Un chercheur réussit à pirater une puce RFID
placée sous la peau
Edition du 26/03/2007 - par Dirk Basyn
http://www.reseaux-telecoms.net/actualites/lire-un-chercheur-reussit-a-pirater-une-puce-rfid-placee-sous-la-peau-15862.html
Les puces RFID ne seraient pas sûres, estime Adam Laurie,
un chercheur indépendant britannique spécialisé
dans les systèmes de sécurité. C'est d'ailleurs
ce qu'il a démontré lors de la ShmooCon Convention
de Washington en réussissant à pirater la puce RFID
qu'un membre de l'assistance s'était fait poser sous la peau.
Ce dernier utilisait la puce en question pour déverrouiller
son PC portable. Bien entendu, il n'a fallu que quelques minutes
à Adam Laurie pour accéder au contenu de l'ordinateur
et pour en fournir les identifiants, mot de passe compris, à
l'assemblée. Il désirait ainsi mettre en garde certains
responsables scolaires californiens qui souhaitent placer des puces
sous la peau de leurs étudiants.
La ShmooCon Convention peut être considérée
comme la grand-messe hétéroclite et conviviale du
piratage de la côte Est. On y croisait ce week-end aussi bien
Johnny Long, fameux hacker responsable d'attaques violentes contre
le site Google, qu'un spécialiste de la sécurité
du gouvernement fédéral ou encore des chercheurs de
Symantec.
Un virus dans les puces RFID
par Jerome Saiz, le 17/3/2006 à 12:41
http://www.lesnouvelles.net/articles/virus/794-virus-rfid.html
Inoffensives, les puces RFID ?
Pas si sûr : selon des chercheurs des Pays-Bas, elles peuvent
facilement être détournées afin de propager
des codes malicieux. Du cheval de Troie au ver autonome, les attaques
sont multiples et les conséquences sérieuses pour
les systèmes de gestion. Effacement de la base de données,
infection de l'application métier : les micro-menaces peuvent
faire de maxi-dégâts.
Virus et parasites
La question de la sécurité de la technologie RFID
ne s'était jamais réellement posée en terme
de codes malicieux. Après tout, une telle puce ne fait que
s'éveiller lorsqu'elle passe à proximité d'un
lecteur ad-hoc et renvoyer un identifiant quelconque. Ce dernier
est alors transmis à un middleware tout aussi quelconque,
puis inséré dans une base de données et la
vie continue.
Mais pas pour une poignée de chercheurs de l'université
de Vrije, à Amsterdam. En bon hackers, être en mesure
de décider arbitrairement de ce qui sera passé à
une base de données inconnue leur a donné des idées...
d'injection de code, bien sûr !
Et voilà nos chercheurs partis pour expérimenter avec
des puces RFID. Leur faible capacité de stockage ne permet
pas, bien sûr, de se lancer dans l'écriture de codes
très ambitieux. En revanche, les informations stockées
dans une puce peuvent tout à fait être modifiées
d'une manière inattendue afin de perturber le système
de lecture. Et c'est bien là le fond de commerce historique
des hackers en tout genre : susciter l'imprévu afin de déstabiliser
une application un peut trop rigide.
Injection SQL et Cross Site Scripting
Première méthode d'attaque : présumer que
le contenu de la puce RFID sera utilisé sans validation.
A commencer par une requête SQL. On retombe ici dans une attaque
d'injection SQL très classique : en ajoutant une seconde
requête à celle attendue, il devient possible de se
livrer à toute sorte de jeux dangereux, de l'exécution
de code grâce à la procédure stockée
xp_cmdshell de SQL Server, jusqu'à l'effacement de la base
de données si les droits y sont mal gérés.
Mais au delà du SQL, toute sorte d'injections sont possibles,
surtout si le système de gestion offre une interface web.
Les chercheurs proposent des exemples qui permettent de référencer
une image WMF piégée stockée sur un serveur
distant ou d'appeler du code exécutable via une directive
SSI ou par une connexion tftp (disponible par défaut sous
Windows, par exemple). Tout ça en quelques centaines d'octets.
Propagation de code malicieux
Bien entendu, les exemples cités jusqu'à présent
tiennent plus du cheval de Troie que du virus ou du ver, car il
n'y a pas de reproduction. Qu'à cela ne tienne : nos chercheurs
détaillent l'utilisation de techniques d'écriture
du code source par le code lui-même ("Quines").
Il devient alors possible de créer une requête SQL
capable d'écrire de nouvelles requêtes... et ainsi
de se répliquer !
Par ailleurs, les méthodes de téléchargement
du code via tftp sont déjà utilisées par de
nombreux vers sur Internet et donc parfaitement maîtrisées
par les auteurs de code malicieux.
Enfin, loin de n'être qu'une vue de l'esprit, les universitaires
offrent plusieurs exemples de code quasi-fonctionnels, notamment
en ce qui concerne l'auto-réplication à l'aide de
requêtes SQL croisées. De quoi réveiller les
fournisseurs d'applications basées sur RFID !
Bien sûr, toutes les attaques démontrées ici
sont parfaitement connues dans le monde du web, et l'on sait parfaitement
s'en protéger. La nouveauté est simplement leur application
à une puce RFID, que personne jusqu'à présent
n'avait considérée comme le vecteur potentiel de données
"sales".
Un peu à la manière de ces développeurs web
qui oublient qu'un cookie, aussi, permet de fournir des contenus
arbitraires à son application.
|