mai 13th, 2013

Dangereux complice d’Adam Laurie, chimiste à ses heures et Attila des circuits intégrés, Zac Franken se fait appeler « the Hardware Monkey ». Sa passion, la mise à nu des circuits intégrés, son but, la lecture « en binaire dans le texte » des ROM que l’on peut y trouver. « Plusieurs méthodes sont envisageables, pour parvenir à « lire » littéralement le silicium d’un circuit intégré. La première consiste à effectuer une attaque à l’acide nitrique (sous hotte aspirante et enceinte chimique protectrice. Il ne reste après opération que l’or des coutures électroniques (bonding) et le silicium nu. C’est très pratique lorsque l’on cherche à identifier un C.I. dont les références et marquages ne correspondent à rien de connu. La référence exacte du microcontrôleur mystère est toujours gravée sur le silicium, et il est rare, de nos jours de voir apparaître de véritables circuits « custom design » dans des productions grand public ». Le procédé est certes efficace mais comporte quelques risques. Zac « hardmonkey » Franken décrit avec minutie les différentes opérations de traitement sur son blog. «Ce qui est remarquable, c’est qu’un tel hack ne nécessite plus, comme on avait tendance à le croire, des salles blanches, des microscopes électroniques, des enceintes classe 1 et autres danseuses de laboratoire. Tout, du microscope optique à la hotte aspirante, en passant par les bouteilles d’acide ou les boîtes de Pétri, s’achètent sur eBay. Y compris, si l’on souhaite effectuer des analyses non destructives, les pellicules sensibles aux rayons X utilisées par les dentistes et qui permettent de découvrir tout ce qui est caché sous le capot de résine époxyde ».

L’attaque acide « brutale » est déjà de l’histoire ancienne pour Zac Franken. Il tente désormais de conserver les broches des circuits, afin de pouvoir examiner les circuits tout en pouvant les mettre sous tension. « Pour ce faire, j’ai mis au point une machine d’attaque par projection acide ponctuelle, capable de percer un tout petit trou dans ce coffre-fort à silicium ». Le hack, cette fois, dépasse le simple trempage, mais reste à la portée d’un hackerspace bien équipé. « C’est seulement à partir de cet instant que l’on peut espérer tirer des enseignements intéressants », continue Franken. Car si admirer la structure d’un processeur ou découvrir la référence exacte d’un circuit est parfois utile, il est encore plus avantageux de parvenir à « reverser » ce qui compte le plus, le firmware enregistré en ROM par le constructeur. Contrairement aux Eproms, EAroms et autres mémoires conditionnées par un état électrique, les ROM ont des états permanents physiquement différents selon que l’on a stocké un « 1 » ou un « 0 ». « Sur une macrophotographie de l’espace mémoire, ces « bits » apparaissent très clairement sous forme de points brillants ou de zones plus sombres » continue Franken. « Pourtant, le niveau de contraste n’est pas encore assez élevé pour que l’on puisse effectuer une lecture optique fiable pouvant déboucher sur un véritable désassemblage. Il faut encore lancer une attaque de surface, très légère ». Une attaque d’autant plus difficile à réaliser qu’elle doit éliminer une fine couche dans du silicium, un matériau résistant à pratiquement tous les acides. « Il n’existe qu’un seul acide capable de jouer ce rôle : le fluorhydrique, un produit d’une dangerosité extraordinaire, une véritable « pisse du diable » qui attaque le calcium des os ». Un acide qui se trouve également en vente sur eBay et qui demande de formidables précautions de manipulation, des gants de protection spéciaux… bref, une opération excessivement dangereuse qui ne doit être pratiquée que par des personnes compétentes et prudentes. Et c’est à ce stade qu’intervient le « software monkey », Adam Laurie, qui a développé Rompar, une suite de codes pythons destinés au traitement de l’image physique de la ROM. Rompar facilite le décodage ligne par ligne, colonne après colonne, du firmware ainsi mis à nu. Ce code open source ainsi que le désassembleur d’un des processeurs Atmel ayant servi pour l’expérience, peuvent être téléchargés sur le blog de l’auteur. Mais le plus passionnant reste malgré tout la description minutieuse de ce travail de fourmis, de ce décryptage (au sens archéologique du terme) auquel s’est livré Adam Laurie, macrophotographies à l’appui. Un remarquable travail de cryptanalyse digne du Scarabée d’Or d’Alan Poe, un techno-roman policier « hard science hardware » pour amoureux du fer à souder et inconditionnels du microscope.

Ce n’est pas la première fois que Cnis-mag rapporte les exploits de Michael Ossmann, père de HackRF, une carte d’émission-réception « radio logicielle » qui couvre des ondes courtes à 5,4 GHz. En juillet de l’an passé notamment, puis en novembre, lorsque le Darpa avait attribué une enveloppe de 200 000 dollars au chercheur. Et nous revenons une fois de plus sur le sujet puisque HackRF (alias Jawbreaker dans sa toute dernière version) était le sujet d’étude proposé lors du dernier Hackito Ergo Sum par deux personnes relativement bien connues dans le domaine des SDR : Benjamin Vernoux et Youssef Toul, ce dernier étant l’auteur de SDR Sharp, l’un des programmes sous Windows les plus utilisés par les hackers radio.

Il existe une grande différence entre lire la description d’un outil de hacking « sur le papier » et le voir à l’œuvre, lancer des « replay attack », intercepter des communications, esquisser les premiers pas d’une attaque MIM. La démonstration des deux chercheurs étaient édifiantes : il n’est plus nécessaire de dépenser 2 à 3000 $ pour « intruser » un réseau radio analogique ou numérique, il n’est plus obligatoire d’être un sorcier des ondes pour capturer une émission entre 100 MHz et 6 GHz (en dessous de 100 MHz, il existe d’autres solutions). Il n’est plus non plus nécessaire d’être millionnaire. Il n’y a pas 10 ans, ce genre de hack coûtait le prix d’une petite voiture de sport estampillée Rhodes & Schwartz ou Thomson CSF. Aujourd’hui, il suffit d’un circuit imprimé, d’un peu de calme pour souder quelques circuits QFN/QFPN et tssop, d’une ribambelle d’antennes (accordées) et si possible de quelques filtres, et l’on est équipé pour analyser cette couche de transport invisible et rapide comme la lumière.

Une publicité Microsoft Office 365 visant le marché Australien cache, dans l’épaisseur d’une page cartonnée, un routeur Wifi et 15 jours d’accès gratuits au service d’un opérateur. Un scoop signé Neowin