le silicium nu. C’est très pratique lorsque l’on cherche à identifier un C.I. dont les références et marquages ne correspondent à rien de connu. La référence exacte du microcontrôleur mystère est toujours gravée sur le silicium, et il est rare, de nos jours de voir apparaître de véritables circuits « custom design » dans des productions grand public ». Le procédé est certes efficace mais comporte quelques risques. Zac « hardmonkey » Franken décrit avec minutie les différentes opérations de traitement sur son blog. «Ce qui est remarquable, c’est qu’un tel hack ne nécessite plus, comme on avait tendance à le croire, des salles blanches, des microscopes électroniques, des enceintes classe 1 et autres danseuses de laboratoire. Tout, du microscope optique à la hotte aspirante, en passant par les bouteilles d’acide ou les boîtes de Pétri, s’achètent sur eBay. Y compris, si l’on souhaite effectuer des analyses non destructives, les pellicules sensibles aux rayons X utilisées par les dentistes et qui permettent de découvrir tout ce qui est caché sous le capot de résine époxyde ».

Zac Franken

L’attaque acide « brutale » est déjà de l’histoire ancienne pour Zac Franken. Il tente désormais de conserver les broches des circuits, afin de pouvoir examiner les circuits tout en pouvant les mettre sous tension. « Pour ce faire, j’ai mis au point une machine d’attaque par projection acide ponctuelle, capable de percer un tout petit trou dans ce coffre-fort à silicium ». Le hack, cette fois, dépasse le simple trempage, mais reste à la portée d’un hackerspace bien équipé. « C’est seulement à partir de cet instant que l’on peut espérer tirer des enseignements intéressants », continue Franken. Car si admirer la structure d’un processeur ou découvrir la référence exacte d’un circuit est parfois utile, il est encore plus avantageux de parvenir à « reverser » ce qui compte le plus, le firmware enregistré en ROM par le constructeur. Contrairement aux Eproms, EAroms et autres mémoires conditionnées par un état électrique, les ROM ont des états permanents physiquement différents selon que l’on a stocké un « 1 » ou un « 0 ». « Sur une macrophotographie de l’espace mémoire, ces « bits » apparaissent très clairement sous forme de points brillants ou de zones plus sombres » continue Franken. « Pourtant, le niveau de contraste n’est pas encore assez élevé pour que l’on puisse effectuer une lecture optique fiable pouvant déboucher sur un véritable désassemblage. Il faut encore lancer une attaque de surface, très légère ». Une attaque d’autant plus difficile à réaliser qu’elle doit éliminer une fine couche dans du silicium, un matériau résistant à pratiquement tous les acides. « Il n’existe qu’un seul acide capable de jouer ce rôle : le fluorhydrique, un produit d’une dangerosité extraordinaire, une véritable « pisse du diable » qui attaque le calcium des os ». Un acide qui se trouve également en vente sur eBay et qui demande de formidables précautions de manipulation, des gants de protection spéciaux… bref, une opération excessivement dangereuse qui ne doit être pratiquée que par des personnes compétentes et prudentes. Et c’est à ce stade qu’intervient le « software monkey », Adam Laurie, qui a développé Rompar, une suite de codes pythons destinés au traitement de l’image physique de la ROM. Rompar facilite le décodage ligne par ligne, colonne après colonne, du firmware ainsi mis à nu. Ce code open source ainsi que le désassembleur d’un des processeurs Atmel ayant servi pour l’expérience, peuvent être téléchargés sur le blog de l’auteur. Mais le plus passionnant reste malgré tout la description minutieuse de ce travail de fourmis, de ce décryptage (au sens archéologique du terme) auquel s’est livré Adam Laurie, macrophotographies à l’appui. Un remarquable travail de cryptanalyse digne du Scarabée d’Or d’Alan Poe, un techno-roman policier « hard science hardware » pour amoureux du fer à souder et inconditionnels du microscope.

7 commentaires

  1. MrEddy

    Bonjour.
    Et bien cet article est un chef d’oeuvre de la sécurité.
    Je me demande à quand la suite. Quelle suite me direz vous ?
    Et bien je pensais a ses petits ustensils de connexions internet comme les nouvelles clefs
    3 et 4 G Wifi de manufacture chinoise qui inondent notre marché des dispositifs internets mobiles

    et fixes.
    De ces relais de téléphonie des réseaux gsm de télécomunication nationaux urbains et de campagne

    qui,
    soit disant comme les clefs 3 et4G, ne seraient pas au coeur de nos réseaux … Tout ses

    dispositifs de connection embarquants
    un firmware plus ou moin « sécurisé » pouvant laisser aisément s’ouvrir un connexion internet directe

    sur le dispositif
    et ceci depuis à peu près depuis partout dans le monde dans le but de détourner des comunications

    ou passer
    le premier rampart de sécurité de nos systèmes.
    Tous embarquent des puces qui demanderaient bien a êtres passées au gourou de de notre chère Zac.
    Non ? Cette idée de rendre public dans un article de cnis mag le résultat de ses analyses me ferait

    littéralement fondre… Bonne chasse.