Le M2M, prochaine cible des pirates ?
Techniquement, il serait audacieux d’affirmer que les systèmes M2M n’ont jamais attiré l’intérêt des pirates informatiques. De fait, des systèmes connectés tels que les scada du monde industriel l’ont été. Mais les systèmes M2M exploitant des modules de communication sans fil GSM/3G pourraient être la cible d’attaques d’un type nouveau.
Qui penserait - à prioi - à utiliser l’interface radio de modules GSM/3G - voire demain, 4G - pour pirater des systèmes communicants ? Le chercheur Ralf-Philipp Weinmann, notamment. Lors d’une présentation, la semaine passée, sur l’événement Hackito Ergo Sum, celui-ci a ainsi la démonstration d’attaques sur des smartphones, via la couche dite du baseband, celle qui gère les interactions du terminal avec le réseau de téléphonie mobile. Pour lui, le problème se résume à une considération simple : «le mobile fait à priori confiance au réseau.» Et de préciser sans rentrer dans les détails que, certes, «LTE prévoit un mécanisme d’authentification mais on commence à explorer les possibilités et il devrait y avoir pas mal d’opportunités.» Sa démonstration repose sur une stations de base GSM virtuelle, pilotée avec le logiciel OpenBTS dans une machine virtuelle, sur son propre ordinateur personnel. OpenBTS est là configuré pour se passer pour une station de base légitime du réseau sur lequel le smartphone visé est connecté. En un clic, Ralf-Philipp Weinmann lance un script : la déconnexion du réseau nominal est immédiate, suivi d’une reconnexion sur la fausse station de base. Et le chercheur d’installer un exploit sur le terminal permettant de le faire prendre la ligne automatiquement au cas d’appel entrant.
La démonstration est simple et efficace. Et si le détournement reste limité pour l’exemple, Ralf-Philipp Weinmann précise «que l’on utiliser des charges logicielles plus complexes jusqu’à prendre le contrôle de la partie modem du téléphone.» Pour le chercheur, des contre-mesures existent et s’il le baseband présente de nombreux bugs exploitables, il n’est pas impossible de les corriger. Mais... «les OEMS sont lents à intégrer les correctifs de sécurité et souvent ne voient pas les bénéfices de procéder à une mise à jour.» Il faut dire que la situation peut-être complexe : «par exemple, pour le Galaxy SII de Samsung, je connais au moins si versions matériellement différentes.»
Remonter à la couche applicative
Mais toute la difficulté après, et même tout l’intérêt, est de remonter à la couche applicative - la charge utile du terminal, peut-on dire, là où se trouvent les données et les capacités logicielles potentiellement les plus sensibles. Ralf-Philipp Weinmann estime que «c’est plus difficile en pratique qu’en théorie, pour certaines plateformes.» Par exemple, sur une plateforme ARM, «la difficulté consiste à passer en mode super-utilisateur.» Mais ce co-auteur du «iOS hacker’s handbook», qui doit sortir prochainement en librairie, estime que cela reste possible. Et s’il souligne que «l’interface entre le CPU du baseband et le processeur applicatif est bien plus complexe que l’on ne pourrait s’y attendre,» il s’inquiète de trouver beaucoup d’information sur des blogs chinois «où l’on discute de l’architecture des baseband avec beaucoup de détails. Et je n’arrive pas à savoir s’il s’agit d’ingénieurs travaillant chez des OEM ou de simples passionnés.»
Mais quelles implications des travaux de ce type pourraient-ils avoir sur la sécurité des systèmes M2M ? Tout d’abord, comme le relève Ralf-Philipp Weinmann lors d’un échange avec la rédaction à l’issue de sa présentation, certains de ces systèmes partagent un même processeur pour la couche applicative et pour l’interface sans fil - «le risque est là plus grand.» Toutefois, même là, il existe pour lui «des moyens de faire les choses de manière sûre.» Mais l’on en revient à la responsabilité des OEM. En attendant, le chercheur affirme avoir déjà testé des mobiles sans fil destinés au M2M et relève qu’ils «sont peu sécurisés.»