WEP et vol de données

Par Sid, lundi 7 mai 2007 à 08:42 :: Wi-Fi
Lu 7954 fois :: #187 :: rss :: atom ::

Data Theft

'est le plus important vol de données personnelles qu'on connaisse à l'heure actuelle. Il s'agit bien sûr de la compromission des systèmes de TJX que je vous signalais dernièrement et qui avait entraîné la fuite de quelques quarante-six millions de numéros de carte de crédit... Pendant son intervention à la 2nd Wireless Security Conference le mois dernier, Erik Laykin le citait avec une magnifique photographie de leurs locaux.

Suis-je à mon tour en train de céder au hors-sujet, à parler de vol de données dans ma section Wi-Fi ? Pas d'après The Register qui nous apprend que l'intrusion dans les systèmes de l'enseigne aurait commencé par le piratage d'un lien Wi-Fi protégé en... WEP. Toujours d'après cet article, les intrus auraient tout simplement utilisé un portable et l'antenne qui va bien obtenir la clé d'un lien utilisé dans un de leurs magasins du Minnesota.

En fait, l'histoire fait la première page du Wall Street Journal^[1] et s'appuie sur les conclusions des enquêteurs. À partir de traces laissées çà et là par les intrus, ils ont pu remonter la piste de l'attaque jusqu'à ce magasin de vêtements Marshalls de Saint-Paul, Minnesota. À l'aide d'un antenne directrice, probablement de type Yagi avec guide d'onde, ils ont pu capturer le trafic échangé entre les lecteurs de code-barre et les caisses enregistreuses, casser la clé WEP et se servir de cet accès pour d'une part sniffer des données et d'autre part remonter jusque chez TJX en utilisant les login et mots de passe capturés. Ils ont pu pu accéder au système central situé à Framingham, Massachusetts, et le compromettre.

Les attaquants ne semblent pas avoir fait preuve de beaucoup de discrétion. En plus des logs qui resteront, ils se servaient du réseau pour se laisser des notes, en clair, sur les actions qu'ils menaient de manière à ne pas dupliquer le travail. Un peu d'organisation ne fait pas de mal quand on s'adonne à des actions de cette ampleur. Si leurs identités ne sont pas toujours pas connues, ils auraient affiché des liens explicites avec des gangs roumains et la mafia russe. D'ailleurs, comme nous l'expliquait Erik Laykin, une douzaines de personnes auraient déjà été arrêtées et seraient sur le point d'être jugées pour fraude à la carte bancaire aux États-Unis. Elles auraient utilisé des fausses cartes portant des numéros volés chez TJX pour acheter des articles chez Wallmart, puis les rapporter dans un autre magasin pour se les faire rembourser. Ou comment transformer une liste de numéros achetés à un prix modique en monnaie sonnante et trébuchante.

Le point qui me parait particulièrement intéressant à relever dans cette histoire concerne un audit réalisé en septembre qui aurait mis en exergue plusieurs problèmes de sécurité :

As the stolen TJX numbers were being used in Florida, the
company was getting a stern warning about its poor security
from a routine audit. The auditor told the company last Sept.
29 that it wasn't complying with many of the requirements
imposed by Visa and MasterCard, according to a person
familiar with the report. The auditor's report cited the
outmoded WEP encryption and missing software patches and
firewalls.

Les problèmes de conformité aux exigences de Visa et MasterCard seraient liées à l'absence de chiffrement des données échangées sur le réseau. Difficile donc de nier le faible niveau de sécurité de leurs systèmes et en particulier ce problème de WEP. Pour autant, c'est un problème relativement classique dans ces champs d'application très particuliers. Pour avoir, dans une autre vie, été amené à auditer de tels systèmes^[2], il est clair que leur flexibilité en terme d'ajout de fonctionnalités est relativement réduite. Alors pour ce qui est de la sécurité. Ainsi, j'ai pu voir de nombreux modèles de "douchettes" Wi-Fi dont le maximum qu'on pouvait tirer était du LEAP, au prix d'une mise à jour matérielle (?!) relativement coûteuse. À côté de ça, beaucoup de WEP, parfois à 40bits, et parfois rien du tout, la seule barrière de protection restant la difficulté de trouver du matériel conforme au tout premier standard 802.11 à saut de fréquences... Évidemment, on trouvait beaucoup de SSID Cloaking dont je vous vantais les qualités mais peu de filtrage d'adresses MAC, souvent jugé trop lourd à gérer. Arguement qui revient souvent, la faible portée des équipements dont on voit ici toute l'efficacité. Dans un cas, j'arrivais même à lire mon mail depuis les abords d'un entrepôt de la société auditée malgré toutes leurs protections. J'espère que la situation de ces gens, et du marché en général, s'est sensiblement améliorée depuis, mais mon petit doigt exprime des doutes, en particulier parce que l'amélioration suppose souvent le renouvellement complet du système : lecteurs, points d'accès, back-end. Et l'affaire TJX en est à mon avis un exemple criant...

Toujours est-il que tout ceci va donner du grain à moudre à ceux qui poursuivent déjà TJX, laissant imaginer l'ardoise qu'il vont devoir régler en dommages et intérêts, en plus d'une dépense estimée à un milliard de dollars américains sur les cinq prochaines années...

Si vous êtes un nouveau lecteur de ce blog, ou que vous y passez occasionnellement, sachez que plusieurs billets sont consacrés aux vulnérabilités de WEP :

Autant de raisons de ne plus utiliser WEP, même si celui-ci s'accroche comme une moule à son bouchot. Un autre traite quant à lui des alternatives que sont WPA et 802.11i/WPA2 :

Pourquoi c'est pourri le WEP... Part 3, comment se protège-t-on alors ?

Sinon, du côté de Vera Cruz, le coup de pied d'Arnaud et Phil dans la fourmilière avec les Routing Headers de type 0 continue à faire du bruit. C'est drôle à suivre, en particulier les discussions sur la liste IPv6 de l'IETF. Je vous laisse apprécier en connaisseur comment on gère un problème de fonctionnalité parfaitement inutile dans le standard. Manifestement, la suppression n'est pas à l'ordre de jour. Mais j'y pense, WEP non plus n'a pas été supprimé avec 802.11i...

Notes

[1] Ce lien pourrait ne pas rester disponible très longtemps, désolé...

[2] Mais des environnements différents...

Commentaires

1. Le lundi 7 mai 2007 à 13:54, par jme

Le douloureux problème des douchettes... Reconnaître et serrer les fesses. Je connais des boîtes qui font ça.

Sinon, pas mal la présentation de Vera Cruz avec des bon gros one-liners en scapy comme on aime (ça fait grossir la base d'exemple).

2. Le lundi 7 mai 2007 à 22:36, par Yann

Le problème, que tu soulèves avec cet article, est tout à fait réaliste. Nous utilisons beaucoup de ses périphériques (plus particulièrement des PDA) avec WiFi, et nous avons exactement le même style de soucis (je te rassure, y a pas de numéros de cartes de crédit qui circulent :) Le constructeur supporte autre chose que du WEP depuis seulement une ou deux années. Les anciens modèles peuvent être mise à jour vers WPA, mais c'est bourré de bugs, et ça fonctionne vraiment pas bien. Donc on est revenu en arrière, et on utilise WEP (en attendant de changer le parc des PDA, plus de 30 appareils à 1'000 EUR pièce).

Parmi les bugs découverts, un des plus tordus que j'ai rencontré : 10 PDA en WPA en même temps, ça fonctionne sans problème, avec 12 toujours pas de problème, mais dès qu'il y a 15 PDA, plus rien de fonctionne....l'échange des clés TKIP avec la borne ne fonctionne plus.

Tout ça pour dire que ça m'étonne même pas ce genre d'histoire.

Marrant le message du CEO sur la homepage du TJX :

With the help of computer security experts, we have strengthened the security of our computer systems and we believe customers should feel safe shopping in our stores. We value the trust our customers place in us and again, I’d like you to know that we sincerely apologize for any difficulties you may be caused. Thank you for continuing to shop at our stores and for your years of loyal patronage.

L'image a du en prendre un sacré coup....j'aimerais pas être le CISO :)

Réponse de Sid

j'aimerais pas être le CISO

L'ancien ou le nouveau ? ;)

3. Le mardi 8 mai 2007 à 15:46, par Yann

@Sid : Hehe :) Je pensais biensûr à l'ancien, mais en y pensant, c'est idem pour le nouveau ;)

4. Le mercredi 9 mai 2007 à 08:30, par Corsac

Tiens j'avais vaguement regardé l'histoire du RH0, mais j'avais pas vu qu'Arnaud & Phil en étaient à l'origine :)

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

lun	mar	mer	jeu	ven	sam	dim
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Ma petite parcelle d'Internet...

Notes

Trackbacks

Commentaires

Ajouter un commentaire

Abonnez-vous

À propos...

Rechercher

Calendrier

Hitmap

Dans la catégorie "Wi-Fi"

Langues

Catégories

Archives

Liens

Blogs

Webcomics

Chez moi (from me)