Tout ce qui est « sans fil »ne laisse plus indifférent, la chose est heureuse. Pourtant, depuis plus de 15 ans, de nombreux spécialistes tirent le signal d’alarme. Erreurs d’intégration, mots de passe par défaut, absence de chiffrement ou chiffrement symbolique, authentification approximative, équipements d’une qualité technique proportionnelle aux économies d’échelle imposées aux OEM… s’il y avait un Owasp du sans-fil, le volume de ses recommandations concurrencerait celui de la Comédie Humaine.
Et les preuves de ces erreurs se multiplient depuis ces deux dernières années, pour deux raisons principales. En premier lieu, les vendeurs de gadgets (de la montre pour cyber-jogger à la caméra de surveillance pour nourrisson) croissent et se multiplient, ce qui provoque une augmentation statistique des failles exploitables. Bienvenue dans le monde communiquant et autonome de l’Internet des Objets. L’autre raison de cette vague de « radio-bourdes » à répétition, c’est qu’il est de plus en plus facile, de moins en moins coûteux de surveiller et analyser cette activité sans fil. Une simple radio logicielle (SDR) à 8 euros suffit généralement. Sans un Wireshark branché sur un brin Ethernet, on ignore l’activité des chevaux de Troie, sans SDR (ce Wireshark des ondes), on oublierait presque qu’un périphérique IoT bavarde en permanence et divulgue des informations à qui veut bien les entendre.
La première semaine de septembre a commencé avec un évènement monté en épingle par les médias grand public : le détournement d’un panneau d’affichage au centre de Lille par une attaque en « evil twin » sur un réseau radio non chiffré. Le niveau de difficulté est à la hauteur du vocabulaire utilisé lors du détournement, autrement dit très bas. Le hack des affichages municipaux est assez fréquent et l’absence de protocole de sécurité est un secret de polichinelle. Déjà, il y a plus de 15 ans, une municipalité des environs de Metz subissait un cyber-assaut du même genre, rondement mené par un groupe de collégiens. La « sécurité » du réseau reposait sur une transmission 75/1200 bps « retournée », accessible à tout possesseur de Minitel 1BR. Aujourd’hui, 15 euros de composants, GNU Radio et un ordinateur (ou l’achat d’une carte HackRF si le « hacker » n’est pas doué pour les brasures CMS) et le tour est joué.
Que les élus soient rassurés, l’auteur de cette action médiatique (@ivoidwarranties) s’est montré d’une sagesse et d’une retenue exemplaire. Les panneaux d’affichage ne sont pas les seuls équipements urbains reliés par une infrastructure radio. Il semble donc que les équipes chargées de la SSI au sein des grandes municipalités ne soient jamais consultées lorsqu’un marché d’équipement fait l’objet d’un appel d’offre, ou que les élus confondent les mots « audit sécurité » et « audit financier ».
Electrosensibilité, un terrain juridique sensible
Encore le danger des ondes, mais sous un angle purement médical, cette fois. Le 25 août dernier, le tribunal de Toulouse reconnaissait l’existence d’un handicap provoqué par une hypersensibilité aux ondes électromagnétiques. Le journal Le Monde notamment s’en faisait l’écho.
Toute la question est de savoir si cette décision fera ou non jurisprudence. Jusqu’à présent, les constatations médicales ou les plaintes liées à des nuisances électromagnétiques visaient essentiellement des installations WiFi ou des relais de téléphonie. Nulle mention des émetteurs broadcast ondes longues et courtes de plusieurs centaines de kilowatts et opérationnels depuis près d’un siècle, des infrastructures militaires, des faisceaux hertzien des opérateurs télécom, de la virulence du plus gros émetteur radio que sont le soleil ou la foudre, voir du bruit galactique permanent émis par l’univers.
Il n’est pas question de mettre en doute les conséquences cliniques d’une sensibilité reconnue par le corps médical, mais de s’interroger sur les risques et les interdits qu’une jurisprudence « globale » pourrait entraîner. Que doit-on limiter, de quelle manière appliquer un « principe de précaution » ? Quelles sont les fréquences, quels sont les niveaux de puissance en fonction de la fréquence considérée ? Car le vocable « ondes électromagnétiques » couvre des ondes kilométriques aux rayonnements durs… certains de ces rayonnements étant, par nature, nuisibles à toute forme de vie, d’autres absolument nécessaires, d’autres enfin aussi indispensables à notre civilisation que la roue ou que le feu.
Ce flou, cette absence totale de réflexion technique, d’autres en profitent. A titre d’exemple, le site « architecture of radio » qui prétend vendre une « App » sous IOS et Android capable de « visualiser en temps réel notre « infosphère », cellules GSM, routeurs WiFi, communications (sic), navigation et satellites d’observation et leurs signaux ». Traduisons : « utilise les interfaces LTE-WiFi-Bluetooth-GPS pour afficher des graphiques sans grande signification sur un fond d’écran artistiquement dynamique, le tout accompagné de propos vagues et ambigus destinés à faire progresser nos ventes ». Ce genre d’application en apprend moins sur l’activité radio qui nous entoure qu’une simple clef USB type RTL-SDR, que l’on peut considérer comme le niveau zéro de l’exploration électromagnétique. Architecture of Radio n’est hélas qu’un des nombreux exploiteurs d’ignorance, seulement coupable de proférer les mêmes propos qu’avancent quelques boutiquiers adeptes du business-model de la peur, de l’incertitude et du doute infondé.
Le véritable risque radio vient du fait qu’il s’agit d’une couche de transport longtemps considérée comme « magique et inconnue » par les praticiens de la logique et du binaire. Ce n’est plus le cas de nos jours. Le mystère qui entourait le sans-fil et garantissait une certaine inviolabilité des communications se dissipe, et surtout dévoile, une fois les principes radio de base assimilés et désacralisés, les mêmes erreurs grossières, les mêmes manquements, le même peu de cas que l’on fait de l’utilisateur final et de sa sécurité. Cette semaine encore, Rapid7 publiait une sorte de banc d’essais comparatif de 9 systèmes de monitoring pour nourrissons. Ces successeurs des « bébéphones », bien entendus reliés désormais à Internet, sont un florilège des erreurs les plus communes : mots de passe « hard codés », transmissions en clair tant du contenu que des commandes, vulnérabilités ouvrant sur un « remote shell »… La chose peut se comprendre à la rigueur lorsque les constructeurs viennent du monde de la puériculture. La sécurité informatique ne s’invente pas. Mais lorsque l’appareil est estampillé Philips ou TrendNet, la pilule est plus difficile à avaler. Elle passe encore moins bien lorsque ladite transmission sans fil fait partie d’un système d’assistance de conduite automobile comme il s’en est fait pirater par dizaines lors des dernières Black Hat ou Usenix Conference, d’une pompe à insuline ou d’un stimulateur cardiaque comme le clamait il y a peu Billy Rios, ou d’un système de navigation ainsi que le démontrait la chercheuse Chinoise Lin Huang, de Qihoo 360 (à noter que le spoofing des informations GPS à l’aide d’un SDR n’est pas franchement nouveau).
Comme pour enfoncer le clou, la toute dernière édition du CCC ( Chaos Communication Camp) offrait à chaque participant un badge qui n’était en fait qu’une radio logicielle couvrant de 50 MHz à 4 GHz, réception ET émission. Un proche cousin du SDR HackRF qu’ont utilisé Lin Huang, @ivoidwarranties, Charlie Miller, Samy Kamcar pour ne citer que ceux ayant fait la manchette des journaux ces derniers temps.
Winter is coming !
Tout ce qui est sans-fil est donc susceptible d’être piraté ? En grande majorité, oui, surtout si le contenu n’est pas chiffré. Et encore, les métadonnées et la géolocalisation des correspondant peuvent-elle déjà se montrer indiscrètes. Il a fallu près de 10 ans pour que les constructeurs de routeurs WiFi commencent (et encore bien imparfaitement) à respecter certaines règles d’intégration pour améliorer la sécurité de leurs produits. Autrement dit, un très petit nombre d’industriels spécialistes du monde pourtant abstrus des réseaux, a fait preuve d’une très longue période d’adaptation et de prise de conscience. Comment les boutiquiers de l’Internet de la Ville Connectée, de l’hôpital connecté, de la navigation connectée, de la voiture connectée, de l’épluche-bébé ou de l’atomixer connecté puissent faire mieux ?
Ils bénéficient pourtant tous d’un répit appréciable qu’il ne faut surtout pas gaspiller. Car les hakers susnommés sont encore très loin d’avoir compris la portée de leur geste et les limitations de leurs équipements. Les rares à avoir véritablement appréhendé le niveau de risque effectif ont pour nom Michael Ossmann, Youssef Touil, Oona Räisänen, Philip Covington, Kevin Wheatley… tous savent que les outils de hack actuellement disponibles peuvent être qualifiés de jouets : sensibilité très moyenne, résistance à la transmodulation nulle, puissance ridicule, dynamique trop faible tant que les CAN d’entrée ne dépasseront pas 16 bits au moins, linéarité catastrophique, produits de mélanges trop nombreux pour analyser un spectre sans avoir quelques doutes sur des dizaines de signaux fantôme qui se dessinent à l’écran, taux d’échantillonnage insuffisant… et usagers qui, très rarement, savent que le mot « antenne » ne se trouve ni sur eBay, ni sur Alibaba.
Cette ignorance relative n’aura qu’un temps. A la lecture de certains forums spécialisés, on se rend compte que ces questions sont très souvent évoquées, que des solutions existent ouvrant une foultitude de possibilités. Le hack d’un panneau d’affichage, c’est amusant. La compromission de l’infrastructure de signalisation de tout un centre-ville ou le déni de service d’une centaine de véhicules sur le boulevard périphérique Parisien est nettement moins drôle. Ce n’est qu’une histoire de portée, de traitement de signal, de furtivité des stations initiant une telle attaque. C’est d’ores et déjà possible aujourd’hui avec des moyens conséquents, ce le sera demain avec des appareils à moins de 200 euros.
