Les claviers sans fil, la sécurité aussi *
Tout de suite à gauche et en haut de la rédaction de CSOFrance, il existe un pays truffé de chercheurs en sécurité, grands CSO/RSSI, hackers de renoms et autres CISSP de haute altitude. Et aux nombres de ceux-ci, deux « nouveaux venus » sur la scène médiatique, Max Moser et Philipp Schroedel de la société bernoise Dreamlab Tech A.G.. Ces chercheurs viennent de publier une étude traitant de « l'art d'intercepter les signaux émis par un clavier sans-fil Microsoft ». Non pas le modèle Bluetooth, qui, si l'on se réfère notamment aux travaux de Monsieur Zoller, est susceptible d'être écouté comme n'importe quel périphérique utilisant cette couche de transport, mais la version « cibiste », sur 27 MHz. Rappelons au passage, ce que ne font d'ailleurs pas MM Moser et Schroedel, que de tels claviers, dans de bonnes conditions, peuvent être espionnés à des centaines, voir des milliers de mètres de distance. Simple histoire de physique et de qualité d'antenne. Il est loin, le temps ou d'obscures barbouzes cherchaient à développer de complexes récepteurs « Tempest » chargés d'espionner le bruit émis par le balayage des matrices de touches. Désormais, il est possible de se brancher directement l'interface « digitale » du voisin à l'aide du premier sniffer venu.
Plus simple encore, le « chiffrement » garanti par Microsoft rappelle un peu trop celui du mot de passe des premiers PDA : une simple fonction Xor. Plus fort, pour des raisons de contraintes techniques, il n'existe que 256 clef de chiffrement possible, autrement dit rien qui ne puisse tenir tête à un « brute force » lancé par le plus poussif des PC (y compris ceux à base de 8086 à 4,77 MHz). Et comme cela ne suffisait pas, l'octet de chiffrement n'est généré qu'une seule fois au moment de la « synchronisation » du clavier d'avec son récepteur (il est rare que l'usager ait à resynchroniser son périphérique de saisie, la clef étant par la suite stockée dans l'eeprom du récepteur). Il est ainsi possible, comme l'explique l'exposé animé des deux chercheurs, d'écouter simultanément plusieurs claviers.
Ces recherches portant sur le hacking des périphériques « sans fil » sont à rapprocher d'une autre analyse présentée lors de la dernière Black Hat par Luis Miras. Ce chercheur va un peu plus loin, ne se limite pas aux seuls claviers -il s'attache à décoder les données des pointeurs de présentation, des souris et autres accessoires-, et envisage, outre la possibilité d'écouter le dialogue de ces accessoire, d'y injecter des données. Une prise de contrôle à distance d'un clavier ou d'une souris, voilà qui remet en cause certaine certitudes établies en ce qui concerne la sécurité périmétrique.
Pour l'heure, ces deux recherchent sont encore liées à l'utilisation de récepteurs ou de chipsets dédiés au décodage direct de la couche de transport attaquée. Mais rappelons que rien n'interdit, comme cela a déjà été démontré dans le cadre d'attaques Bluetooth, d'utiliser des récepteurs « software defined radio » pour découvrir sur quelle fréquence, avec quel protocole et avec quel mécanisme de protection sont assurées les liaisons sans-fil d'une entreprise. De tels appareils sont totalement comparable à des sortes de « Nessus/Snort matériel », capable de découvrir un port d'entrée radio entre 27 MHz et 5 GHz, en passant par le 41, le 900, le 433 ou le 2400MHz. Hélas, rares sont les hommes sécurité possédant de solides connaissances en matière d'électronique, plus rares encore sont ceux qui disposent d'un bagage d'ingénieur radio.
A de nombreuses reprises, la rédaction de CSOFrance a demandé aux techniciens de Microsoft -et autres OEM du secteurs « wireless »- s'ils se sentaient concernés par ce genre de risque. La réponse était invariablement la même : « C'est effectivement possible, mais cela exige une débauche de moyens techniques qui n'est pas à la portée du pirate « moyen » ». A raison de 700 dollars maximum pour une plateforme de réception large bande (disons moins de 40 dollars pour le hack du clavier Microsoft), voilà une « débauche » qui met l'espionnage industriel à la portée des caniches. Il semblerait que les industriels du « hard » tentent, une fois de plus, de minimiser l'impact de ces vulnérabilités et cherchent, comme cela a trop longtemps été le cas dans le secteur logiciel, d'entourer par une chape de silence et d'obscurantisme, des failles béantes excessivement simples à exploiter.
NdlC Note de la Correctrice : Face à l'incroyable vulgarité de cette titraille, je dépose un préavis de grève qui prendra effet à partir de ce jour et ne cessera pas avant après-demain matin.
