[ad_1]

Les conférences sur la sécurité sont un excellent endroit pour découvrir les dernières astuces, outils et exploits de piratage, mais elles nous rappellent également des éléments importants qui se sont révélés piratables les années précédentes, mais qui n’ont jamais vraiment été corrigés. Peut-être le meilleur exemple de cela à l’assemblée annuelle de la semaine dernière DefCon conférence sur la sécurité à Las Vegas est venu des pirates qui se sont appuyés sur des recherches publiées pour la première fois en 2010 pour montrer à quel point il est encore trivial de lire, de modifier et de cloner la plupart Cartes HID — les cartes « à puce » rectangulaires en plastique blanc que les organisations du monde entier distribuent aux employés pour les badges de sécurité.

Carte de proximité HID iClass.

Carte de proximité HID iClass.

Il y a près de quatre ans, des chercheurs du Congrès Chaos Communication (CCC), une conférence sur la sécurité à Berlin, a publié un document (PDF) démontrant une grave vulnérabilité des cartes à puce fabriquées par la société basée à Austin, au Texas CACHÉ mondial, de loin le plus grand fabricant de ces appareils. Les chercheurs du CCC ont montré que le lecteur de carte vendu par HID pour valider les données stockées sur sa toute nouvelle gamme de Cartes de proximité iClass inclut la clé de cryptage principale nécessaire pour lire les données sur ces cartes.

Plus important encore, les chercheurs ont prouvé que toute personne ayant un accès physique à l’un de ces lecteurs pouvait extraire la clé de cryptage et l’utiliser pour lire, cloner et modifier les données stockées sur n’importe quelle carte HID conçue pour fonctionner avec ces lecteurs.

À l’époque, HID a répondu en modifiant les futurs modèles de lecteurs de cartes afin que le micrologiciel stocké à l’intérieur ne puisse pas être si facilement vidé ou lu (c’est-à-dire que la société a supprimé l’interface série externe sur les nouveaux lecteurs). Mais selon les chercheurs, HID n’a jamais changé la clé de cryptage principale de ses lecteursprobablement parce que cela obligerait les clients utilisant le produit à modifier ou à remplacer tous leurs lecteurs et cartes – une proposition coûteuse à tous points de vue compte tenu de l’énorme part de marché de HID.

Malheureusement, cela signifie que toute personne ayant un minimum de compétences en piratage de matériel, un eBay compte, et un budget de moins de 500 $ peut récupérer une copie de la clé de cryptage principale et créer un système portable pour lire et cloner des cartes HID. C’était du moins l’essentiel de la conférence DefCon donnée la semaine dernière par les co-fondateurs de Lares Consultingune entreprise qui est embauchée pour tester la sécurité physique et réseau des clients.

Lares’ Josué Perrymon et Eric Smith a démontré comment un lecteur de parking HID capable de lire des cartes jusqu’à un mètre de distance a été acheté sur eBay et modifié pour tenir dans un sac à dos commun. Portant ce sac à dos, un attaquant cherchant à accéder à un bâtiment protégé par les cartes iClass de HID pourrait obtenir cet accès simplement en s’approchant d’un employé de l’organisation ciblée et en demandant son chemin, une lumière de cigarette ou un autre prétexte.

Le matériel de clonage de cartes tient dans une mallette.  Image : Lares Consulting.

Le matériel de clonage de cartes tient dans une mallette. Image : Lares Consulting.

Perrymon et Smith ont noté que, grâce aux outils logiciels disponibles en ligne, il est facile de prendre les données de carte recueillies par le lecteur mobile et de les encoder sur une nouvelle carte (également largement disponible sur eBay pour quelques centimes pièce). Pire encore, l’attaquant est alors également en mesure d’accéder à des zones de l’installation ciblée qui sont interdites au propriétaire légitime de la carte qui a été clonée, car les uns et les zéros stockés sur la carte qui spécifient ce niveau d’accès peuvent également être modifié.

Smith a déclaré que lui et Perrymon voulaient relancer le problème à DefCon pour sensibiliser à une vulnérabilité généralisée en matière de sécurité physique. HID n’a pas répondu aux multiples demandes de commentaires.

« Jusqu’à récemment, personne n’a vraiment démontré correctement quel est le risque pour une entreprise ici », a déclaré Smith. « Les installations SCADA, les hôpitaux, les aéroports… beaucoup d’entre eux utilisent des cartes HID parce que HID est le leader dans ce domaine, mais ils utilisent une technologie compromise. Votre carte n’a peut-être pas accès au centre de données ou aux RH, mais je peux accéder à ces endroits au sein de votre organisation simplement en m’approchant d’un employé qui se tient à l’extérieur du bâtiment et en l’éteignant.

Les organisations vulnérables ont plusieurs options. Probablement le moins cher implique l’utilisation d’un certain type de pochette pour les cartes à puce. La technologie de communication sans fil que ces cartes utilisent pour transmettre des données – appelée identification par radiofréquence ou RFID – peut être bloquée lorsqu’elle n’est pas utilisée en stockant les cartes-clés dans une pochette ou un portefeuille spécial anti-RFID. Bien sûr, les organisations peuvent remplacer leurs lecteurs par une technologie plus récente (peut-être non HID ?) Et/ou ajouter des composants biométriques aux lecteurs de cartes, mais ces options pourraient rapidement devenir coûteuses.

Une copie des diapositives de la conférence DefCon de Perrymon et Smith est disponible ici.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *