Le piratage « physique » est aussi possible, et ça paraît très simple !

Stefanie Smith, 26 septembre 2016

Voiture sans clé, chambre d’hôtel sans serrure : les technologies font évoluer les pratiques et les pirates s’adaptent !

J’ai trouvé l'épisode de cette semaine un peu déconcertant, et je ne fais pas seulement référence au rêve planant d'Elliot pendant son sevrage.

Opération fusion

Cette semaine, il semble que je n'étais pas la seule à me poser des questions sur les piratages de l'épisode ; le magazine américain Forbes a publié une interview de Michael Bazzell, le consultant technique et l’expert en cybercriminalité de Mr. Robot, qui explique l'attaque perpétrée par Elliot au début de l'épisode.

Dans l'article, Michael Bazzell explique le plan de destruction du centre de stockage des données d'E Corp prévu par Elliot, à l'aide d'un Raspberry Pi. Michael explique que le Raspberry Pi est un très petit ordinateur auquel il est possible d'accéder depuis Internet via sa carte réseau cellulaire intégrée. Elliot veut utiliser cet appareil pour contrôler le système de climatisation des installations afin de le faire surchauffer, faisant ainsi faire fondre les bandes magnétiques qui constituent le système de sauvegarde d'E Corp.

Tandis que Forbes s'est concentré sur les piratages informatiques les plus complexes qui ciblaient les grandes sociétés comme E Corp et Allsafe, j'ai été intriguée par les deux piratages physiques de l'épisode.

Bip-bip

Le premier d’entre eux survient lorsque deux membres de fsociety piratent un monospace. Gardez à l'esprit que fsociety fait tout son possible pour ne pas laisser de trace, ainsi, les deux protagonistes ont besoin d'une voiture volée pour se rendre au centre de données d'E Corp afin de ne pas se faire prendre.

Les membres de fsociety s'assoient tranquillement sur le trottoir et attendent que quelqu'un se gare et verrouille sa voiture. À l'aide de ce qui pour moi ressemble à une vieille radio, mais qui est probablement un transmetteur, ils peuvent envoyer une commande pour déverrouiller le véhicule, remerciant poliment « maman » de leur avoir donné la possibilité de voler sa voiture. Une fois à l'intérieur, ils la connectent à leur ordinateur portable et exécutent le code qui la démarre.

J'ai demandé à mon collègue, Jean-Baptiste Souvestre, ingénieur logiciel chez Avast, ce qu'il pensait de ce piratage :

Tout ce dont ils avaient besoin était un câble et un logiciel spécialisé de contrôle pour voitures. Ce logiciel peut accéder à des données provenant de capteurs situés dans la voiture et contrôler ses mouvements. Ainsi équipés, ils n'avaient plus qu'à tout connecter ensemble et sélectionner les actions souhaitées. 

Plus un geste… les clés de votre voiture ?

Cette méthode de piratage de voiture semble un peu vieillotte, les voitures sans clé qui démarrent d’un simple geste sont devenues monnaie courante. Nick Bilton, écrivain spécialisé dans la technologie et chroniqueur sur les ruptures technologiques pour le New York Times, s'est récemment fait piraté et volé son véhicule, et a publié un article intéressant sur ce qui lui est arrivé.

Nick raconte qu'il était dans sa cuisine lorsqu'il a vu deux adolescents voler sa Toyota Prius. Les Prius, comme beaucoup d'autres voitures modernes, fonctionnent sans clé et ont besoin que la télécommande soit à une certaine distance pour démarrer. Nick a étudié plus en détails pourquoi l’opération avait été si facile pour les adolescents et il a découvert qu'il y existait différents gadgets permettant de déverrouiller de nombreuses voitures sans clé. Ces gadgets sont des transmetteurs radio qui utilisent la force brute pour déchiffrer les codes de télécommande ou qui amplifient simplement la distance à laquelle la voiture se connecte avec la télécommande, ce qui a été fait dans le cas de Nick.

Quelle solution Nick a-t-il trouvé pour régler son problème ? Mettre sa télécommande dans son congélateur, qui agit comme une cage de Faraday et bloque les champs électriques externes.

Ne pas déranger

En route pour le centre de stockage des données d'E Corp, Elliot souffre de syndromes de sevrage et l'équipe de la fsociety doit s'arrêter pour qu'il récupère. Ils s'arrêtent dans un hôtel et branchent un petit appareil dans le lecteur de carte de la serrure de la chambre. En un clin d'œil, ils entrent dans la pièce et s'installent.

Du coup, je me suis posée la question : quelqu'un peut-il vraiment entrer dans une chambre d'hôtel aussi facilement ? (J'ai aussi pensé que c'était une heureuse coïncidence qu'ils aient cet appareil avec eux, mais je ne m'étendrai pas sur ce sujet ici :)).

J'ai effectué quelques recherches en ligne et j'ai découvert qu'il était tout à fait possible d'entrer dans une chambre d'hôtel de cette manière et que cela avait été démontré en 2012 par Cody Brocious. Vous trouverez son article décrivant comment il a piraté le système de verrouillage pour hôtels Onity HT ici.

Mais nous sommes maintenant en 2016 et les temps changent ! Désormais, beaucoup de grandes chaînes hôtelières, comme Hilton et Starwood, utilisent des clés NFC et Bluetooth combinées à des applications mobiles et non plus des cartes ou des clés physiques.

Jean-Baptiste Souvestre : La sécurité de n'importe quelle application ou système dépend de sa conception et de son exécution. Les vulnérabilités sont inévitables mais dépendent du fait qu’elles soient exploitables ou pas. Si elles le sont, tout dépend de qui les découvre en premier : les gentils ou les méchants. Si elles sont découvertes, tout dépend également de la vitesse à laquelle elles sont corrigées. Les utilisateurs ne doivent pas avoir peur d'utiliser de nouvelles technologies. Au contraire, plus il y a de personnes qui les utilisent, plus facilement les problèmes potentiels seront découverts et corrigés ; c'est la même chose pour les applications qui fonctionnent comme clés de chambre dans les hôtels.

Dîtes-nous ce que vous pensez de l'épisode de Mr. Robot de cette semaine dans les commentaires ci-dessous et n'oubliez pas de nous suivre sur Twitter et Facebook pour ne rien rater des actualités sur la sécurité !

(Source l'image : USA Network)

 

Articles liés