Les déjà « vieux » participants du défunt iAwacs se souviennent du hack mémorable des réseaux CPL par Xavier Carcelle et de la publication des premières versions de Faifa . C’est sur cette vague, et inspiré en partie par les travaux de son prédécesseur, que Sébastien Dudek, chercheur chez Sogeti, s’est attelé : l’analyse de ces adaptateurs à courant porteur « sans fil qui ont tout de même besoin de fil mais pas de courant porteur ». Une analyse qui débute par un rappel sur les désinformations et autres légendes urbaines que diffusent encore certains (sinon tous) revendeurs de ce genre d’équipement. Non, les CPL ne sont pas « bloqués » par le compteur électrique de la plupart des logements, et peuvent se propager sur le réseau de tout un quartier. Non, les compteurs modernes ne possèdent pas tous de selfs de choke (réjection en mode commun bloquant les signaux radio du CPL). Non, enfin, le système de chiffrement de ces appareils n’est pas inviolable. D’autant moins inviolable que beaucoup de matériel norme « homeplug » installés par défaut acceptent même l’apparition d’un « rogue plug » sans trop s’émouvoir.
Mais correctement configuré par un utilisateur prudent et amoureux des mots de passe alambiqués, le problème se corse. Le chercheur Français cherche tout d’abord à lancer une attaque Bruteforce contre la Network Membership Key (NMK), procédé lent et peu efficace, surtout si le mot de passe est complexe. Une approche plus intelligente consiste à s’intéresser à la phrase de passe DAK (Direct Access Key) propre à chaque prise qui a son tour permettra la modification des clefs de chiffrement réseau. Or, cette DAK est inscrite en clair sur le boîtier dans la majorité des cas. Si l’on ne bénéficie pas d’un accès physique audit boîtier, une requête réseau avec certains outils (ainsi ceux de tp-link) peuvent récupérer cette DAK sans la moindre difficulté. Sans la moindre difficulté ? Une clef de 16 caractères ? Impossible… a moins qu’il y ait une faille dans le système soupçonne Sébastien Dudek. Après analyse de la DLL effectuant ce travail miraculeux, le reverser de Sogeti se rend compte que la clef en question est dérivée de l’adresse MAC de l’adaptateur… une adresse MAC qu’il est bien plus facile de récupérer à distance. Le reste de l’histoire se résume à retrouver l’algorithme de dérivation qui, de l’adresse MAC, génère la clef DAK (que Sébastien Dudek baptise avec ironie K.O. DAK). Cette mauvaise pratique affecte une majorité de vendeurs utilisant le jeu de composants CPL de Qualcomm-Atheros. Pis encore, l’usage de l’adresse MAC en guise de radical de clef Web ou servant à dériver une clef plus complexe a longtemps été une habitude détestable des boutiquiers de l’accès ADSL via Wifi. Les bases changent, le manque de sérieux des revendeurs d’équipements persiste. L’opérateur Free est l’un des rares dont les boîtiers CPL ne sont pas affectés par ce défaut. Reste qu’un système de transmission dont l’appellation est un mensonge technique et dont la technologie même ne respecte pas le quart du début des normes Européennes sur la compatibilité électromagnétique devrait être interdit de séjour dans tout réseau construit par un administrateur sérieux et responsable.
Bien plus simple, mais tout aussi instructif était l’atelier de Damien Cauquil, directeur R&D de l’équipe Sysdream et figure emblématique de la « Nuit du Hack ». Le but du jeu (car l’atelier était très ludique) était de « pirater » une sonnette de porte sans fil, du genre de celles vendues en supermarchés. Comment fonctionnent ces appareils domestiques, comment en détecter la présence sur le spectre radioélectrique de proximité (vive les clefs RTL-SDR et autres outils d’analyse à faible coût), comment deviner le type de modulation utilisé, la nature de l’information transmise et surtout le mécanisme qui empêche que la sonnette d’un voisin déclenche le carillon d’une autre habitation. Chaque participant à l’atelier, généralement des gens du « soft », se sont alors mis au fer à souder pour modifier le boîtier de commande d’une dizaine de kits-sonnette afin de le transformer en « frankenbouton » capable de déclencher une tempête de « Ding Dong » dans toutes les habitations à la ronde. « Plus qu’un « sonnette be-gone » explique Damien Cauquil, ce hack de premier niveau montre à quel point parfois les objets quotidiens sont vulnérables à des attaques de béotiens ». Car derrière cette démonstration, l’on peut imaginer une foultitude d’adaptations, de « fuzzing en mode hardware » visant soit tous les appareils utilisant un lien radio faiblement sécurisé, soit tous les périphériques domestiques intégrant un microcontroleur standard et une zone mémoire flash directement accessible. Ce petit piratage entre amis pourrait aussi donner des idées à toutes les personnes avides de savoir comment fonctionnent, par exemple, les parties « non IP » de l’Internet des objets …
1 commentaire