Mr Robot S1E6 : Elliot ouvre les portes, Avast bloque les menaces

Stefanie Smith, 3 octobre 2016

Elliot peine à accéder au réseau informatique de la prison (et Avast s’en mêle !) mais il a plus d’un tour dans son sac !

Pour Avast, l'épisode de cette semaine était passionnant : notre logiciel a joué un rôle dans la série ! En plus de l'intrusion bloquée par Avast, beaucoup d'autres piratages informatiques intéressants ont eu lieu dans cet épisode. Nous en avons parlé avec l’expert en sécurité d'Avast Jean-Baptiste Souvestre.

Peu après le début de l’épisode, Elliot se trouve dans son appartement avec Isaac et DJ. Il y a quelque chose qu'Elliot ne comprend pas chez le frère de Vera, Isaac. Et que fait Elliot quand il ne comprend pas quelqu'un ? Il le pirate bien sûr !

Stefanie : Nous voyons qu'Elliot se tourne à nouveau vers Kali, la distribution Linux, pour pirater le téléphone portable d'Isaac. Il semble le faire en quelques secondes, est-ce si facile à faire ? Plus tard, quand Elliot rend visite à Vera en prison, nous apprenons qu’il a fait en sorte de se faire envoyer automatiquement des informations depuis le téléphone d'Isaac. Cela semble vraiment intrusif : Isaac ne pourrait-il pas simplement changer de téléphone ?

Jean-Baptiste SouvestreC'est un piratage très avancé, et à moins qu'Elliot n'ait tout préparé avant d'entrer dans son appartement, cela prendrait beaucoup plus de temps à effectuer (mais il s'agit d'une série télévisée, les choses se produisent parfois plus rapidement à la télévision que dans la vie réelle). La distribution Linux Kali, un outil populaire pour les tests de pénétration, peut être utilisée pour installer du code sur un appareil.

Mais il faudrait que le téléphone d'Isaac soit connecté au réseau Wi-Fi d'Elliot, ou qu'Elliot ait configuré un faux point d'accès Wi-Fi en utilisant un nom de réseau populaire tel que « Wi-Fi Starbucks », un réseau Wi-Fi auquel le téléphone d'Isaac s'est déjà connecté et où il se connecterait désormais automatiquement.

Elliot utiliserait ensuite Kali pour exploiter une vulnérabilité sur le téléphone d'Isaac et installer un code afin d’envoyer des informations depuis le téléphone vers la destination choisie par Elliot. Et puisque qu’Elliot le dit à Vera, ce dernier pourrait avoir prévenu Isaac qui aurait pu changer de téléphone. Mais Isaac n'a pas de fin heureuse dans cet épisode…

Alors qu’Elliot essaie de trouver un moyen de pirater le réseau de la prison, Darlene lui donne un coup de main en chargeant un logiciel malveillant dans des clés USB estampillées E Corp pour qu’elles aient l'air dignes de confiance. Elle éparpille ensuite les clés USB sur le parking de la prison. Un officier de police trouve l'une des clés et l'insère dans son ordinateur professionnel. Une première fenêtre apparaît et affiche le message suivant : « obtenez votre carte cadeau gratuit de 100 dollars pour iTunes », puis une seconde fenêtre lui demande son genre musical préféré. Il répond à plusieurs questions, et tout à coup BOUM ! Avast détecte la menace !

Stefanie : Nous étions très fiers en regardant cette scène. Avast qui détecte une menace dans Mr. Robot, c'est vraiment super ! En regardant de plus près la fenêtre d'avertissement d'Avast, nous pouvons voir que la menace est un cheval de Troie nommé JS:ScriptPE-inf (Trj). S'agit-il réellement d'un cheval de Troie existant ou est-ce inventé ?

Jean-Baptiste : C'est une vraie détection. Elle est déclenchée par un fichier HTML ou JavaScript contenant une URL bloquée par Avast parce qu'elle contient un fichier malveillant. Cependant, il est difficile de dire ce que l'URL contenait. Je pense qu'il pourrait s'agir d'une sorte de programme visant à exploiter une vulnérabilité sur la machine du policier, pour exécuter un code qui donnerait à Elliot l'accès au réseau de la prison.

Elliot fait fonctionner un analyseur de réseau indétectable qui localise tout signal sans fil à portée de son téléphone qu’il a déposé au bureau de sécurité de la prison. Lorsqu'il le récupère, il consulte les données récupérées par l’analyseur et s’avère déçu de voir que le réseau de la prison utilise le chiffrement WPA2.

Stefanie : Elliot dit que le WPA2 est « à la limite de l'impiratable » et il mentionne ensuite un échange (handshake) ? Le chiffrement WPA2 est-il réellement aussi sécurisé ? De quel « échange » est-il question ?

Jean-BaptisteWPA signifie Wi-Fi Protected Access et WPA2 est le successeur du WPA qui utilise l'AES (Advanced Encryption Standard). Le WPA étant le meilleur chiffrement disponible actuellement pour le Wi-Fi, si Elliot dit qu'il est à la limite de l'impiratable, il le pense ! Il existe une façon de pirater le WPA2 mais, comme l’explique Elliot, cela prend beaucoup de temps.

Lorsqu'un utilisateur se connecte à un point d'accès, il se produit un échange (handshake) dans quatre directions, chiffrant ainsi les messages pour confirmer que les deux parties prenantes connaissent ce qu'on appelle la PSK (pre-shared key, clé prépartagée) et la PMK (pairwise master key, clé principale par paire) sans les divulguer.

Pour pirater un réseau protégé par WPA2, vous devez intercepter et déchiffrer cet échange d'authentification. Intercepter l'échange peut être facile mais le déchiffrement difficile, en fonction de la complexité du mot de passe du réseau Wi-Fi.

Alors qu’Elliot a abandonné l'idée de pirater le Wi-Fi de la prison, une voiture de police passe et se connecte automatiquement à son smartphone. C‘est ainsi qu’il se rend compte : « La transmission mobile sur les caméras… Je n'ai pas besoin de pirater le WPA quand il y a une 4G dédiée ». Plus tard, Elliot pirate une voiture de patrouille de la police. Son plan est de se connecter au « Bluetooth du véhicule pour exécuter l'exploit sur le PLC ». Il réussit et donne l'ordre « à 21h49, toutes les portes des cellules s'ouvriront ».

Stefanie : Qu'est-ce qu'un PLC ?

Jean-Baptiste : PLC signifie « Programmable Logic Controller » (automate programmable industriel), un ordinateur habituellement utilisé dans les environnements industriels. Le vecteur d'attaque de PLC le plus connu est probablement Stuxnet, qui a été conçu pour surveiller les machines Siemens dans les usines nucléaires iraniennes et manipuler la vitesse du rotor des centrifugeuses.

Stefanie : Dans le cas de Mr. Robot, le PLC est utilisé dans la prison pour contrôler les serrures des portes des cellules, c’est bien ça ?

Jean-Baptiste : Oui, les systèmes à base de PLC sont largement utilisés dans les prisons. Il y a des prisons aux États-Unis où les PLC contrôlent plus de 900 portes. Les chercheurs en sécurité ont déjà mentionné leurs inquiétudes concernant les vulnérabilités des systèmes PLC dans les prisons il y a des années et Sam Esmail, le producteur et scénariste de Mr. Robot, intègre habilement ces inquiétudes dans l'histoire.

Les failles potentielles sont également présentées dans le logiciel à code source ouvert Metasploit Framework. C'est un outil pour développer et exécuter du code d'exploit, ce qui fait qu'en pratique n'importe quel hacker débutant peut en user et en abuser.

Stefanie : Ça a l’air terrifiant. Comment un PLC peut-il être protégé d'une telle faille ?

Jean-BaptisteLes administrateurs du système doivent faire en sorte que le micrologiciel et le logiciel de contrôle du PLC bénéficient des correctifs requis et soient constamment mis à jour. Ils doivent également utiliser une segmentation adéquate du réseau pour interdire l'accès au PLC depuis d'autres réseaux locaux – on appelle cela un « air gap » – comme dans l'épisode de Mr. Robot où il était possible d'accéder au PLC depuis l'ordinateur de la voiture de patrouille. Les supports physiques, comme les clés USB et les téléphones portables, ne doivent pas être autorisés à accéder au PLC.

Stefanie : D'une certaine façon, cela semble assez simple... Quelqu'un s'est-il déjà évadé en piratant le système de la prison ?

Jean-Baptiste : Il y a beaucoup de manières dont les prisonniers peuvent utiliser la technologie pour « pirater » leur sortie de prison. Au début de l'année, un criminel emprisonné près de Londres a réussi à s'évader en utilisant l'ingénierie sociale. Il a créé un faux domaine web qui ressemblait au domaine du tribunal dont il dépendait.

Il a ensuite utilisé ce domaine pour envoyer un email au service de détention de la prison demandant sa libération. Son évasion n'a été remarquée que trois jours plus tard, lorsque des avocats se sont présentés pour s’entretenir avec lui. Le (cyber)criminel a été repris quelque temps après, mais cette histoire montre qu'une évasion par « piratage » n'est pas si irréaliste dans le monde actuel.

Merci Jean-Baptiste d’avoir pris le temps de discuter des piratages informatiques de Mr. Robot mis en scène cette semaine !

Quel est le piratage que vous avez trouvé le plus intéressant dans cet épisode ? Dîtes-le nous dans les commentaires ci-dessous :)

(Source de l'image: USA Network)

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

Articles liés