juin 23rd, 2017

Hack in Paris 2017 : IoT haché

Posté on 23 Juin 2017 at 1:03

C’est un véritable marathon du hack bien tempéré auquel Damien Cauquil s’est livré : offrir, en moins de 15 minutes, une méthodologie claire dans le domaine de l’analyse forensique et de la rétroingénierie des équipements IoT. Quels outils, quelle approche systématique, quelles astuces récurrentes…

Côté outils, Cauquil milite en faveur d’un échange permanent entre chercheurs, échange facilité par les informations et alertes diffusées par le Cert-Ubik (Digital Security) et par le partage d’outils tels que ceux disponibles sur la plateforme Github mise en place par l’équipe.

Certaines approches semblent simples. A commencer par les fameuses questions « comment s’ouvre le boîtier » et « il est ou, le Jtag ? »… lorsque celui-ci existe et n’a pas été supprimé dans les chaines d’assemblage de l’objet à analyser. Mais il faut bien admettre que le hacking dans le domaine de l’IoT est avant tout une question de culture et de pluridisciplinarité, associant mécanique, matière mole et électronique. Et l’orateur de donner en exemple un cadenas Bluetooth à clef de déblocage unique, clef bien entendu oubliée. Et à l’intérieur de ce cadenas, ouvert à l’aide d’un petit tournevis, le chercheur ne trouve qu’un circuit intégré dépourvu de système d’exploitation, de mémoire flash externe ou de tout autre point d’entrée exploitable… mais après avoir soudé quatre fils sur une entrée sérielle et acheté un outil de programmation spécifique, le reverser sachant reverser accède au journal des événements stockant l’historique des opérations passées associé à quelques indices secondaires. Qu’importent les détails (le cadenas en question étant commandé par un simple servomoteur, la question du « reverse » était plus académique que pratique). Ce qui importait, explique Damien Cauquil, était de pouvoir considérer l’ensemble des éléments, aussi bien électroniques que logiques (sans oublier le coup de tournevis intrusif), et de mettre au point une méthodologie utile pouvant être étendue à des cas plus complexes.

Le hacker IoT serait donc une sorte de Dirk Gently, le détective holistique. Ce que semble confirmer Deral Heiland (Rapid7) lorsqu’il explique comment il parvient à contrôler les mouvements d’un robot de téléprésence, d’en fausser les données de géolocalisation et extraire de sa mémoire la longue liste des utilisateurs passés. Les axes d’attaque ? Des jetons statiques « codés en dur », une variable dans une url, et pis encore, une prise de contrôle à distance via bluetooth de l’ensemble bloc moteur (chargé du déplacement du robot) et système de positionnement (gps). L’exploitation de cet IoT un peu particulier remonte au mois de janvier et n’a nécessité, pour les attaques de premier niveau, que d’un téléphone portable.

Faut-il savoir souder pour hacker de l’IoT ? Sans l’ombre d’un doute. Et ne pas avoir peur de jouer avec des passifs en 0402 et des circuits au pas de 0.5 mil. Les recherches sécurité, dans ce domaine, se situent à la confluence de l’informatique et de la microélectronique. Et très souvent, l’intégrateur néglige, par ignorance, bon nombre de règles purement informatiques (les recommandations Owasp de l’IoT en quelques sortes), tandis que le développeur fait tout son possible pour se désintéresser du « cambouis » matériel. Forcément, cette absence d’échange est propice à la création de failles interstitielles. Sans un véritable échange entre ces deux cultures par trop dissemblables, toute tentative de sécurisation des objets vendus demeurera lettre morte. Et une fois ces cultures assimilées, sans approche méthodologique précise, toute tentative de hack relèvera du jeu de hasard et de l’inefficacité.

Hack in Paris 2017 : Siri scié

Posté on 23 Juin 2017 at 12:35

Il y a deux ans, Chaouki Kasmi et José Lopes Esteves de l’Anssi démontraient combien il pouvait être facile d’activer les fonctions de reconnaissance vocale d’un smartphone en utilisant les capacités de détection des filtres d’entrée du terminal (la « prise micro ») en y injectant un signal HF modulé en amplitude. L’année suivante, le même genre d’intrusion était réalisé via les fils d’alimentation secteur, par induction électromagnétique. Cette année, les deux chercheurs s’attaquent avec succès à la reconnaissance vocale elle-même, ou plus exactement aux défauts des mécanismes de reconnaissance qui font qu’un Siri ou qu’un Google Assistant accepte un ordre et l’interprète quand bien même le locuteur ne serait pas le propriétaire légitime de l’appareil.

C’est là bien plus qu’un exploit au sens sécurité du terme, car ces travaux soulèvent une foultitude de questions. A commencer par la plus évidente : doit-on, peut-on considérer un assisant vocal comme une forme d’authentification biométrique ? Ce à quoi Apple répond par un « Siri n’est pas un mécanisme de sécurité (et le tandem Kasmi/Esteves par un « n’y pensez même pas »). Siri, et très probablement la majorité des produits concurrents, a été conçu pour répondre à des caractéristiques physiologiques imprécises par nature. La voix évolue dans le temps, d’une heure à l’autre, en fonction de l’environnement, de la fatigue, du bruit ambiant, de l’état de santé ou d’autres problèmes insoupçonnés. Et rien n’est plus consternant qu’un système de reconnaissance vocale qui tombe en panne parce qu’une voix est montée d’un demi-octave ou devient nasillarde. Siri doit être un système auto-adaptatif, capable d’évoluer.

… Ce qui a pour conséquence de lui faire accepter des voix proches mais différentes. D’autant plus aisément qu’il n’existe pas, dans ces systèmes de simili-authentification par reconnaissance vocale, de limites aux tentatives de déblocage. Un attaquant peut inlassablement répéter les essais de prise de contrôle sans que l’interface ne se bloque. Ergo, l’IHM vocale ne peut, dans l’état actuel de la science, être considérée comme un mécanisme de sécurité ou d’authentification.
« C’est là un point d’autant plus patent, précise José Lopes Esteves, que les fonctions de reconnaissance vocale sont dissociées de celles chargées de reconnaître l’empreinte vocale elle-même ». Lors des phases d’utilisation (reconnaissance vocale), il n’y a pas la moindre tentative pour comparer l’empreinte avec un signal original généré lors de l’apprentissage de la voix du propriétaire. Un contrôle permanent serait probablement trop consommateur de ressources et surtout de temps de calcul.

L’attaque d’un système vocal peut revêtir plusieurs aspects. A commencer par « voler » la voix d’une personne en enregistrant une conversation assez longue, puis en extrayant des phonèmes découpés et réassemblés avec Audigy, par exemple. Il peut être également envisageable de fabriquer de toutes pièces une fausse voix synthétisée qui présente plusieurs caractéristiques simultanément. De manière très simplifiée on peut considérer la voix comme un signal périodique accompagné d’une série de fréquences harmoniques. Les fonctions de reconnaissance ont besoin du message sonore principal, autrement dit de la fréquence fondamentale dépourvue des harmoniques. Moins il existe de signaux parasites à prendre en compte, plus simple est le travail de reconnaissance des phonèmes. L’authentification d’une personne par son empreinte, en revanche, est liée aux particularités physiologiques, et donc aux multiples harmoniques qui constituent la véritable « signature » vocale. Il ne peut y avoir de véritable authentification sans une modélisation à la fois temporelle et spectrale du signal. Reste que les codecs modernes sont de plus en plus capables de simuler ces signaux complexes et de faire prendre aux Siri et autres assistants les hahanements d’un concert de la StarAc pour la colorature de Teresa Berganza.

Publicité

MORE_POSTS

Archives

juin 2017
lun mar mer jeu ven sam dim
« Mai   Juil »
 1234
567891011
12131415161718
19202122232425
2627282930