Archives

Autrefois, on appelait ça « lâcher de ballons dans les écoles primaires », « club d’aéromodélisme », « fabrication d’un Cerf-Volant »… aujourd’hui, tout ça est devenu « atteinte à la sûreté de l’Etat » tandis que s’organise une fantastique « chasse aux drones ». A tel point que l’on voit fleurir une foultitude de prestataires de services spécialisés dans la capture de ces jouets plus ou moins perfectionnés, plus ou moins autonomes, plus ou moins dotés d’équipements de vols en réalité augmentée. Prestataires dont la seule efficacité consisterait plus à bénéficier de marché d’Etat que de remplir une mission frôlant l’impossible.

Zain Naboulsi, CEO de Drone Labs (sic), rédige à ce sujet, dans les colonnes du HNS un article argumenté sur la quasi impossibilité pour des pandores à combattre ce dangereux fléau jihado-geekesque. La bombe du ridicule risque donc de continuer d’exploser à périodes régulières, car aucun équipement de détection ne fonctionne réellement affirme-t-il. Ni les systèmes audio (perturbés en milieu urbain) ni les capteurs et caméras thermiques (car ces appareils sont essentiellement froids et de très petite envergure). Ne parlons pas de la détection radar (tango-charly de Foxtrot Juliet : « chef, j’ai un vol de pigeons qui attaquent, ils cachent peut-être un dangereux Parrot ou un vecteur d’attaque Jouéclub ! ») , pas plus que de la goniométrie de l’émetteur, généralement sur 2400 MHz ou dans la bande ISM des 5 GHz, fréquences poubelles impossibles à trier.

Tout au plus, concède Zain Naboulsi, est-il possible de détecter le drone une fois qu’il est arrivé sur le « point sensible », de constater son altitude, d’obtenir les coordonnées GPS de son télé-pilote (ndlr… et encore existe-t-il 3 ou 4 solutions de camouflage du point originel de contrôle) ainsi que l’identifiant unique du drone etc. A condition que celui-ci n’ait pas été monté de toutes pièces par son dangereux auteur (considéré de facto comme terroriste), avide de sciences tant aériennes qu’électroniques, de savoir sur les radiocommunications et d’études sur l’usage des microcontrôleurs et centrales inertielles. Ça fiche la frousse, une telle soif de connaissance, pas vrai ?

Comme annoncé récemment, la Nuit du Hack 2015se déroulera cette année du 20 au 21 juin au petit matin, faisant suite aux deux jours de conférence de Hack in Paris. Contrairement aux années précédentes, cette manifestation ne se déroulera pas sur le campus Eurodisney, mais dans l’enceinte de l’école du cirque Fratellini, située à la Plaine Saint Denis, RER ligne D, station Stade de France.

La NdH 2K15, c’est bien entendu une formidable bataille numérique, un concours de pentesting et de défense. C’est également un lieu de rencontre et de communication de savoir moins théorique qui se pratique par petits groupes au sein de Workshops.

Le nombre de ces ateliers, cette année, surpasse de très loin l’activité des années précédentes. L’Owasp y présentera Zap, son scanner de vulnérabilité, Guillaume Prigent et Johanne Ulloa enseigneront les principes de fonctionnement de grands classiques (Shellshock, heatbleed et un vecteur d’attaque tcp/modbus), tandis que DTRE organisera une véritable foire au hacking matériel, avec détournement de bras robot, attaque de portiers infra-rouge, trucs et astuces autour des drones type quadcopters. On y trouvera bien entendu l’inévitable atelier « lockpicking » et le confessionnal de notre confrère Zataz.

Plus ardu, mais oh combien prometteur, Julien Voisin nous parlera de Radare2, le logiciel Open Source gratuit concurrent du désassembleur IDA-pro (quelques décennies tout de même après les premiers travaux de Pierre « peterpan » Vandevenne). L’Electrolab de Nanterre, enfin, orchestrera le plus « chaud » des ateliers destiné à enseigner l’art de la soudure des composants à montage de surface, l’exercice pratique permettant à chaque participant de repartir avec… un fer à souder pour composants à montage de surface. L’humour récursif n’est pas exclusif au monde GNU.

<b> Ce long tunnel de hacking </b>débutera le 15 et s’achèvera le 17 juin sous les chapiteaux de l’Ecole du Cirque Fratellini , avec une série de « master class » destinées aux chercheurs et professionnels de la sécurité. Au nombre des professeurs, Nicolas « Nicob » Grégoire, Arnaud Soullié, Peter van Eeckhoutte, Aditya Gupta et Aseem Jakhar sans oublier Yann Allain qui nous fera oublier les affres des failles XML en nous plongeant dans celles des bugs matériel et des parfums de soudure : promenade dans le monde merveilleux du hacking « hard ». <br><br>

<b> Ce n’est que le 18 jusqu’au lendemain </b>que débutera réellement HiP et son cycle de conférences. On y retrouve Nicolas Grégoire, mais également l’inévitable Winn Schwartau, conférencier-de-plénière-de-service qui reviendra sur une idée déjà développée l’an passé, celle de la sécurité analogique. <br><br>

<b> Nous reviendront dans le détail </b>sur les différentes interventions. Mais l’on peut d’ores et déjà prévoir une bonne ration de « fun » et de « profit » avec José Lopez Esteves et Chaouki Kasmi qui ont exploré la face cachée des IHM vocales, Mario Heiderich avec un exposé sur la vie privée du couper-coller, Timur Yunusov et Kirill Nesterov et leur infernal bootkit par SMS, Axelle Apvrille qui chatouille les capteurs d’accessoires cyber-fitness, ou Veit Hailperin qui revient sur un sujet souvent abordé mais chaque fois déconstruit : l’exploitation des « timestamp » et les remédiations possibles.

<b> Il y aura donc un lot important </b>de recherches classiques, old school presque, et une série de PoC épiques visant les dernières techniques « hipster compatible ». <br><br>

<b> Après ces deux jours de sapience et d’écoute</b>, Hack in Paris fermera ses portes et laissera la place au plus important, au plus virulent, <a href= »https://www.nuitduhack.com/fr/« target=_new> au plus ravageur CTF de France</a> . Plus d’un millier de « Zombies » combattront jusqu’à la mort numérique ou la victoire finale, décrochant flag après flag, challenge après challenge, tout en tentant parallèlement de trucider les ordinateurs concurrents et défendre avec acharnement le périmètre des leurs. <br><br>

<b> Exceptionnellement, cette année, c’est Guillaume Poupart</b>, patron de l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui sera l’orateur de la conférence plénière, suivi dans la foulée par Karsten Nohl. Lorsque les casseurs de protocoles sans fil passent après le Directeur Général d’une institution Française, c’est le signe indiscutable que le monde de la sécurité numérique « active » a su se légitimer. Le hacker déplace désormais Ministres et Hauts Fonctionnaires.

<b> C’est également là la marque d’une autre évolution </b>que suivent d’ailleurs les organisateurs de ces manifestations. Persister à parler de sécurité à un public de plus en plus large, expliquer, vulgariser pour combattre les idées simplistes, voir populistes sur les cyber-jihadistes pédo-terroristes fraudeurs. Et répéter inlassablement le message « la sécurité est une attitude, pas une recette de cuisine » pour tenter d’opérer peu à peu un lent glissement des métiers de la sécurité vers une fonction purement stratégique et politique, moins « opérationnelle », moins « cambouis ». Verra-t-on un jour des hommes-sécu au conseil d’administration d’une entreprise et ainsi justifier l’existence du sigle « CSO » totalement vide de substance en Europe ? Pourra-t-on espérer que la profession puisse enfin avoir voix au chapitre lorsqu’il s’agira de légiférer ? De LCEN en Lopsi, de Loppsi en loi sur le Renseignement (qui fait entrer la barbouzerie dans le droit commun et associe les technologies de l’information à un far-west qu’elles n’ont jamais été… hormis peut-être dans les fantasmes caporalistes d’une minorité en mal de pouvoir.

Ce sont les “datajournalistes” de l’agence Associated Press qui ont découvert le pot aux roses. Le Gouvernement Fédéral US, masquant ses activités derrière des compagnies aériennes bidon, effectue une surveillance aérienne particulièrement active au-dessus des principales métropoles des Etats-Unis.

Certes, la chose n’est pas particulièrement nouvelle. La police des frontières US emploie force hélicoptères et Cessna pour surveiller ses frontières, et plus particulièrement la Frontera. Mais cette fois, s’inquiètent nos confrères Jack Gillum, Eileen Sullivan et Eric Tucker, les choses commencent à aller trop loin. Car ces aéronefs ne survolent plus uniquement des kilomètres de désert et ne se contentent plus d’une simple surveillance optique ou infra-rouge. Ces avions peuvent être équipés de systèmes d’écoute des communications téléphoniques, ou du moins de suivi des traces IMEI. Et comme ce genre d’appareil ne fait pas dans le détail, ce sont tous les citoyens des USA qui sont, ou peuvent être, ainsi mis sous surveillance « par défaut ».

Cryptome,pour sa part, se contente de publier plusieurs relevés ADSB montrant les trajets d’aéronefs au-dessus de Minneapolis, New York, Dallas, Chicago, Phoenix, Seattle, Baltimore… bref, la chasse ne concerne plus que quelques milliers de travailleurs frontaliers. Et de dresser la liste des indicatifs des appareils surpris en train d’espionner les citoyens. C’est une version moderne, plus dynamique du petit jeu « spot the fed » qui, lors des conventions de hacking, consiste à dénoncer et mettre en lumière l’activité d’un agent Fédéral sous couverture venu assister aux conférences.

Détecteurs Imsi-catcher et clefs RTL-SDR

Fort heureusement, il commence à exister certains outils accessibles au public, qui facilite la détection de cet arsenal de barbouzes. La localisation et le traçage en temps réel d’un appareil en vol est très aisément effectué grâce à l’usage de petites clefs USB initialement étudiées pour recevoir la télévision numérique hertzienne. Certaines de ces clefs (celles qui utilisent un jeu de composants Realtek bien particulier) peuvent couvrir de 25 à 1700 MHz, spectre dans lequel se trouve l’un des systèmes de géopositionnement des avions du monde entier, l’ADSB (sur 1090 MHz). Le coût d’un tel outil de contremesure est également « tout public », puisqu’il ne dépasse pas 10 à 50 euros selon le perfectionnement de son circuit d’antenne.

Cette parade anti-flicage prend de multiples aspects. Déjà, lors des récentes manifestations de protestation contre la loi sur le Renseignement, des appliquettes mobiles destinées à détecter les IMSI Catchers de la police Française (robots de traçage de téléphones mobiles) se sont montrées très efficaces, prouvant que, loi ou pas loi, encadrement ou pas, une barbouze peut échapper totalement au contrôle assidu de l’Etat, et que l’introduction dans le droit commun de ces pratiques ne finit par servir qu’un seul but : le renforcement d’une surveillance généralisée de l’individu. Et certainement pas à encadrer l’activité de services spéciaux dont les statuts et activités relèvent précisément de ce caractère « spécial ».

Cette réaction de techno-défense citoyenne est encore très timide et ne semble concerner que quelques geeks et une frange étroite de la presse d’investigation. Mais il est certain que le succès de l’Internet des Objets notamment facilitera de plus en plus le déploiement de tels outils de surveillance. De là à ce que le public non-technicien, en général, prenne conscience de ce systématisme panoptique et adopte peu à peu tant les outils servant à détecter (voir déjouer) lesdits outils de surveillance, qu’une habitude visant à préserver un semblant de vie privée … La sécurité est une attitude plus qu’une succession de recettes.

Que nos lecteurs soient rassurés, en France, jamais un avion ne nous surveillerait de la sorte. Pas plus d’ailleurs qu’un officier de police n’écouterait la moindre conversation téléphonique ou qu’une banque ne se ferait pirater. Jamais.

En ces temps de course au flicage volontaire, il fallait bien qu’un jour un passionné du buffer overflow découvre comment « planter » une Apple Watch (et par la même occasion d’autres équipements de la marque). L’information fait les grands titres du Guardian et rappelle les fork bomb et autres « phrases magiques » aboutissant au crash de certaines applications Microsoft, des séquences de touches provoquant des comportements inattendus de consoles de jeux (qui donc ignore à notre époque l’existence du code Konami ?), ou des suites d’ordres sans signification apparente aboutissant à un gel complet de l’équipement. On peut faire remonter l’histoire des commandes-suicide à l’époque de la succession d’ordres « AT » que Dennis Hayes lança pour perturber les modems « clones » de constructeurs refusant de payer sa licence d’exploitation.

Car l’attaque n’est pas plus complexe que ça : une simple chaîne utilisant un jeu de caractères tantôt arabes, tantôt graphiques, mal digérée par la gestion et la traduction en caractères Unicode. L’attaque Unicode, un grand classique dans l’empoisonnement des URL d’ailleurs. Du coup, la presse dans son ensemble s’émeut : on peut « planter » une Apple Watch ou un téléphone IOS avec un simple SMS comportant la chaîne démoniaque. L’exploit SMS, un autre vieux classique du FUD et de la fausse recherche sécurité que Sean, du Response Team F-Secure, résume en quelques mots : « That’s so 2008 »

Cette fois, il s’agit d’un exploit « dans la nature » visant 43 modèles de routeurs Wifi, et tendant de modifier leurs adresses DNS… avec les conséquences que l’on peut imaginer : redirection vers des sites compromis, interception de communication, vol d’identifiants etc. « Ce qui a commencé par un petit malware au code aisément lisible est en train d’évoluer, comportant notamment certaines parties camouflées » explique en substance le chercheur Kafeine sur son blog.

Cet outil de détournement massif visant les routeurs grand-public par le port Wan ne cible que les usagers du navigateur Chrome. Une série de redirections sur des sites compromis permet, via une attaque CSRF, de déterminer le type de routeur utilisé, et d’en exploiter certaines failles (CVE-2015-1187, CVE-2008-1244, CVE-2013-2645). Cette situation perdurerait depuis plus d’un mois et aurait potentiellement mis à mal plus d’un million de routeurs. Mais le Guardian n’y a pas consacré sa première page, l’Exploit-kit a encore de beaux jours devant lui.

Il ne se passe plus rien depuis longtemps, sur la liste « full disclo ». Plus rien sauf peut-être quelques annonces discrètes qui font rapidement les grands titres de la presse en ligne. Ainsi ce récent message de Jose Antonio Rodriguez Garcia, de l’Université privée « Europea » de Madrid. Selon ce chercheur, plus d’une soixantaine de failles affectent des routeurs Wifi couramment utilisés. Cela va de l’antique WRT54G à certains Netgear et Zyxel, en passant par des Belkin, Dlink et autres équipements grand public. La recherche de faille sent le fuzzing à plein nez. Attaques XSS, CSRF, dénis de service, escalade de privilèges, évasion d’authentification, failles uPnP… tout y passe ou presque.

Ce genre d’alerte sensationnaliste ne nous apprend que peu de choses. Oui, les firmwares des routeurs d’entrée de gamme ne sont pas des modèles de sécurité. Oui, ces bugs et erreurs d’intégration auront la vie dure, car bien peu d’usagers appliquent avec conscience les mises à jour de sécurité (pis encore, peu d’usagers savent comment effectuer ce genre de mise à jour). La chose est moins pardonnable lorsque ledit routeur est vendu, fourni et administré par un opérateur télécom. C’est le cas, notamment, de quatre modèles différents portant la marque Observa Telecom ou d’un modem Sagem Fast 1201 qui figure au catalogue d’Orange.

Le niveau de risque associé à cette alerte demeure cependant relativement bas, limitant l’exploitation de ces failles à des attaques ciblées et effectuées soit dans le périmètre Wifi couvert par l’appareil, soit via un accès au réseau local personnel, les attaques distantes par le port Wan ne constituant pas la majorité des cas recensés par l’étude.

Ce long tunnel de hacking débutera le 15 et s’achèvera le 17 juin sous les chapiteaux de l’Ecole du Cirque Fratellini , avec une série de « master class » destinées aux chercheurs et professionnels de la sécurité. Au nombre des professeurs, Nicolas « Nicob » Grégoire, Arnaud Soullié, Peter van Eeckhoutte, Aditya Gupta et Aseem Jakhar sans oublier Yann Allain qui nous fera oublier les affres des failles XML en nous plongeant dans celles des bugs matériel et des parfums de soudure : promenade dans le monde merveilleux du hacking « hard ».

Ce n’est que le 18 jusqu’au lendemain que débutera réellement HiP et son cycle de conférences. On y retrouve Nicolas Grégoire, mais également l’inévitable Winn Schwartau, conférencier-de-plénière-de-service qui reviendra sur une idée déjà développée l’an passé, celle de la sécurité analogique.

Nous reviendront dans le détail sur les différentes interventions. Mais l’on peut d’ores et déjà prévoir une bonne ration de « fun » et de « profit » avec José Lopez Esteves et Chaouki Kasmi qui ont exploré la face cachée des IHM vocales, Mario Heiderich avec un exposé sur la vie privée du couper-coller, Timur Yunusov et Kirill Nesterov et leur infernal bootkit par SMS, Axelle Apvrille qui chatouille les capteurs d’accessoires cyber-fitness, ou Veit Hailperin qui revient sur un sujet souvent abordé mais chaque fois déconstruit : l’exploitation des « timestamp » et les remédiations possibles.
Il y aura donc un lot important de recherches classiques, old school presque, et une série de PoC épiques visant les dernières techniques « hipster compatible ».

Après ces deux jours de sapience et d’écoute, Hack in Paris fermera ses portes et laissera la place au plus important, au plus virulent, au plus ravageur CTF de France . Plus d’un millier de « Zombies » combattront jusqu’à la mort numérique ou la victoire finale, décrochant flag après flag, challenge après challenge, tout en tentant parallèlement de trucider les ordinateurs concurrents et défendre avec acharnement le périmètre des leurs.

Exceptionnellement, cette année, c’est Guillaume Poupart, patron de l’Anssi, l’Agence Nationale de la Sécurité des Systèmes d’Information, qui sera l’orateur de la conférence plénière, suivi dans la foulée par Karsten Nohl. Lorsque les casseurs de protocoles sans fil passent après le Directeur Général d’une institution Française, c’est le signe indiscutable que le monde de la sécurité numérique « active » a su se légitimer. Le hacker déplace désormais Ministres et Hauts Fonctionnaires.
C’est également là la marque d’une autre évolution que suivent d’ailleurs les organisateurs de ces manifestations. Persister à parler de sécurité à un public de plus en plus large, expliquer, vulgariser pour combattre les idées simplistes, voir populistes sur les cyber-jihadistes pédo-terroristes fraudeurs. Et répéter inlassablement le message « la sécurité est une attitude, pas une recette de cuisine » pour tenter d’opérer peu à peu un lent glissement des métiers de la sécurité vers une fonction purement stratégique et politique, moins « opérationnelle », moins « cambouis ». Verra-t-on un jour des hommes-sécu au conseil d’administration d’une entreprise et ainsi justifier l’existence du sigle « CSO » totalement vide de substance en Europe ? Pourra-t-on espérer que la profession puisse enfin avoir voix au chapitre lorsqu’il s’agira de légiférer ? De LCEN en Lopsi, de Loppsi en loi sur le Renseignement (qui fait entrer la barbouzerie dans le droit commun et associe les technologies de l’information à un far-west qu’elles n’ont jamais été… hormis peut-être dans les fantasmes caporalistes d’une minorité en mal de pouvoir.

S’il fallait ne retenir qu’une seule conférence sur tout le programme de NoSuchCon, ce serait indiscutablement celle de Renaud Lifchitz (Oppida). A la fois pratique et prospective, technique et vulgarisante, cette causerie sur l’avenir du calcul quantique a été suivie par un atelier pratique utilisant le simulateur web du département photonique de l’Université de Bristol.

Le but d’une telle démonstration était d’appliquer, l’on s’en doute, cette méthode à la décomposition en facteurs premiers des clefs de chiffrement. Reste que l’approche mathématique n’est pas triviale. Car l’informatique des grains de lumière et des miroirs semi-réfléchissants a ses règles, notamment celle de la réversibilité des opérations. Une notion totalement étrangère aux habitués des opérations booléennes, pour qui la terre cesserait de tourner si NAND disparaissait. C’est une toute autre approche binaire qu’il faut réapprendre, avec des portes aux noms bizarres : CNot, Pauli, Hadamard, Toffoli, Swap ou Phase Shift. Tout aussi déstabilisante est la nécessaire absence de connaissance de l’état du « bit quantique » injecté dans le réseau de portes. Ici, pas d’analyseur logique. Dans le monde d’Eisenberg, lorsque l’on inverse une phase on ne connait pas le résultat avant la fin de l’opération (puisque l’observation du Qbit est l’ultime moment ou s’écroulent les improbabilités) et le chemin emprunté par un Qbit est certainement incertain.

Il faut donc être un peu beaucoup mathématicien pour jongler avec des concepts de cette nature. Et Renaud Lifchitz est un pur mathématicien qui a immédiatement compris l’intérêt pratique des ordinateurs quantiques. « Les temps de calcul pour certaines opérations sont accélérés. Je suis parvenu à factoriser un entier RSA de 21 bits en moins d’une minute, à l’aide d’un simple framework maison ». Ce sont, explique-t-il, les algorithmes symétriques qui sont les plus touchés par une attaque quantique. Sans entrer dans les détails techniques, une clef AES 128 traitée par un algorithme quantique (dit algorithme de Grover ) ne possède plus qu’une force de 64 bits. Cette règle a pour conséquence de diviser la force de tous les algorithmes symétriques par deux. « Pour AES, ce sera par exemple 2E64 fois plus rapide que d’examiner les clefs une par une en brute force » explique Renaud Lifchitz. Concrètement, AES 128 et autres crypto-systèmes symétriques seront les plus vulnérables, que ce soient les condensats ou les fonctions de chiffrement. Leur complexité en termes de taille de clef étant divisé par deux, le temps d’attaque bruteforce est divisé quadratiquement (racine du temps de recherche « normal »).

On peut estimer que les algorithmes symétriques les plus faibles de 56, 64 ou 128 bits vont être cassés d’ici 5 à 10 ans maximum si l’on se réfère à cet unique analyse (autrement dit en écartant la question de trappes préexistantes ou autre défauts intégrés volontairement ou non). « Cela ne veut pas dire que les algorithmes symétriques sont cassés dans l’absolu. Mais il faudra A minima, afin de résister à des attaques utilisant les algorithmes de Grover, doubler la taille des clefs » insiste le chercheur d’Oppida. C’est sans oublier l’inertie considérable, la force de l’habitude qui frappe le milieu informatique dès lors qu’il s’agit de chiffrement. Le passage d’une génération « crypto » à une autre, d’une intégration de protocole à une autre demande des années, et certains mécanismes fossiles perdurent des décennies dans certaines applications, parfois à l’insu même de leurs utilisateurs.

Et les systèmes asymétriques ? Eux également sont potentiellement vulnérables aux assauts d’un algorithme quantique, cette fois celui de Peter Shor, qui fonctionne à très petite échelle pour l’instant. Les plus gros systèmes d’ordinateurs quantiques pour l’instant ont une capacité d’une quinzaine de Qbits, ce qu’il faut pour factoriser des nombres de 5 bits. Plus modeste est le record de cassage d’un ordinateur quantique qui, à l’heure actuelle, est de 21 (7 Qbits). Pour donner une idée plus précise et plus concrète, il faudrait, pour casser un RSA 1024, un ordinateur de 300 000 Qbits. Ce qui laisse encore entre 20 et 25 ans aux systèmes asymétriques avant de commencer à craindre les effets de l’algorithme de Shor… faute d’ordinateur « à quanta massifs » conclut Renaud Lifchitz.

Le calcul quantique relève-t-il plus de l’analyse de risque science-fictionnesque que d’une réelle menace ? L’on en revient une fois de plus à l’axiome de Bruce Schneier : la puissance de feu (donc l’investissement de développement) déployé par l’attaquant est proportionnel au gain qu’il espère en tirer. Le calcul quantique utilisé dans le domaine de la sécurité informatique est donc à ranger dans la catégorie des « armes haut de gamme visant potentiellement les secrets d’Etats ». Le monde bureautique/business peut dormir sur ses deux oreilles. Le calcul quantique existe, il est même utilisable sur le Cloud, mais les grands calculateurs qui émettent physiquement des photons uniques et intègrent des « portes à miroirs semi-réfléchissants » en sont au stade du trotteur. Leur mise en application n’est pas attendue avant 20 ans. C’est là une échéance plus courte que l’histoire d’Internet lui-même (35 ans) ou que la microinformatique (40 ans environ). En matière de sécurité, 20 ans ne pèsent pas plus qu’un souffle de ventilateur CPU. Les recommandations de l’Owasp ont elles-mêmes 14 ans et sont loin d’être systématiquement appliquées. Il a fallu 20 ans pour que les utilisateurs « par défaut » de certains systèmes d’exploitation ne bénéficient plus systématiquement de droits « Admin ». Alors, 20 ans pour doubler ou tripler la taille des clefs symétriques ou s’inquiéter de la solidité des algorithmes RSA, cela veut peut-être dire que c’est dès aujourd’hui qu’il faut commencer à y penser.

Les déjà « vieux » participants du défunt iAwacs se souviennent du hack mémorable des réseaux CPL par Xavier Carcelle et de la publication des premières versions de Faifa . C’est sur cette vague, et inspiré en partie par les travaux de son prédécesseur, que Sébastien Dudek, chercheur chez Sogeti, s’est attelé : l’analyse de ces adaptateurs à courant porteur « sans fil qui ont tout de même besoin de fil mais pas de courant porteur ». Une analyse qui débute par un rappel sur les désinformations et autres légendes urbaines que diffusent encore certains (sinon tous) revendeurs de ce genre d’équipement. Non, les CPL ne sont pas « bloqués » par le compteur électrique de la plupart des logements, et peuvent se propager sur le réseau de tout un quartier. Non, les compteurs modernes ne possèdent pas tous de selfs de choke (réjection en mode commun bloquant les signaux radio du CPL). Non, enfin, le système de chiffrement de ces appareils n’est pas inviolable. D’autant moins inviolable que beaucoup de matériel norme « homeplug » installés par défaut acceptent même l’apparition d’un « rogue plug » sans trop s’émouvoir.

Mais correctement configuré par un utilisateur prudent et amoureux des mots de passe alambiqués, le problème se corse. Le chercheur Français cherche tout d’abord à lancer une attaque Bruteforce contre la Network Membership Key (NMK), procédé lent et peu efficace, surtout si le mot de passe est complexe. Une approche plus intelligente consiste à s’intéresser à la phrase de passe DAK (Direct Access Key) propre à chaque prise qui a son tour permettra la modification des clefs de chiffrement réseau. Or, cette DAK est inscrite en clair sur le boîtier dans la majorité des cas. Si l’on ne bénéficie pas d’un accès physique audit boîtier, une requête réseau avec certains outils (ainsi ceux de tp-link) peuvent récupérer cette DAK sans la moindre difficulté. Sans la moindre difficulté ? Une clef de 16 caractères ? Impossible… a moins qu’il y ait une faille dans le système soupçonne Sébastien Dudek. Après analyse de la DLL effectuant ce travail miraculeux, le reverser de Sogeti se rend compte que la clef en question est dérivée de l’adresse MAC de l’adaptateur… une adresse MAC qu’il est bien plus facile de récupérer à distance. Le reste de l’histoire se résume à retrouver l’algorithme de dérivation qui, de l’adresse MAC, génère la clef DAK (que Sébastien Dudek baptise avec ironie K.O. DAK). Cette mauvaise pratique affecte une majorité de vendeurs utilisant le jeu de composants CPL de Qualcomm-Atheros. Pis encore, l’usage de l’adresse MAC en guise de radical de clef Web ou servant à dériver une clef plus complexe a longtemps été une habitude détestable des boutiquiers de l’accès ADSL via Wifi. Les bases changent, le manque de sérieux des revendeurs d’équipements persiste. L’opérateur Free est l’un des rares dont les boîtiers CPL ne sont pas affectés par ce défaut. Reste qu’un système de transmission dont l’appellation est un mensonge technique et dont la technologie même ne respecte pas le quart du début des normes Européennes sur la compatibilité électromagnétique devrait être interdit de séjour dans tout réseau construit par un administrateur sérieux et responsable.

Bien plus simple, mais tout aussi instructif était l’atelier de Damien Cauquil, directeur R&D de l’équipe Sysdream et figure emblématique de la « Nuit du Hack ». Le but du jeu (car l’atelier était très ludique) était de « pirater » une sonnette de porte sans fil, du genre de celles vendues en supermarchés. Comment fonctionnent ces appareils domestiques, comment en détecter la présence sur le spectre radioélectrique de proximité (vive les clefs RTL-SDR et autres outils d’analyse à faible coût), comment deviner le type de modulation utilisé, la nature de l’information transmise et surtout le mécanisme qui empêche que la sonnette d’un voisin déclenche le carillon d’une autre habitation. Chaque participant à l’atelier, généralement des gens du « soft », se sont alors mis au fer à souder pour modifier le boîtier de commande d’une dizaine de kits-sonnette afin de le transformer en « frankenbouton » capable de déclencher une tempête de « Ding Dong » dans toutes les habitations à la ronde. « Plus qu’un « sonnette be-gone » explique Damien Cauquil, ce hack de premier niveau montre à quel point parfois les objets quotidiens sont vulnérables à des attaques de béotiens ». Car derrière cette démonstration, l’on peut imaginer une foultitude d’adaptations, de « fuzzing en mode hardware » visant soit tous les appareils utilisant un lien radio faiblement sécurisé, soit tous les périphériques domestiques intégrant un microcontroleur standard et une zone mémoire flash directement accessible. Ce petit piratage entre amis pourrait aussi donner des idées à toutes les personnes avides de savoir comment fonctionnent, par exemple, les parties « non IP » de l’Internet des objets …