Personne n’ignore que les outils de la famille de L0phtckrack et autres Rainbow Table ne servent qu’aux seuls administrateurs frappés d’amnésie brutale. Il en est de même pour les travaux de Sylvio Cesare, Qualys, qui passe en revue une bonne partie des techniques de hack destinées à ouvrir les portes des véhicules actionnées par télécommande radio. Ce chercheur vient de publier, à l’occasion de la BlackHat 2014 un article très survolé mais très simple à comprendre et hébergé par nos confrères du Register. Trois approches très simples sont ainsi décrites.
La première approche, de loin la plus simple, consiste à enregistrer la séquence radio lorsque le propriétaire légitime émet le signal à l’aide de sa clef radio. C’est une « attaque par rejeu » (ou replay attack), que l’on peut d’ailleurs perfectionner et transformer en attaque evil twin à l’aide d’un petit émetteur de brouillage et de filtres de réception très sélectifs (Sylvio Cesare n’envisage d’ailleurs pas cette approche).
L’autre type de radio-crochetage observe une démarche plus informatico-informaticienne, puisqu’elle consiste à récupérer le signal, puis à le décoder et l’analyser afin d’en distinguer le préambule d’une part, le corps du message-clef ensuite, pour en extraire la logique qui permettra à son tour de forger une clef valide. « Les serrures radio utilisent généralement un nombre limité de clefs associées à une séquence pseudo aléatoire », explique le chercheur. Nombre fini de clefs, aléa fragile… il n’en faut pas plus pour deviner un jeu de clefs valides possibles.
La troisième approche est dérivée de la précédente… allégée de la phase consistant à forger une clef valide par de savants calculs. Cette étape est remplacée par la bonne vieille méthode brute force… qui ne semble pas franchement dépassée. Sur un modèle de voiture des années 2005, la porte s’ouvre en moins de deux heures affirme l’auteur, puisqu’en général, le nombre de combinaisons possibles que doit générer l’émetteur brute force est inférieur à un million.
Et d’ajouter qu’il n’est d’ailleurs pas nécessaire de tomber sur la « bonne séquence que le générateur d’aléa aurait pu créer ». Car bon nombre de ces dispositifs de protection sont fragilisés par la présence d’une backdoor (un passe-partout radio-numérique) qui facilite d’autant le déverrouillage du dispositif. Cette version bagnolesque du mot de passe par défaut est une véritable aubaine pour les amateurs technophiles de vol à la roulotte.