La sensibilisation au fer à souder, c’est quand même plus rigolo Jerome Saiz le 29 janvier 2014 à 13h43, dans la rubrique Menaces Commentaires (2) exploitgsmkeyloggerraspberrysnifferteensywifi Rassurez-vous, il ne va pas s’agir de menacer vos utilisateurs au fer à souder afin qu’ils cessent de cliquer sur n’importe quoi ! Mais en tant que professionnel de la SSI vous connaissez depuis longtemps le danger que représente tout matériel connecté à un ordinateur. De la clé USB promotionnelle au chargeur électrique, en passant par la souris offerte lors de ce dernier voyage à l’étranger… Hélas vous êtes aussi bien conscient du regard mi-amusé mi-désespéré que vous lancent les autres salariés de l’entreprise, et parfois même ses dirigeants, lorsque vous tentez de leur expliquer ces risques. C’est pourquoi rien ne vaut une démonstration en live dans le cadre d’une séance de sensibilisation. Bien entendu, vous pouvez tenter d’acheter pour cela un vulgaire keylogger matériel. Mais outre le fait que la vente en soit interdite vous ne pourriez illustrer que le risque d’interception des frappes clavier, mais pas celui de l’exécution de code malveillant, d’installation d’une backdoor, d’exfiltration de données via la 3G ou de rebond sur le réseau interne. Il existe bien sûr d’autres options : faire vos emplettes chez Gamma Group ou Hacking Team si vous travaillez pour un quelconque gouvernement, par exemple. Ou encore embaucher Arnaud Malard si vous souhaitez démontrer des attaques complexes via des connexions Firewire, PCMCIA ou ExpressCard. Mais pour être vraiment complet, généraliste, simple comme de l’USB et en prime s’amuser, il faudra trouver autre chose… Entrent en scène deux outils non seulement parfaitement légaux à l’achat, mais également totalement génériques qui vont vous permettre d’illustrer à loisir de nombreuses attaques tout en démontrant la facilité avec laquelle un pirate pourrait les reproduire. Le tout pour moins d’une centaine d’euros. Il s’agit d’un micro-contrôleur de type Teensy (ou Arduino) et du nano-ordinateur Rasperry Pi. Il n’y a pas de secret ici : les deux sont connus depuis longtemps et très appréciés des consultants chargés de mener des tests d’intrusion (nous vous en avons déjà parlé indirectement dans nos colonnes en 2012). Ils peuvent être utilisés de manière indépendante, ayant chacun leur spécificité, ou combinés pour des scénarios d’attaque beaucoup plus inventifs. Teensy Le Teensy est un micro-controleur programmable depuis votre ordinateur, en C pour les barbus et via l’interface de développement Arduino pour le reste du monde, qui propose un langage très simple inspiré de celui de Wiring. Un Teensy permet de contrôler une infinité de capteurs et d’émetteurs (température, infrarouge, lumière visible, son, pression, GPS, GSM, etc…). Les possibilités sont infinies. Toutefois la caractéristique principale du micro-controleur Teensy dans le cadre d’un projet de sensibilisation est de pouvoir se faire passer de manière transparente pour un clavier ou une souris USB. Sous Windows et MacOS X il sera reconnu automatiquement sans nécessiter l’installation d’un pilote de périphérique, exactement comme n’importe quel clavier / souris du commerce. Selon le programme chargé dans le micro-controleur (et que vous devrez donc créer vous-même), ce dernier une fois connecté pourra simuler n’importe quelle frappe clavier exactement comme si l’utilisateur l’avait entrée lui-même. Le plus souvent il s’agira d’aller télécharger un interpreteur Metasploit afin de faciliter l’exploitation d’autres vulnérabilités locales, mais tout les scénarios sont envisageables, du plus simple (ouvrir un port en écoute via Netcat) au plus complexe (ouvrir un document texte pour y « taper » le code d’un script pré-enregistré et l’exécuter). Evidemment dans le cas d’une attaque réelle si l’utilisateur est présent au moment de connecter le Teensy (déguisé en souris promotionnelle par exemple plutôt que branché directement par l’attaquant) les opérations pourront être maquillées en « installation de drivers », par exemple. La plupart des utilisateurs ne se méfiera probablement pas d’une fenêtre de terminal qui s’ouvre et de texte qui défile pendant quelques secondes. A fortiori si les mots « nouveau périphérique » sont astucieusement saupoudrés de temps à autre (et c’est bien là le problème que cette démonstration tentera de résoudre !) Le Teensy est suffisamment petit pour être dissimulé dans une souris, un clavier, un chargeur ou un quelconque périphérique USB et il ne nécessite pas d’alimentation électrique dédiée (il utilise celle du port USB). Enfin, cerise sur le gâteau : vous n’aurez pas besoin d’apprendre la soudure pour vos essais car le Teensy fonctionne parfaitement sur une planche de prototypage sans soudure (une breadboard), à condition d’en commander la version « Pins ». Un Teensy dissimulé dans une souris piégée Rasperry Pi Le Rasperry Pi est un ordinateur complet qui tient dans le creux de la main. Il dispose d’entrées clavier / souris USB, de deux sorties écran (RCA et HDMI), d’un port Ethernet, supporte OpenGL et fonctionne sous Linux. Bref, c’est un véritable ordinateur… minuscule ! Comme le Teensy, il s’agit d’un merveilleux outil de bricolage et de découverte pour les geeks, mais aussi d’un allié précieux pour les consultants en sécurité. Dans le cadre d’un programme de sensibilisation le Rasperry Pi pourra être utilisé pour démontrer ce qui se passe lorsqu’un étranger parvient à accéder à une prise Ethernet dans l’entreprise (dans une salle de réunion, par exemple, mais aussi via le photocopieur). Une fois connecté son système d’exploitation Linux lui permet d’exécuter la quasi-totalité des outils de pentest connus, et bien sûr tout script maison. Pour une connectivité étendue il est également possible d’y associer une mini-carte Wifi de la taille d’un ongle, permettant ainsi au Rasperry d’explorer les points d’accès alentours, et même une carte 3G / GPRS (la même que pour une carte Arduino) lui permettant de disposer d’un canal de communication totalement libre pour l’exfiltration des données. Un tel outil aura le plus d’impact auprès d’un VIP, par exemple, à qui l’on pourra présenter l’objet et lui montrer par exemple comment une fois branché derrière le photocopieur au bout du couloir il parvient « comme par magie » à récupérer les documents dont on vient de lancer l’impression depuis son poste de direction. Succès assuré. En outre, la présentation d’un tel équipement en séance de groupe pourra aider les collaborateurs à donner l’alerte s’ils découvrent un système similaire connecté dans l’entreprise. Teensy + Rasperry Pi L’association des capacités de pilotage de capteurs physiques du Teensy aux capacités de traitement du Rasperry Pi ouvre de nouveaux horizons dont la seule limite est votre imagination. A titre d’exemple et afin de marquer les esprits dans le cadre d’une séance de sensibilisation on pourra par exemple montrer comment un Teensy équipé de capteurs de lumière et de son permet à un Rasperry Pi clandestin de ne lancer des attaques que lorsque la pièce est calme et plongée dans l’obscurité. Et encore une fois, le matériel nécessaire coûte moins d’une centaine d’euros et est à la portée de n’importe quel geek un peu bricoleur. Soyez créatifs ! Au delà de leur utilité dans le cadre de vos programmes de sensibilisation à la SSI ces deux outils sont avant tout de merveilleux supports à la créativité du geek. A une époque où la majorité des utilisateurs ignorent totalement ce qui se passe sous le capot de leurs iPhone ou de leur PC, s’amuser à programmer un micro-controleur est une révélation jouissive. Cela permet des créations et des explorations sans limite : visualiser les informations envoyées par une télécommande infrarouge et les rejouer (non, pas forcément pour éteindre les téléviseurs…), lire les données émises par une carte sans contact telle que votre badge d’entreprise, découvrir ce qui se cache dans la piste magnétique de votre carte de cantine ou encore automatiser la mesure de température de votre congélateur avec envoi d’une alerte SMS en cas de dégel… Et même en matière de sécurité, les applications originales ne manquent pas : le Teensy a ainsi pu être utilisé (grâce à sa capacité à émuler un clavier USB) pour casser la protection d’un keylogger matériel découvert durant un audit, pour fabriquer un gestionnaire de mots de passe hardware (que vous pourrez découvrir à l’occasion de la prochaine conférence ST’Hack) et des ingénieurs particulièrement ingénieux l’ont même utilisé pour visualiser l’activité des logs de Splunk grâce à des LED de couleur… Alors n’hésitez pas… lancez-vous ! Attention cependant : si vous décidez de concevoir un keylogger ou d’utiliser un système destiné à intercepter des communications électroniques, assurez-vous de n’utiliser ces derniers que dans le cadre d’un programme de sensibilisation légitime et sur du matériel de test (pas d’interception des courriers de collaborateurs sans leur accord, pas d’installation du keylogger sur autre chose que votre PC). La loi dispose en effet qu’est interdite « la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils ou de dispositifs techniques de nature à permettre la réalisation d’opérations pouvant [permettre] d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions« . Bref, pas de keylogger. Alors certes le texte mentionne cependant la notion de mauvaise foi, ce qui ne sera pas votre cas. Mais dans le doute mieux vaut parfaitement documenter la préparation de votre séance de sensibilisation, obtenir l’accord des intéressés, si vous le pouvez en prévoir la possibilité dans votre charte informatique et – si vous utilisez par exemple un Teensy pour créer un keylogger matériel – ne pas le conserver en l’état après votre séance de sensibilisation (effacez le programme que vous y aurez chargé). Ces précautions peuvent paraitre excessives, d’autant que malgré le texte la situation sur le terrain peut encore sembler floue, notamment pour ce qui concerne les professionnels et la sensibilisation (la CNIL mentionne bien des exceptions) et ce sont finalement les jurisprudences à venir qui permettront d’y voir plus clair. Mais autant éviter de faire partie de ces dernières ! Pour le reste… amusez-vous ! Remerciements : Un grand merci aux twitters, juristes et avocats, qui ont bien voulu répondre à mes interrogations au sujet de la légalité des keyloggers matériels : @GaranceMathias @drambaldini @OrianneGilbert @sofinha @Tris_Acatrinei @MounierIsabelle Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!