Un développeur propose de se tourner vers la désauthentification WiFi

https://securite.developpez.com/actu/289160/Un-developpeur-propose-de-se-tourner-vers-la-desauthentification-WiFi-pour-empecher-les-enregistrements-parfois-indiscrets-des-cameras-connectees-comme-Ring/

Matthew Garrett, né à Galway (Irlande), est un développeur principalement connu pour son implication dans le mouvement du logiciel libre. Il est notamment un contributeur majeur du noyau Linux, de GNOME, et des distributions Debian, Ubuntu et Red Hat. Il a reçu en 2013 le prix du logiciel libre pour son travail sur Secure Boot, UEFI, et le noyau Linux.

« J’habite dans un grand complexe d’appartements (c’est littéralement un gros pâté de maisons), donc je passe un temps disproportionné à marcher dans les couloirs. Récemment, un de mes voisins a installé une sonnette sans fil Ring. Par défaut, celles-ci sont activées par le mouvement (et le processus de désactivation de la détection de mouvement est loin d’être évident), et si le propriétaire souscrit à un plan approprié, ces enregistrements sont stockés dans le cloud. Je ne suis pas très enthousiaste à l’idée de voir mes conversations être enregistrées pendant que je passe devant la porte de quelqu’un, j’ai donc décidé d’examiner la sécurité de ces appareils ».

Ring est une startup d’origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l’audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l’année dernière pour un montant de 1 milliard de dollars.

« Après un passage sur Amazon, j’ai fait l’acquisition d’un Ring Video Doorbell 2 ™ remis à neuf que j’ai posé sur mon bureau. Le démolir a révélé qu’il se sert d’un TI SoC optimisé pour ce type d’application, lié à un DSP qui fait probablement des choses comme la détection de mouvement. L’appareil passe la plupart de son temps dans un état de veille où il ne génère aucune activité réseau, donc à chaque réveil, il doit se réassocier au réseau sans fil et commencer à diffuser des données ».

Un DSP (de l’anglais « Digital Signal Processor », qu’on pourrait traduire par « processeur de signal numérique » ou « traitement numérique de signal ») est un microprocesseur optimisé pour exécuter des applications de traitement numérique du signal (filtrage,extraction de signaux, etc.) le plus rapidement possible. Les DSP sont utilisés dans la plupart des applications du traitement numérique du signal en temps réel. On les trouve dans les modems (modem RTC, modem ADSL), les téléphones mobiles, les appareils multimédias (lecteur MP3), les récepteurs GPS… Ils sont également utilisés dans des systèmes vidéo, les chaînes de traitement de son, partout où l’on reçoit un signal complexe que l’on doit modifier à l’aide du filtrage.

« Nous avons donc un appareil silencieux et indétectable jusqu’à ce qu’il commence à vous enregistrer, ce qui n’est pas un bon point de départ. Mais heureusement, le wifi a quelques choix de conception intéressants, ce qui signifie que nous pouvons toujours faire quelque chose. Le premier est que même sur un réseau chiffré, les en-têtes de paquets ne sont pas chiffrés et contiennent l’adresse du point d’accès et le périphérique qui communique. Cela signifie qu’il est possible de simplement vider le trafic flottant et de constituer une collection d’adresses de périphériques. Les plages d’adresses sont allouées par l’IEEE, il est donc possible de mapper les adresses que vous voyez aux fabricants et d’avoir une idée de ce qui est réellement sur le réseau (le Ring Video Doorbell 2 utilise uniquement des adresses de la gamme TI plutôt que tout ce qui est spécifique à Ring, malheureusement) même si vous ne pouvez pas voir ce qu’ils transmettent réellement. La seconde est que les différentes trames de gestion ne sont pas chiffrées et peuvent donc être truquées même si vous ne disposez pas des informations d’identification réseau.

« Le plus intéressant ici est le bloc de données de désauthentification que les points d’accès peuvent utiliser pour dire aux clients qu’ils ne sont plus les bienvenus. Ceux-ci peuvent être envoyés pour diverses raisons, notamment l’épuisement des ressources ou l’échec de l’authentification. Et, par défaut, ils ne sont absolument pas protégés. N’importe qui peut injecter un tel bloc de données dans votre réseau et faire croire aux clients qu’ils ne sont plus autorisés à utiliser le réseau, auquel cas ils devront passer par un nouveau cycle d’authentification et pendant ce temps, ils ne sont pas en mesure d’envoyer d’autres paquets ».

Une attaque de désauthentification Wi-Fi est un type d’attaque par déni de service qui cible la communication entre un utilisateur et un point d’accès sans fil Wi-Fi. La désauthentification agit de manière unique. Le protocole IEEE 802.11 (Wi-Fi) contient la disposition pour un bloc de données de désauthentification. L’envoi de ce bloc de données du point d’accès à une station est appelé « technique sanctionnée pour informer une station non autorisée qu’elle a été déconnectée du réseau ».

Un attaquant peut envoyer un bloc de données de désauthentification à tout moment à un point d’accès sans fil, avec une adresse usurpée pour la victime. Le protocole ne nécessite aucun chiffrement pour ce bloc de données, même lorsque la session a été établie avec Wired Equivalent Privacy (WEP) pour la confidentialité des données, et l’attaquant n’a besoin que de connaître l’adresse MAC de la victime, qui est disponible en clair via le reniflement du réseau sans fil .

« Ainsi, l’attaque consiste simplement à surveiller le réseau pour tous les appareils qui tombent dans la plage d’adresses que vous souhaitez cibler, puis à commencer immédiatement à leur tirer des données de désauthentification dès que vous en voyez un. J’ai piraté airodump-ng pour ignorer tous les clients qui ne ressemblaient pas à un Ring, puis j’ai collé le code de aireplay-ng pour envoyer des paquets de désauthentification une fois qu’il voyait un tel client. Le problème ici est que les cartes wifi ne peuvent être réglées que sur une fréquence à la fois, donc à moins que vous ne connaissiez le canal sur lequel votre cible potentielle est activée, vous devez continuer à sauter entre les fréquences tout en recherchant une cible - et cela signifie qu’une cible peut potentiellement déclencher une notification pendant que vous regardez d’autres fréquences.

« Mais même avec cette réserve, cela semble fonctionner de manière raisonnablement fiable. Je peux appuyer sur le bouton de mon Ring, le voir apparaître dans mon code piraté et voir mon téléphone ne recevoir aucune notification push. Même s’il reçoit une notification, la sonnette n’est plus accessible au moment où je réponds.

« Il y a deux façons d’éviter cette attaque. La première consiste à utiliser 802.11w qui protège les blocs de données de gestion. Beaucoup de matériel le supporte, mais il est généralement désactivé par défaut. La seconde consiste à ignorer les blocs de données de désauthentification en premier lieu, ce qui est une violation des spécifications, mais vous construisez également déjà un appareil qui existe pour enregistrer les étrangers se livrant à une gamme d’activités juridiques, donc prêter attention aux normes sociales n’est clairement pas une priorité dans tous les cas.

« Enfin, rien de tout cela n’est même légèrement nouveau. Une présentation de Def Con en 2016 a couvert cela, démontrant que les caméras Nest pouvaient être bloquées de la même manière. L’industrie ne semble pas en avoir tiré les leçons ».

Un développeur propose de se tourner vers la désauthentification WiFi
Pour empêcher les enregistrements parfois indiscrets des caméras connectées comme Ring
Le 29 décembre 2019 à 07:16, par Stéphane le calme0 commentaire
73PARTAGES
Voter pour 11 Voter contre 0
Matthew Garrett, né à Galway (Irlande), est un développeur principalement connu pour son implication dans le mouvement du logiciel libre. Il est notamment un contributeur majeur du noyau Linux, de GNOME, et des distributions Debian, Ubuntu et Red Hat. Il a reçu en 2013 le prix du logiciel libre pour son travail sur Secure Boot, UEFI, et le noyau Linux.

« J’habite dans un grand complexe d’appartements (c’est littéralement un gros pâté de maisons), donc je passe un temps disproportionné à marcher dans les couloirs. Récemment, un de mes voisins a installé une sonnette sans fil Ring. Par défaut, celles-ci sont activées par le mouvement (et le processus de désactivation de la détection de mouvement est loin d’être évident), et si le propriétaire souscrit à un plan approprié, ces enregistrements sont stockés dans le cloud. Je ne suis pas très enthousiaste à l’idée de voir mes conversations être enregistrées pendant que je passe devant la porte de quelqu’un, j’ai donc décidé d’examiner la sécurité de ces appareils ».

Ring est une startup d’origine ukrainienne spécialisée dans la sécurité à domicile qui vend des sonnettes permettant de capturer de la vidéo et de l’audio. Les clips peuvent être diffusés sur les smartphones et autres appareils, tandis que la sonnette permet même aux propriétaires de bavarder à distance avec ceux qui se tiennent à leur porte. Amazon a racheté la société l’année dernière pour un montant de 1 milliard de dollars.

« Après un passage sur Amazon, j’ai fait l’acquisition d’un Ring Video Doorbell 2 ™ remis à neuf que j’ai posé sur mon bureau. Le démolir a révélé qu’il se sert d’un TI SoC optimisé pour ce type d’application, lié à un DSP qui fait probablement des choses comme la détection de mouvement. L’appareil passe la plupart de son temps dans un état de veille où il ne génère aucune activité réseau, donc à chaque réveil, il doit se réassocier au réseau sans fil et commencer à diffuser des données ».

Un DSP (de l’anglais « Digital Signal Processor », qu’on pourrait traduire par « processeur de signal numérique » ou « traitement numérique de signal ») est un microprocesseur optimisé pour exécuter des applications de traitement numérique du signal (filtrage,extraction de signaux, etc.) le plus rapidement possible. Les DSP sont utilisés dans la plupart des applications du traitement numérique du signal en temps réel. On les trouve dans les modems (modem RTC, modem ADSL), les téléphones mobiles, les appareils multimédias (lecteur MP3), les récepteurs GPS… Ils sont également utilisés dans des systèmes vidéo, les chaînes de traitement de son, partout où l’on reçoit un signal complexe que l’on doit modifier à l’aide du filtrage.

« Nous avons donc un appareil silencieux et indétectable jusqu’à ce qu’il commence à vous enregistrer, ce qui n’est pas un bon point de départ. Mais heureusement, le wifi a quelques choix de conception intéressants, ce qui signifie que nous pouvons toujours faire quelque chose. Le premier est que même sur un réseau chiffré, les en-têtes de paquets ne sont pas chiffrés et contiennent l’adresse du point d’accès et le périphérique qui communique. Cela signifie qu’il est possible de simplement vider le trafic flottant et de constituer une collection d’adresses de périphériques. Les plages d’adresses sont allouées par l’IEEE, il est donc possible de mapper les adresses que vous voyez aux fabricants et d’avoir une idée de ce qui est réellement sur le réseau (le Ring Video Doorbell 2 utilise uniquement des adresses de la gamme TI plutôt que tout ce qui est spécifique à Ring, malheureusement) même si vous ne pouvez pas voir ce qu’ils transmettent réellement. La seconde est que les différentes trames de gestion ne sont pas chiffrées et peuvent donc être truquées même si vous ne disposez pas des informations d’identification réseau.

« Le plus intéressant ici est le bloc de données de désauthentification que les points d’accès peuvent utiliser pour dire aux clients qu’ils ne sont plus les bienvenus. Ceux-ci peuvent être envoyés pour diverses raisons, notamment l’épuisement des ressources ou l’échec de l’authentification. Et, par défaut, ils ne sont absolument pas protégés. N’importe qui peut injecter un tel bloc de données dans votre réseau et faire croire aux clients qu’ils ne sont plus autorisés à utiliser le réseau, auquel cas ils devront passer par un nouveau cycle d’authentification et pendant ce temps, ils ne sont pas en mesure d’envoyer d’autres paquets ».

Une attaque de désauthentification Wi-Fi est un type d’attaque par déni de service qui cible la communication entre un utilisateur et un point d’accès sans fil Wi-Fi. La désauthentification agit de manière unique. Le protocole IEEE 802.11 (Wi-Fi) contient la disposition pour un bloc de données de désauthentification. L’envoi de ce bloc de données du point d’accès à une station est appelé « technique sanctionnée pour informer une station non autorisée qu’elle a été déconnectée du réseau ».

Un attaquant peut envoyer un bloc de données de désauthentification à tout moment à un point d’accès sans fil, avec une adresse usurpée pour la victime. Le protocole ne nécessite aucun chiffrement pour ce bloc de données, même lorsque la session a été établie avec Wired Equivalent Privacy (WEP) pour la confidentialité des données, et l’attaquant n’a besoin que de connaître l’adresse MAC de la victime, qui est disponible en clair via le reniflement du réseau sans fil .

« Ainsi, l’attaque consiste simplement à surveiller le réseau pour tous les appareils qui tombent dans la plage d’adresses que vous souhaitez cibler, puis à commencer immédiatement à leur tirer des données de désauthentification dès que vous en voyez un. J’ai piraté airodump-ng pour ignorer tous les clients qui ne ressemblaient pas à un Ring, puis j’ai collé le code de aireplay-ng pour envoyer des paquets de désauthentification une fois qu’il voyait un tel client. Le problème ici est que les cartes wifi ne peuvent être réglées que sur une fréquence à la fois, donc à moins que vous ne connaissiez le canal sur lequel votre cible potentielle est activée, vous devez continuer à sauter entre les fréquences tout en recherchant une cible - et cela signifie qu’une cible peut potentiellement déclencher une notification pendant que vous regardez d’autres fréquences.

« Mais même avec cette réserve, cela semble fonctionner de manière raisonnablement fiable. Je peux appuyer sur le bouton de mon Ring, le voir apparaître dans mon code piraté et voir mon téléphone ne recevoir aucune notification push. Même s’il reçoit une notification, la sonnette n’est plus accessible au moment où je réponds.

« Il y a deux façons d’éviter cette attaque. La première consiste à utiliser 802.11w qui protège les blocs de données de gestion. Beaucoup de matériel le supporte, mais il est généralement désactivé par défaut. La seconde consiste à ignorer les blocs de données de désauthentification en premier lieu, ce qui est une violation des spécifications, mais vous construisez également déjà un appareil qui existe pour enregistrer les étrangers se livrant à une gamme d’activités juridiques, donc prêter attention aux normes sociales n’est clairement pas une priorité dans tous les cas.

« Enfin, rien de tout cela n’est même légèrement nouveau. Une présentation de Def Con en 2016 a couvert cela, démontrant que les caméras Nest pouvaient être bloquées de la même manière. L’industrie ne semble pas en avoir tiré les leçons ».

Il faut dire que les sonnettes connectées Ring ont fait parler d’elles. Les sonnettes connectées d’Amazon ont été piratées et un chercheur en sécurité de Bitdefender a découvert que 1 562 adresses e-mail et les mots de passe correspondants étaient à vendre sur le dark web depuis ce mardi 17 décembre 2019. En les utilisant, il est possible de se connecter et d’accéder aux caméras. Plus inquiétant encore : les accès permettent aux pirates d’accéder à l’ensemble des appareils connectés reliés aux sonnettes Ring. En se connectant au compte, il est aussi possible de consulter des données personnelles telles que le numéro de téléphone, l’adresse ou les informations de paiement du propriétaire.

Le chercheur à l’origine de cette découverte a présenté le problème à Amazon, qui lui a demandé de ne surtout pas l’exposer à la presse. Aucune réaction officielle n’a été faite quant à la façon dont les données ont pu être exposées. Il est possible que les hackers les aient tout simplement devinées, ou qu’ils aient testé des identifiants récupérés lors de précédentes fuites de données en provenance d’autres services. En effet, le 19 décembre dernier, la presse américaine a rapporté que les informations de connexion de milliers de propriétaires de caméras Ring ont été publiées en ligne de façon frauduleuse. Les informations en questions comprennent 3 672 adresses e-mail, des mots de passe, des fuseaux horaires, et même les noms donnés aux caméras Ring par leur propriétaire comme « cuisine » ou « porte d’entrée ».

Quoi qu’il en soit, dans un recours collectif proposé jeudi, un utilisateur du nom de John Baker Orange a déclaré qu’un hacker avait récemment accédé à sa caméra Ring alors que ses enfants, âgés de 7, 9 et 10 ans, jouaient au basket-ball dans l’allée, et grâce à son système de haut-parleurs les a encouragés à se rapprocher de l’appareil photo.

Orange, qui a déboursé 249 $ pour faire l’acquisition de son appareil photo en juillet, a déclaré que les caméras ne fonctionnent que lorsqu’elles sont connectées à Internet et qu’elles sont « fatalement défectueuses », car elles ne protègent pas contre les cyberattaques, malgré les assurances de Ring qui donnait comme arguments la « tranquillité d’esprit » et la « sécurité intelligente ici, là, partout ».

La plainte déposée devant le tribunal fédéral de Los Angeles demande des dommages non spécifiés à Ring et à Amazon basée à Seattle, ainsi qu’une meilleure sécurité pour les caméras Ring nouvelles et existantes.