Peut-il exister pire que la location de temps de cerveau chère à Patrick Le Lay ? Oui, l’intoxication des contenus « interactifs » offerts par le protocole HbbTV, affirment Yossef Oren et Angelos Keromytis de l’Université de Columbia.
Une fois de plus, il s’agit d’une menace visant le monde merveilleux de l’Internet des Objets, conduite une fois encore en mode « man in the middle », et visant un protocole très largement utilisé par, TF1, France 2, France 3, France 4, France 5, M6, ARTE, France ô, NRJ 12, ou i>Télé. Le succès de ce système est tout aussi important Outre Rhin, et le procédé tend à être adopté un peu de partout dans le monde.
De manière très sommaire, HbbTV est une fonction réservée aux téléviseurs de nouvelle génération, connectés, et permettant d’offrir au spectateur des informations complémentaires issues d’Internet durant le déroulement d’une émission, essentiellement des compléments Web utilisant des standards connus (XHTML, CSS, JavaScript). Las, le retour d’information (encapsulé dans un flux assuré par l’opérateur de broadcast ou celui se faisant passer comme tel), n’est plus corrélé avec le moindre contexte Internet… ce qui pose quelques difficultés pour authentifier le contenu de la réponse.
Techniquement parlant, expliquent les chercheurs, l’attaquant expédie sa requête via son propre émetteur DVB-T, autrement dit par la voie des ondes. Plus de détails techniques au fil de la communication universitaire d’Oren et Keromytis. Jusqu’à présent, les attaques visant les téléviseurs connectés utilisaient le chemin inverse, à savoir la connexion internet elle-même.
Comme il n’existe strictement aucun mécanisme de question-réponse entre l’émetteur TV et le récepteur, l’attaquant est quasiment certain de toucher ses cibles, et d’ainsi pouvoir injecter n’importe quel contenu à destination des téléspectateurs. Pour autant que les téléspectateurs utilisent réellement un tuner TNT, car l’attaque elle-même devient un peu plus compliquée à réaliser si la télévision utilise les services vidéo d’une « box » d’opérateur ou une liaison descendante de satellite.
Dénis de service, spam, manipulation d’opinion, injection de troyens d’exploration du réseau local de chaque spectateur… le champ d’exploitation de ce genre de hack est quasi illimité. Les parades possibles, en revanche, se limitent à une surveillance stricte des volumes des requêtes « montantes », afin de deviner une activité anormale. Ceci fait, une fois détectés les destinataires (et néanmoins victimes) de ces flux piratés, il devient facile d’établir une cartographie de l’ensemble des foyers touchés, et ainsi établir le barycentre sur lequel doit logiquement se situer l’émetteur TV utilisé pour l’attaque. Reste, font remarquer les deux chercheurs, que les capacités techniques nécessaires à cette recherche peuvent être également considérées comme une forme de flicage des contenus demandés par les spectateurs, donc à une atteinte à leur vie privée… rien n’est simple dès lors que l’on touche aux grands médias audiovisuels
Ajoutons (et l’étude Oren – Keromytis n’en fait pas mention ) que la majorité des récepteurs fonctionnant encore en réception hertzienne utilisent des antennes yagi, relativement directives, et bien entendu pointées en direction de l’émetteur local. Ce qui implique que l’émetteur pirate doit non seulement être situé peu ou prou dans la proximité dudit émetteur officiel (l’atténuation d’une yagi « hors lobe » dépasse rapidement les 10 dB), et est nécessairement capable de développer une puissance apparente rayonnée très supérieure à celle de l’émetteur officiel pour éviter tout risque d’hétérodynage. A moins que les pirates acceptent de restreindre leur attaque à l’échelle d’un quartier et, à l’aide d’un émetteur moins puissant, ne visent qu’un secteur de la zone couverte par la station officielle.
Tout ça ressemble donc fortement à une très belle analyse de risque « en chambre », pas franchement impossible à réaliser, mais hautement improbable compte tenu du rapport gain/infrastructure technique à déployer. La menace est en revanche tout à fait sérieuse dans le cadre d’une opération d’intoxication ciblée (genre spear phishing audiovisuel ne visant qu’un immeuble ou une personne), mais n’a, dans ce contexte, aucun caractère novateur. Le coup du « faux émetteur » est vieux comme le monde de la radiotransmission, et ce genre d’attaque par intoxication a même fait l’objet de plusieurs productions Hollywoodiennes, notamment l’Arnaque, avec Robert Redford et Paul Newman. Un peu de technologie « hype » ne change rien au principe d’insécurité qui caractérise tout système de diffusion « one to many » dépourvu d’un véritable protocole d’authentification en temps réel.