Wi-Fi, terrorisme et code viral...

Par Sid, mercredi 25 février 2009 à 18:45 :: Wi-Fi :: lu 4687 fois :: #325 :: rss :: atom :: English

Secure Wi-Fi network

e ne sais plus comment je suis tombé sur cette dépêche, mais il semblerait que des chercheurs indiens aient développé, je cite, "une technologie permettant de sécuriser des réseaux Wi-Fi et prévenir les compromissions". Et de citer, comme exemple de méchanteries que ça bloque, l'envoi d'un email revendicant les attentats d'Ahmedabad via le réseau personnel de Kenneth Haywood, un citoyen américain qui résidait alors à Bombai, piraté pour l'occasion.

Ce qui me laisse pour le moins perplexe. D'une part parce que l'argument du terrorisme a une forte tendance à se comporter comme un gros bullshit warning à mes yeux. Genre mieux défendre les réseaux Wi-Fi va empêcher les gens de poser des bombes. J'y crois à mort... D'autre part parce que le problème de la sécurité Wi-Fi n'est pas le manque de mécanismes de sécurité, mais clairement le fait qu'ils ne sont pas utilisés. Pourquoi cette nouvelle technologie le serait-elle plus que celles qui sont déjà présentes dans tous les équipements Wi-Fi du marché ?...

Quand on lit l'article, on s'aperçoit en fait que ça ressemble surtout à un gros coup de flan. La technologie en question s'appellerait WIPS, pour, comme vous vous en doutez déjà, "Wireless Intrusion Prevention System". Un concept absolument novateur que personne ne connait, preuve en est que la page Wikipedia sur le sujet ne date que d'août 2006...

Mais regardons quand même de plus près. Outre l'absence totale de référence technique, il se trouve qu'une personne citée dans l'article comme faisant partie de l'équipe de chercheur est un certain Pravin Bhagwat. Ce monsieur, qui n'a pas publié grand chose depuis 2001, se trouve être CTO et co-fondateur d'une société répondant au nom de AirTight Networks. Laquelle, spécialisée en sécurité Wi-Fi vend, je vous le donne en mille, des solutions WIPS. Décidément, la ficelle était bien grosse pour que ça ne se voit pas sur ce coup là...

Si je ne vais pas me lancer dans une diatribe sur ce que je pense des ces systèmes, il n'en reste pas moins que ce genre d'usine à gaz me semble plus indiquée pour des installations de taille appréciable, lesquelles pourront les utiliser à des fins de compliance par exemple, qu'aux problématiques des particulier. Quand il s'agit de protéger le routeur Wi-Fi de Monsieur Haywood ou de la désormais célèbre Madame Michu, j'ai un peu plus de mal à imaginer l'intérêt de la manœuvre. Je veux dire que, bien qu'ayant la possibilité de mettre en œuvre un bon vieux gros WPA/WPA2 en PSK et ne l'ayant pas fait, ou l'ayant fait mais en choisissant une clé trop simple à récupérer, je le vois mal se lancer dans la mise en place d'un WIPS complet, voire d'une simple sonde.

À moins évidemment d'imaginer un monde dans lequel chaque équipement Wi-Fi vendu sur le marché serait équipé d'une sonde qui se connecterait automatiquement à un super WIPS national ou international, lequel serait chargé d'orchestrer le tout. Je ne vous raconte pas les problématiques d'atteinte à la vie privée... Mais bon, puisqu'on vous dit que c'est pour lutter contre le terrorisme, vous n'allez nous faire chier... D'ailleurs, si vous n'avez rien à vous reprocher, vous n'avez rien à cacher, n'est-ce pas ?... Voilà, voilà, voilà... Et puis quand bien même un tel système serait en place, pourquoi ne pas l'utiliser pour pousser une configuration de sécurité décente et basta ? Tout simplement ?

Entre les bouts de sparadrap, les protections cosmétiques et les annonces apocalyptiques, il ne faut pas s'étonner d'une part que le niveau global de sécurité soit aussi mauvais, du fait du niveau d'information des utilisateurs et la survie sur le marché de protocoles troués aux quatre vents, et d'autre part que des sociétés commerciales profitent de ce contexte fertile pour de placer leurs technos avec plus ou moins d'élégance.

Sigh...

Toujours dans le domaine du sans-fil, on notera la publication remarquée d'une étude sur la diffusion de malwares via des accès Wi-Fi mal sécurisés. On pourrait croire que l'article n'est pas disponible gratuitement en ligne, mais en fait si. Le document ne fait que 6 pages, mais reste suffisamment précis pour donner une bonne idée du contenu et de sa qualité. Des annexes sont également disponibles, avec en particulier deux vidéos montrant des simulations d'infection.

Ces chercheurs démontrent donc la capacité pour un code viral de se propager en exploitation des failles dans les équipements Wi-Fi entourent l'hôte sur lequel il s'exécute. Le mécanisme d'infection passe par l'accès à l'interface d'administration du point d'accès visé ce qui implique d'abord de passer une éventuelle protection du lien sans-fil et ensuite trouver les identifiants permettant d'accéder à l'interface. Dans leurs hypothèses de travail, ils considèreront comme exploitables seulement les points d'accès ouverts ou configurés en WEP dans un premier temps, et dans un second, que 25% d'entre eux ont un mot de passe découvrable en moins de 65000 tentatives.

Je ne vais pas vous gâcher le plaisir de la lecture, mais quand même un peu. C'est en effet un papier dont les hypothèses ne sont pas fantaisistes, en ce qu'elles s'appuient sur données fournies par WiGLE sur les villes considérées, et aux conclusions pour le moins intéressantes. Ils comparent en particulier la capacité d'infection d'un tel ver dans différentes villes des États-Unis, comme Chicago, San Francisco, New York ou encore Boston, ce qui leur permet de mesurer l'impact de la densité des accès Wi-Fi sur la vitesse de propagation^[1]. De la même manière, ils évaluent l'impact de la densité d'accès décemment protégés sur la propagation du ver^[2] : passé les 70% d'accès en WPA, le ver est pratiquement bloqué, ne disposant en effet plus d'un maillage suffisant d'hôte vulnérables.

Maintenant, on peut réfléchir un peu au-delà des hypothèses de cette étude ? Les routeurs Wi-Fi par exemple peuvent présenter nombres de vulnérabilités en dehors de l'interface d'administration. Je pense à des failles dans le driver de l'interface sans-fil ou sur les services qu'il fournit : démon DHCP, système UPnP, serveur web, serveur d'impression, etc. Autre aspect qui rend ces équipements particulièrement intéressants, c'est leur relative homogénéité et le manque de mises à jour de sécurité^[3]. Il suffit de prendre la liste des routeurs supportés par OpenWRT pour imaginer que nombre d'entre eux tournent nativement avec des bases de code très similaires. De même, l'explosion des offres triple-play entraîne elle aussi une uniformisation de la base installée, les utilisateurs ayant tendance à se débarasser de leur vieux routeur Wi-Fi en faveur de la wonderbox qui fait tout^[4]. Laquelle expose parfois des services, indépendamment de la protection de l'accès réseau principal : portail captif chez l'un, accès téléphonique chez l'autre, etc.

On pourra également mettre à contribution la machine du propriétaire du réseau, laquelle est déjà dans la place, indépendamment du moyen de protection réseau déployé, d'autant qu'elle a souvent un accès privilégié au routeur, ne serait-ce que parce que les identifiants utilisés pour accéder à la console d'administration sont sauvegardés par le navigateur. Et inversement, une fois le code viral installé sur le routeur, on pourra l'utiliser pour infecter les stations qui l'utilisent, comme cela a déjà été démontré.

Mais tout ceci n'est que pure spéculation, évidemment...

Et pendant que je me faisais ces réflexions hautement hypothétiques sur l'homogénéité d'un large base matérielle, je suis tombé sur ce billet qui nous fait un topo sur les botnets clé en main pour joueurs frustrés. Pour des sommes tournant autour de la centaine de dollars US, les mauvais perdants ont la possiblité de DDoSer leur adversaire pour lui faire perdre sa connexion au serveur de jeu. Et gagner le duel au finish... Halo 3 sur XBox 360 semble particulièrement touché par ce genre de comportement.

Ce qui m'amène à me dire qu'un ver capable d'exploiter efficacement des consoles de jeu pourrait également faire son petit bonhomme de chemin via les réseaux auxquelles elles sont connectées, mais aussi, et peut-être surtout, via les services auxquelles elles accèdent ou les serveurs de jeux en ligne...

C'est quand même bien fait Internet, non ?...

Notes

[1] Figure 3A en 3e page.

[2] C'est la figure 4b en 4e page.

[3] Ou plutôt notifiées comme telles...

[4] Par contre, la sécurité, c'est le problème de l'utilisateur...

a voté

Note : 4.1/5 pour 9 votes

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le jeudi 26 février 2009 à 09:39, par yan

A la base il est évident que tout ce qui cherche a identifier des terroristes, dont la faculté la plus constante (lié à la finalité même du terrorisme) est la revendication (le media employé important assez peu)... est d'avançe du gros bullshit.

On pourrait en dire autant de toutes ces caméras de videosurveillance qu'on veut mettre partout "pour identifier les terroristes comme ils le furent à Londres", oubliant de de préciser "après coup" de peur que l'inutilité de la chose (pour le but avoué en tout cas) ne saute trop aux yeux des citoyens qui se mettraient alors à suspecter un but caché!?

N'empêche qu'en ces temps sarkozysto-pseudo-securitaires... celui qui veut entendre défonçer la porte de son voisin à 6h00 du mat pêtante n'a qu'a lui braquer son wep, ouvrir un compte mail gratuit... et envoyer qq gentillesse à la présidence... signée des AZF et/ou(?) autres saboteurs de lignes SNCF qui se sont largement foutu de la tronche de ces idiots (que la sophistication des moyens n'empêche pas d'être roulés dans la farine) étant un gage supplémentaire de réussite!

Mais attention, des fois les flics sont si ballots qu'ils se trompent de porte :o)

2. Le jeudi 26 février 2009 à 09:41, par Jan

Oui c'est bien fait l'Internet. Comme tu le dis, les failles de securité wifi sont souvent les personnes qui s'en servent. Ya qu'a voir ce thread ... Bizarrement, le gars n'a pas trouvé le courage de répondre :)

Enjoy.

3. Le jeudi 26 février 2009 à 11:05, par marc

Lorsque j’entends le mot Wips, je sors mon théorème de Shannon (et tout ses petits copains). Je cite : « a wireless intrusion prevention system (WIPS) is a network device that monitors the radio spectrum”

Et là, est-ce du à mon incompétence crasse en matière d’informatique, je ne comprends déjà plus rien. Car si pour marteler il faut un marteau, si pour enfumer il faut de vieux chiffons gras et si pour intoxiquer il est plus ou moins nécessaire de posséder quatre grains de poison, pour analyser un spectre, il faut pour le moins un analyseur de spectre. Le genre de machin qui, à lui tout seul, va chercher entre 30 et 40 000 euros, non comprises les quelques années d’études nécessaire à l’apprentissage de son utilisation et surtout à l’interprétation des données qu’il délivre.

Tous les wips et autres bidules de supervision réseau WiFi reposant sur une analyse du spectre qu’il m’ait été donné de toucher utilisaient généralement…. Des clefs WiFi USB à coller sur un portable baladeur. Pour faire simple, les spécialistes de l’analyse réseau pensent « sondes » et s’imaginent encore sur un réseau « base cuivre ». « Ce que je n’entends pas n’existe pas », tel est leur credo.

Non seulement une bonne analyse de l’activité HF nécessite quelques antennes sérieuses –en aucun cas un bricolage genre « boite de Ricorée »- pour améliorer l’audition plus que déficiente des équipements WiFi utilisés par ces sondes, mais en outre elle exige que le « spectre » écouté ne se limite pas aux strictes plages imposées par la règlementation (je ne balancerais pas de nom, mais j’ai en tête au moins deux fournisseurs de « solutions » fort couteuses qui sont infichues de détecter une activité sur les « canaux » japonais, sous prétexte qu’ils ne sont pas vendus en Europe.)

Si c’est simplement pour faire un bilan de bande, autant acheter une petite bidouille Elektor de ce genre

http://www.elektor.fr/magazines/2007/juin/analyseur-de-spectre-wifi-2-4-ghz.92075.lynkx

au moins, pour 12 euros et quelques soudures de BGA, on en a pour son argent.

Ce que je n’entends pas n’existe pas. A commencer éventuellement par les écoutes passives.. mais passons. Ce pourrait également être une station « rogue » très éloignée beamée sur le point d’accès attaqué… vu la sensibilité des bases matérielles Wips, là encore, les chances de détection sont proches de l’inverse de l’infini. Ce pourrait être enfin une rogue « interne » qui n’utilise pas du tout les fréquences allouées aux installations WiFi (je connais plein d’administrateurs qui se moquent de l’apparition d’une nouvelle adresse MAC sur leur réseau) (et il existe plein de réseaux qui n’ont même pas la chance de posséder un administrateur).

Heu… une carte wifi qui n’utilise pas un spectre Wifi, çà ressemble à quoi ? Voilà la question que ne se posent pas les inventeurs de Wips, parce que çà remettrait en cause leur modèle économique. Ca peut ressembler à une carte Wifi suivie d’un mélangeur de Wilkinson (http://en.wikipedia.org/wiki/Frequency_mixer), capable d’expédier le 2,4 GHz ou le 5 GHz d’un Wlan sur une fréquence « claire » et ignorée des sniffers traditionnels (on a l’embarra du choix

http://www.anfr.fr/pages/tnrbf/tableau_derive_150105.html#SHF

Un mélangeur Wilkinson et un oscillateur associé, ca va chercher dans les 10 à 30 dollars sur eBay. Il en faut un couple, l’un pour convertir l’émission/réception du rogue interne, l’autre coté « espion ».. soit 60 dollars le piratage indétectable par wips).

Ce peut également être une véritable carte Wifi modifiée sortant « très largement » du spectre traditionnel, tel que l’a démontré Rick « Zero_Chaos » Farina lors de la dernière Smoocon. Ce type est capable de faire sortir une carte 802.11a sur n’importe quelle fréquence située entre 4920 et 6100 MHz

http://mirror.sweon.net/defcon16/Speakers/de_Bouvette-Farina/defcon-16-de_bouvette-farina.pdf

ou, comme le laisserait entendre un récent papier de l’équipe Secureworks, de faire cracher une 802.11b sur des fréquences DECT

http://www.secureworks.com/research/blog/index.php/2009/02/24/shmoocon-v/

J’en connais au moins un qui doit déjà regretter d’avoir dépensé quelques dizaines d’euros pour une carte AirCom ;-)

Jouer avec les registres « non documentés » d’une carte, ou modifier son firmware est un sport qui remonte au moins à l’aube des modems (qui donc n’a jamais joué avec certaines séquences AT pour générer les paires DTMF « hors numérotation », just for fun and.. profit ?)

Mentionnons également et pour mémoire la récente communication d’Adam Laurie sur le « hacking des liaisons montantes et descendantes des satellites de télédiffusion »…

http://blackhat.com/html/bh-dc-09/bh-dc-09-speakers.html#Laurie

Bien qu’un peu science-fictionnesque, ce type de bidouille n’est pas impossible. C’est même tout à fait réalisable à moindre frais : « cheap » à la réception (downlink), moins de 4000 euros à l’émission. Ca se sniffe avec un Wip, un trunk sur véhicule géosynchrone à 36 000 km de distance ? (ceci dit, je payerai cher pour voir la tête d’un rssi qui découvre l’équivalent d’un « rogue A.P. » sur un point de Lagrange. Digne d’un album de Franquin)

il nous manque une Smoocon en Europe. Quoique la dernière 25C3 nous avait déjà offert bien des choses amusantes fin 2008.

Allez, je retourne à mon poste à galène….

Réponse de Sid

Oui mais alors non... Si tu commences à partir de l'hypothèse saugrenue que des gens sur Terre sont assez intelligents, compétents et astucieux pour contourner des WIPS à la pointe de la technologie... Je veux dire, on fait de la sécurité, pas de la science fiction :)

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...