Sécurité IT : des souris (sans fil) et des hommes

Les claviers et souris sans fil, un maillon faible de la sécurité informatique ?

On est tenté de répondre par l’affirmative avec l’exemple MouseJack, du nom de cette faille découverte par Bastille, une start-up américaine spécialisée dans la protection des systèmes IoT en entreprise.

Dell, Gigabyte, HP, Lenovo, Logitech, Microsoft… La plupart des périphériques de saisie et de pointage testés sont touchés par cette vulnérabilité. Leur point commun : aucun d’entre eux ne se connecte aux PC et aux Mac en Bluetooth ; ils fonctionnent tous via un récepteur 2,4 GHz ISM (un « dongle », tel qu’illustré ci-contre).

Il y a une raison : alors que la sécurisation des communications Bluetooth répond à des standards d’implémentation bien précis, on ne peut pas en dire autant pour le 2,4 GHz ISM, avec lequel les constructeurs sont beaucoup plus libres de leurs choix.

Assez en tout cas pour ouvrir des brèches dans lesquelles se sont engouffrés les quatre hackers à l’origine de Bastille.

Ils ont investi une quinzaine de dollars dans l’assemblage d’une antenne émettrice utilisée pour détecter les dongles environnants et leur envoyer du code spécialement conçu pour déclencher des frappes clavier.

Avec ou sans chiffrement ?

Dans la pratique, tout n’est pas si simple : la plupart des claviers 2,4 GHz chiffrent les données qu’ils transmettent par ondes radio et ne peuvent ainsi communiquer qu’avec le récepteur qui connaît leur clé de (dé)chiffrement.

Oui, mais voilà : ce mécanisme de chiffrement est rarement appliqué aux communications avec les souris. Si bien que le dongle ne peut pas faire la différence entre les données « légitimes » et celles envoyées par un tiers malveillant pour déclencher des frappes clavier au lieu des mouvements de la souris.

Pour valider sa démonstration, Bastille s’y est repris à plusieurs fois. Dans un premier temps, il a fallu se brancher sur la même fréquence que les dongles, lesquels ont tendance à changer régulièrement de canal de communication pour éviter les interférences avec les autres équipements à 2,4 GHz, dont ceux connectés en Bluetooth.

Les solutions de radio logicielle (« Software-Defined Radio ») ont permis de déblayer le terrain, mais ont rapidement montré leurs limites en matière de réactivité, tout particulièrement à cause de la latence du bus USB.

Bastille s’est alors appuyé sur un projet « reconverti » pour l’occasion : un module Arduino associé à un dongle nRF24L de Nordic Semiconductor, le tout logé dans une manette de NES.

De toutes les façons

Une modification du firmware du nRF24L a permis d’ajouter une fonction d’aspiration de paquets non disponible à l’origine. Suffisant pour détecter les claviers et souris sans fil alentour, puis comprendre leurs protocoles de communication.

Le dispositif fonctionnant sur batterie, il était impensable d’exploiter des amplificateurs. En conséquence, la portée était limitée à 10 m. Elle a finalement été poussée à 100 m grâce au Crazyradio, le dongle auquel est connecté le drone open source Crazyflie. Quelques lignes de code Python ont fait le reste.

Il existe plusieurs manières d’exploiter MouseJack.

En premier lieu, certains dongles ne vérifient pas que le type de paquet reçu correspond bien au périphérique qui l’a envoyé. On peut donc déclencher une frappe clavier tout en prétendant être une souris.

Ensuite, certains dongles n’exploitent tout simplement pas le chiffrement pour le clavier.

Enfin, certains vendeurs intègrent la possibilité d’associer plusieurs périphériques à un même dongle (ou d’associer un même périphérique à plusieurs dongles)… parfois sans intervention de l’utilisateur.

Dès lors, tout est potentiellement accessible sur l’ordinateur de la victime, aussi longtemps que celle-ci ne s’en sert pas activement ; car le pirate ne peut, dans l’absolu pas passer inaperçu.

Cette attaque n’est pas sans rappeler KeySweeper, cet enregistreur de frappe qu’un chercheur en sécurité avait intégré… dans un adaptateur secteur.

Crédit photo : Sergey Nivens – Shutterstock.com