Soudainement, Rob Havelt semble passionner la presse. Car Rob Havelt compte, lors de la prochaine B.H. d’Amsterdam, montrer comment il est possible d’espionner une liaison 802.11 « première génération », en FHSS (modulation par saut de fréquence). Le programme de la Black Hat l’affirme, le Reg en écrit un roman, Security News Allemagne en fait ses choux gras, Infosecurity parle de « compromission de réseaux sécurisés »…
La réalité est un peu moins « glamour », mais mérite toutefois un coup de chapeau. Rob Havelt a probablement été inspiré par les travaux de Bruce Potter et Brian Caswell présentés lors de la 11ème Defcon. Ces deux chercheurs étaient parvenus à découvrir une faille dans le traitement pseudo aléatoire du choix de fréquence utilisé dans le cadre des transmissions Bluetooth –qui reposent aussi sur un procédé de modulation par saut de fréquence)-. A raison d’un changement toutes les 600 millisecondes, il était, lors de la conception du protocole, pratiquement impossible de suivre une conversation.
Las, en matière de Bluetooth comme de 802.11 « première époque », l’aspect aléatoire est très relatif. D’autant plus relatif qu’un token de synchronisation est émis avant chaque trame afin que les stations associées puissent, elles, suivre efficacement ladite conversation. Une fois la faille sur le traitement aléatoire exploitée, le mécanisme de frequency hopping ne présente plus le moindre obstacle.
Si jusqu’à présent FHSS ne fut jamais cassé, c’est qu’il tomba dans l’oubli, remplacé par les versions plus modernes des réseaux sans-fil que sont 802.11 b, puis 802.11 a, et enfin 802.11n, chacun utilisant des procédés de modulation différents. Le vieux mécanisme est encore parfois utilisé là où les impératifs de bande passante ne sont pas exigeants (802.11 est limité à 2 ou 4 Mb/s selon le constructeur) : gestion de stock, entrepôts, tracking de véhicules dans un périmètre précis… autant d’applications qui peu à peu se tournent vers les RFID. Ajoutons que protocoles de chiffrement –y compris Wep- sont généralement absents de ces trop vieux réseaux. L’on pensait autrefois que la gigue de fréquence suffisait à décourager les hackers. En outre, la fabrication d’un récepteur pouvant atteindre 2,4 GHz était encore un sport réservé à de véritables sorciers de la radio. On ne trouvait pas, comme c’est le cas aujourd’hui, des composants UHF à bas coût et des modules « tout intégrés » fonctionnant en bande de base sur ces fréquences.
FHSS, dans les vieux pots les meilleures failles
Le changement de fréquence rapide et constant qui caractérise FHSS était, comme le rappelle nos confrères, un des arguments sécuritaires avancés par les vendeurs d’appareils dans les années 80. Déjà , à l’époque, les spécialistes du domaine savaient pertinemment que c’était là une parfaite illusion, car plusieurs travaux s’étaient déjà intéressés à l’écoute des émetteurs à agilité (ou gigue) de fréquence utilisés notamment par les armées du monde entier. Le FHSS était « cassable », ce n’était qu’une question de temps. Précisons également que, techniquement parlant, FHSS avait été essentiellement inventé non pas pour des motifs de sécurité –ce n’était là qu’un aspect secondaire- mais surtout pour des raisons d’optimisation de bandes radio attribuées et d’amélioration de bande passante. Car avec FHSS était également mis au point un protocole d’évitement des fréquences brouillées ou déjà occupées. Grâce à ce mécanisme d’évitement de canal, l’on éliminait toute demande de répétition (Nack) ayant pour cause une perturbation radioélectrique. Détail d’autant plus important qu’il se produit un « effet d’avalanche » dès lors que le nombre de retry dépasse quelques dizaines de pourcent du trafic. La liaison passe plus de temps à répéter des données qu’à en envoyer de nouvelles, la congestion du réseau est d’autant plus rapide que le nombre de hosts est important.
En concentrant les émissions sur les canaux considérés comme silencieux, donc libres, toute collision devient théoriquement impossible et l’on peut jouir des quelques 2 Mb/s de bande passante (4 Mb/s sur les derniers modèles Breezecom utilisant ce procédé).
Lancer une attaque en déni de service contre ce genre d’infrastructure est simple : il suffit d’utiliser un émetteur à large bande d’un niveau suffisant pour faire comprendre au procédé de réservation des fréquences que tous les canaux sont occupés. Ce principe est encore utilisable avec les mécanismes de modulation contemporains.