SlideShare une entreprise Scribd logo

Lundi de l'IE - 8 décembre 2014 - Renaud Lifchitz, Oppida - L'environnement sans fil, de plus en plus difficile à protéger

Renaud Lifchitz
Renaud Lifchitz

Cette présentation abordera les problématiques de plus en plus fréquentes de sécurité rencontrées avec la multiplication des technologies radio (Wi-Fi, Bluetooth, 4G…) qui entourent le particulier comme l’entreprise. Elle détaillera quelles sont les principales attaques radio, et présentera de manière très concrète la technologie de radio logicielle, à la fois comme outil d’audit et d’attaque. Elle offrira des perspectives sur le futur des technologies radio et un éclairage sur les mesures qui doivent les entourer. Intervenant : Renaud Lifchitz est un expert français en sécurité informatique ayant une expérience de 9 ans en tant qu’auditeur et formateur, principalement dans le secteur bancaire. Il s’intéresse tout particulièrement à la cryptographie, au développement sécurisé et aux protocoles de communication sans fil. Il a été intervenant dans de nombreuses conférences internationales : CCC 2010 (Allemagne), Hackito Ergo Sum 2010, 2012 et 2014 (Paris), DeepSec 2012 (Autriche), Shakacon 2012 (Etats-Unis), 8dot8 2013 (Chili) et a formé plus de 1800 personnes.

Technologie
1  sur  34
Télécharger pour lire hors ligne
L'environnement sans fil, de plus en plus difficile à protéger Lundi de l’IE – MEDEF IDF 8 décembre 2014 Renaud Lifchitz renaud.lifchitz@oppida.fr
Présentation de l’intervenant • Consultant sécurité senior pour Oppida • Activités principales : – Tests d’intrusion et audits de sécurité – Recherche en sécurité informatique – Formations • Centres d’intérêts : – Sécurité radio – Sécurité des protocoles (authentification, chiffrement, fuites d’information…) – Cryptographie Lundi de l’IE – 8 décembre 2014 2 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Le développement fulgurant des technologies radios 3
Usages radios grand public & professionnels • Contrôle d’accès (badges sans contact) • Ouverture de portes (garage, voiture, …) & interphones • Alarmes sans fil, capteurs domotiques • Drones • Abonnements urbains (cartes Velib’, Autolib, Navigo, …) • Réseaux cellulaires (GSM, téléphonie domestique DECT) • Bureautique sans fil (souris, clavier, casque) • Dispositifs médicaux (pacemakers, pompes à insuline, …) • Dispositifs de navigation (GPS) • Radiopilotage horaire (GSM NITZ, DCF77, …) • Talkies-walkies, radios personnelles, PMR Lundi de l’IE – 8 décembre 2014 4 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Principaux standards radios Standards IEEE – 802.11a/b/g/n (WiFi) – 802.11p (~ DSRC) – 802.15.1 (Bluetooth) – 802.15.4 (ZigBee) Réseaux Cellulaires – GSM900/DCS1800 – DECT – EDGE – UMTS Autres – TETRA – NFC – RFID – 802.16 (WiMax) – LTE Lundi de l’IE – 8 décembre 2014 5 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Attaques radio classiques et contre-mesures 6
Ecoute passive • Simple enregistrement passif à démoduler/décoder pour les protocoles non ou faiblement chiffrés • Exemples : communications analogiques ou numériques en clair, couche MAC Wi-FI, analyse statistique du trafic chiffré WEP, provisionnement OTA en clair des clés ZigBee … • Risques : tous ! • Contres-mesures : – Mécanismes de chiffrement – Etalement spectral et sauts de fréquence étaient réputés fiables, ils ne le sont plus Lundi de l’IE – 8 décembre 2014 7 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Brouillage • Brouillage volontaire : – Emission d’un bruit blanc amplifié • ou brouillage involontaire : – Interférences avec d’autres communications radios – Obstacles physiques (murs, végétation, …) • Risques : déni de service, atteinte à l’intégrité • Contre-mesures : – Étalement de spectre (« spread sprectrum ») – Saut de fréquence (« frequency hopping ») – Pas de contre-mesure miracle… Lundi de l’IE – 8 décembre 2014 8 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Usurpation (« spoofing ») – De nombreux protocoles sont vulnérables à l’usurpation, ne serait-ce parce qu’ils autorisent le rejeu – Exemples : « bips » d’ouverture de portes de garage, demande d’allocation de canal GSM – Risques : tous ! – Contre-mesures : • Mécanismes anti-rejeu (« nonce » cryptographique) • Authentification par challenge Lundi de l’IE – 8 décembre 2014 9 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Un nouvel outil d’audit et d’attaque, la radio logicielle 10
Radio logicielle : principes de fonctionnement • Système de radiocommunication reconfigurable logiciellement (fréquence, modulation et protocole) • En anglais : SDR (« Software Defined Radio ») • Intérêts : ne plus utiliser différents équipements pour différents usages et pouvoir mettre à jour facilement l’implémentation de protocoles • « Radio générique » • En pratique, l’essentiel du traitement du signal se fait sur un PC client (réception de données brutes I/Q) • Secteurs en pleine expansion : radioamateurisme, radio mobile, NASA, militaire, radar et guerre électronique Lundi de l’IE – 8 décembre 2014 11 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : principes de fonctionnement Lundi de l’IE – 8 décembre 2014 12 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : plates-formes matérielles RTL2832U • Chipset Realtek RTL2832U des clés USB pour recevoir la TNT • Caractéristiques théoriques : – Réception seule – 8 bits I/Q – Bande passante : 3,2 MHz à 3,2 MSPS – Plage de fréquences : 50 MHz à 2,2 GHz (Elonics E4000, variable selon modèle) • Environ 15€ • Projet RTL-SDR & périphériques compatibles : http://sdr.osmocom.org/trac/wiki/rtl-sdr Lundi de l’IE – 8 décembre 2014 13 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : plates-formes matérielles HackRF • Projet ouvert de Michael Ossmann (Great Scott Gadgets) • Caractéristiques théoriques : – Réception et émission (half duplex) – 8 bits I/Q – Bande passante : 20 MHz à 20 MSPS – Plage de fréquences : 10 MHz à 6 GHz • Environ 250€ • http://greatscottgadgets.com/hackrf/ Lundi de l’IE – 8 décembre 2014 14 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : plates-formes matérielles USRP • Boitiers et cartes spécialisés commercialisés par Ettus Research (National Instruments) • Caractéristiques théoriques (USRP N210) : – Réception et émission (full duplex) – 14 bits I/Q – Bande passante : 25 MHz à 100 MSPS – Plage de fréquences : 0 MHz à 6 GHz (selon carte fille) • Environ 1500€ (sans carte fille), une des solutions la plus complète et mature • http://www.ettus.com/home Lundi de l’IE – 8 décembre 2014 15 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : plates-formes matérielles Cartes filles USRP Lundi de l’IE – 8 décembre 2014 16 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : environnement logiciel GNU Radio • GNU Radio : – Framework complet open source de développement en radio logicielle – Support de la plupart des périphériques SDR du marché – Composants C++ et Python – Nombreux filtres de traitement du signal – Assistant graphique de conception de circuits SDR : GNU Radio Companion – Projet : http://gnuradio.org/redmine/projects/gnuradio/wiki Lundi de l’IE – 8 décembre 2014 17 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Radio logicielle : environnement logiciel GNU Radio GNU Radio Companion : création d’un récepteur FM logiciel Lundi de l’IE – 8 décembre 2014 18 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Zoom et démonstrations sur la sécurité de quelques protocoles 19
Dispositifs radios domestiques • Beaucoup de dispositifs radios domestiques ne sont pas protégés : objets connectés, alarmes … • Parmi les équipements voix : – Téléphones sans fil domestiques (DECT) faiblement chiffrés ou vulnérables à des attaques de type Man-In-The-Middle : project Dedected – Casques sans fil (téléphonie, TV, radio) rarement chiffrés et utilisant la modulation classique WFM sur une bande ISM (ex.: ~ 860 MHz) Lundi de l’IE – 8 décembre 2014 20 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
DEMONSTRATIONS - Dispositifs radios domestiques – Ecoute de casques sans fil (téléphonie, TV, radio…) – Prise de contrôle d’une « Box » intelligente, capteurs et prises commandées en ZigBee – Désactivation d’une centrale d’alarme Lundi de l’IE – 8 décembre 2014 21 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Dispositifs radios domestiques Ecoute d’un casque sans fil avec… un smartphone Android (SDR Touch) Lundi de l’IE – 8 décembre 2014 22 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation et identification d’avions • Système américain : les avions sont localisés par les tours de contrôle (radars au sol) • Système européen : chaque avion se géolocalise seul et envoie sa position au sol par radio • Protocole ADS-B (Automatic Dependent Surveillance-Broadcast) • Système de diffusion de la position (latitude/longitude), de l’altitude, de la vitesse et du numéro de vol aux stations au sol • Protocole simple sans sécurité, non chiffré Lundi de l’IE – 8 décembre 2014 23 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation et identification d’avions Logiciel dump1090 (https://github.com/antirez/dump1090) Lundi de l’IE – 8 décembre 2014 24 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation et identification d’avions Exportation des données géomatiques en KML et visualisation des trajectoires en 3D avec Google Earth (https://github.com/bistromath/gr-air-modes) Lundi de l’IE – 8 décembre 2014 25 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs • Parcours et écoute sur les 4 bandes GSM (~ 850, 900, 1800, 1900 MHz) • Chaque cellule GSM (BTS) est identifiée par 4 nombres : – MCC: Mobile Country Code – MNC: Mobile Network Code – LAC: Location Area Code – CID: Cell ID • Recensement des ARFCN utilisées (détection d’un pic de fréquence = présence d’une BTS) • Démodulation et décodage des trames de broadcast d’annonce de BTS (numéro de zone LAC et numéro de cellule Cel ID) • Géolocalisation des antennes (par exemple avec Google Maps Geolocation API) Lundi de l’IE – 8 décembre 2014 26 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs • Quelques moyens d’identifier un utilisateur GSM : – Numéro de téléphone (MSISDN) – IMSI (« International Mobile Subscriber Identity ») : numéro d'abonné international unique = MCC (pays) + MNC (réseau) + HLR (h1 h2) + MSIN – CCID : numéro de série de la carte SIM – IMEI : numéro de série du téléphone (*#06#) Lundi de l’IE – 8 décembre 2014 27 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs • Normalement, les IMSI utilisateurs ne doivent peu ou pas transiter en clair sur le réseau : utilisation d'identifiants temporaires (TMSI) • En pratique, les IMSI en clair sont fréquents et nombreux (implémentation du protocole GSM imparfaite, charge importante des équipements, reconnexions fréquentes au réseau, …) • Il est donc facile d'avoir des statistiques précises sur : – Les pays d'origine des utilisateurs – Leur opérateur GSM d'origine – Les réseaux sur lesquels ils sont – Les BTS à lesquelles ils se rattachent – L’activité de signalisation qu’ils engendrent (SMS, appels, …) Lundi de l’IE – 8 décembre 2014 28 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs Projet AirProbe (https://svn.berlin.ccc.de/projects/airprobe/) Lundi de l’IE – 8 décembre 2014 29 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs Projet OsmoGeo de l’auteur (utilise OsmocomBB) : http://code.google.com/p/osmogeo/ Lundi de l’IE – 8 décembre 2014 30 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Géolocalisation d’antennes GSM et d’utilisateurs Projet OsmoGeo de l’auteur (utilise OsmocomBB) : http://code.google.com/p/osmogeo/ Lundi de l’IE – 8 décembre 2014 31 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Perspectives 32
Perspectives • La plupart des protocole radios souffre d’une mauvaise conception : absence de chiffrement, d’authentification, de signature, de mécanismes anti-rejeu et anti-brouillage • Dans l’embarqué, de nombreuses implémentations radios sont vulnérables au fuzzing (déni de service, exécution de code arbitraire !) • Penser à la sécurité dès la conception du protocole, pas après son implémentation ! • Solliciter l’avis d’experts sécurité en amont des projets • Oublier le « time-to-market » et considérer la sécurité comme un réel besoin • Pour l’existant, la sécurisation du périmètre physique est parfois la seule alternative à l’heure actuelle… Lundi de l’IE – 8 décembre 2014 33 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
Merci ! Des questions ? 34 ☛ renaud.lifchitz@oppida.fr

Recommandé

Sigfox workshop
Sigfox workshopSigfox workshop
Sigfox workshopAdrien Chapelet
 
2016 05 iot - apero web
2016 05 iot - apero web2016 05 iot - apero web
2016 05 iot - apero webSylvain Wallez
 
Catalogue Routeurs 2019
Catalogue Routeurs 2019Catalogue Routeurs 2019
Catalogue Routeurs 2019DISTRIMEDIA
 
Présentation workshop IoT ipac design Genève
Présentation workshop IoT ipac design GenèvePrésentation workshop IoT ipac design Genève
Présentation workshop IoT ipac design Genèvezaccio
 
Présentation Capteur Zigbee, Concept et Solutions
Présentation Capteur Zigbee, Concept et SolutionsPrésentation Capteur Zigbee, Concept et Solutions
Présentation Capteur Zigbee, Concept et SolutionsCynapsys It Hotspot
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoTPierre Levesque
 
R&s 10 juin 2015 orange arnaud
R&s 10 juin 2015 orange arnaudR&s 10 juin 2015 orange arnaud
R&s 10 juin 2015 orange arnaudReseauxetservicestpa
 

Recommandé

Sigfox workshop
Sigfox workshopSigfox workshop
Sigfox workshopAdrien Chapelet
 
2016 05 iot - apero web
2016 05 iot - apero web2016 05 iot - apero web
2016 05 iot - apero webSylvain Wallez
 
Catalogue Routeurs 2019
Catalogue Routeurs 2019Catalogue Routeurs 2019
Catalogue Routeurs 2019DISTRIMEDIA
 
Présentation workshop IoT ipac design Genève
Présentation workshop IoT ipac design GenèvePrésentation workshop IoT ipac design Genève
Présentation workshop IoT ipac design Genèvezaccio
 
Présentation Capteur Zigbee, Concept et Solutions
Présentation Capteur Zigbee, Concept et SolutionsPrésentation Capteur Zigbee, Concept et Solutions
Présentation Capteur Zigbee, Concept et SolutionsCynapsys It Hotspot
 
Plaquette ssi
Plaquette ssiPlaquette ssi
Plaquette ssiNtech33
 
Sécurité des IoT
Sécurité des IoTSécurité des IoT
Sécurité des IoTPierre Levesque
 
R&s 10 juin 2015 orange arnaud
R&s 10 juin 2015 orange arnaudR&s 10 juin 2015 orange arnaud
R&s 10 juin 2015 orange arnaudReseauxetservicestpa
 
La RFID en bibliotheque ?
La RFID en bibliotheque ? La RFID en bibliotheque ?
La RFID en bibliotheque ? ADDNB
 
Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010URBANWAVE
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umtsToilha Ali Moindandzé
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umtsGhassen Chamroukhi
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umtsIbra Cisse
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsIEEE 802
 
SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+Passion Radio Amateur
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
Norme NFC - Romain Menetrier PAUG
Norme NFC - Romain Menetrier PAUGNorme NFC - Romain Menetrier PAUG
Norme NFC - Romain Menetrier PAUGParis Android User Group
 
Usrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyesUsrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyes📡 Sebastien Dudek
 
Chap1 cellulaires esprit
Chap1 cellulaires espritChap1 cellulaires esprit
Chap1 cellulaires espritWissem Kriouene
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
sécurité Bluetooth.
sécurité Bluetooth.sécurité Bluetooth.
sécurité Bluetooth.AyoubSIAHMED
 
LA TELEGESTION-7.ppt
LA TELEGESTION-7.pptLA TELEGESTION-7.ppt
LA TELEGESTION-7.pptAhmed Boussoffara
 
Capteurs
CapteursCapteurs
CapteursTestyTesty3
 
Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3Marc Louzir
 
Near Field Communication & Android
Near Field Communication & AndroidNear Field Communication & Android
Near Field Communication & Androidromemore
 
Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...Minnovarc
 
R&s 10 juin 2015 lora franck
R&s 10 juin 2015 lora franckR&s 10 juin 2015 lora franck
R&s 10 juin 2015 lora franckReseauxetservicestpa
 
Rfid Couts Et Materiels
Rfid Couts Et MaterielsRfid Couts Et Materiels
Rfid Couts Et MaterielsADDNB
 

Contenu connexe

Similaire à Lundi de l'IE - 8 décembre 2014 - Renaud Lifchitz, Oppida - L'environnement sans fil, de plus en plus difficile à protéger

La RFID en bibliotheque ?
La RFID en bibliotheque ? La RFID en bibliotheque ?
La RFID en bibliotheque ? ADDNB
 
Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010URBANWAVE
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des ObjetsIEEE 802
 
SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+Passion Radio Amateur
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelWeb à Québec
 
Usrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyesUsrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyes📡 Sebastien Dudek
 
Chap1 cellulaires esprit
Chap1 cellulaires espritChap1 cellulaires esprit
Chap1 cellulaires espritWissem Kriouene
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17Dig-IT
 
sécurité Bluetooth.
sécurité Bluetooth.sécurité Bluetooth.
sécurité Bluetooth.AyoubSIAHMED
 
Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3Marc Louzir
 
Near Field Communication & Android
Near Field Communication & AndroidNear Field Communication & Android
Near Field Communication & Androidromemore
 
Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...Minnovarc
 
Rfid Couts Et Materiels
Rfid Couts Et MaterielsRfid Couts Et Materiels
Rfid Couts Et MaterielsADDNB
 

Similaire à Lundi de l'IE - 8 décembre 2014 - Renaud Lifchitz, Oppida - L'environnement sans fil, de plus en plus difficile à protéger (20)

La RFID en bibliotheque ?
La RFID en bibliotheque ? La RFID en bibliotheque ?
La RFID en bibliotheque ?
 
Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010Rfid basics-RFID universiy 2010
Rfid basics-RFID universiy 2010
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umts
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umts
 
Gsm gprs-umts
Gsm gprs-umtsGsm gprs-umts
Gsm gprs-umts
 
Internet des Objets
Internet des ObjetsInternet des Objets
Internet des Objets
 
SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+SDR et décodage FT8, PSK31 et DMR avec DSD+
SDR et décodage FT8, PSK31 et DMR avec DSD+
 
Protection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard LebelProtection des communications sans-fil - Bernard Lebel
Protection des communications sans-fil - Bernard Lebel
 
Norme NFC - Romain Menetrier PAUG
Norme NFC - Romain Menetrier PAUGNorme NFC - Romain Menetrier PAUG
Norme NFC - Romain Menetrier PAUG
 
Usrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyesUsrp episode 1: smoke gets in your eyes
Usrp episode 1: smoke gets in your eyes
 
Chap1 cellulaires esprit
Chap1 cellulaires espritChap1 cellulaires esprit
Chap1 cellulaires esprit
 
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
CISCO "Sécurisation de l'IOT" - Séminaire DIG-IT 10 Mars 17
 
sécurité Bluetooth.
sécurité Bluetooth.sécurité Bluetooth.
sécurité Bluetooth.
 
LA TELEGESTION-7.ppt
LA TELEGESTION-7.pptLA TELEGESTION-7.ppt
LA TELEGESTION-7.ppt
 
Capteurs
CapteursCapteurs
Capteurs
 
Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3Louzir,marc rfid & nfc vague3-v3
Louzir,marc rfid & nfc vague3-v3
 
Near Field Communication & Android
Near Field Communication & AndroidNear Field Communication & Android
Near Field Communication & Android
 
Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...Le projet James IV – la prochaine génération de contrôle de l'environnement p...
Le projet James IV – la prochaine génération de contrôle de l'environnement p...
 
R&s 10 juin 2015 lora franck
R&s 10 juin 2015 lora franckR&s 10 juin 2015 lora franck
R&s 10 juin 2015 lora franck
 
Rfid Couts Et Materiels
Rfid Couts Et MaterielsRfid Couts Et Materiels
Rfid Couts Et Materiels
 

Lundi de l'IE - 8 décembre 2014 - Renaud Lifchitz, Oppida - L'environnement sans fil, de plus en plus difficile à protéger

  • 1. L'environnement sans fil, de plus en plus difficile à protéger Lundi de l’IE – MEDEF IDF 8 décembre 2014 Renaud Lifchitz renaud.lifchitz@oppida.fr
  • 2. Présentation de l’intervenant • Consultant sécurité senior pour Oppida • Activités principales : – Tests d’intrusion et audits de sécurité – Recherche en sécurité informatique – Formations • Centres d’intérêts : – Sécurité radio – Sécurité des protocoles (authentification, chiffrement, fuites d’information…) – Cryptographie Lundi de l’IE – 8 décembre 2014 2 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 3. Le développement fulgurant des technologies radios 3
  • 4. Usages radios grand public & professionnels • Contrôle d’accès (badges sans contact) • Ouverture de portes (garage, voiture, …) & interphones • Alarmes sans fil, capteurs domotiques • Drones • Abonnements urbains (cartes Velib’, Autolib, Navigo, …) • Réseaux cellulaires (GSM, téléphonie domestique DECT) • Bureautique sans fil (souris, clavier, casque) • Dispositifs médicaux (pacemakers, pompes à insuline, …) • Dispositifs de navigation (GPS) • Radiopilotage horaire (GSM NITZ, DCF77, …) • Talkies-walkies, radios personnelles, PMR Lundi de l’IE – 8 décembre 2014 4 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 5. Principaux standards radios Standards IEEE – 802.11a/b/g/n (WiFi) – 802.11p (~ DSRC) – 802.15.1 (Bluetooth) – 802.15.4 (ZigBee) Réseaux Cellulaires – GSM900/DCS1800 – DECT – EDGE – UMTS Autres – TETRA – NFC – RFID – 802.16 (WiMax) – LTE Lundi de l’IE – 8 décembre 2014 5 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 6. Attaques radio classiques et contre-mesures 6
  • 7. Ecoute passive • Simple enregistrement passif à démoduler/décoder pour les protocoles non ou faiblement chiffrés • Exemples : communications analogiques ou numériques en clair, couche MAC Wi-FI, analyse statistique du trafic chiffré WEP, provisionnement OTA en clair des clés ZigBee … • Risques : tous ! • Contres-mesures : – Mécanismes de chiffrement – Etalement spectral et sauts de fréquence étaient réputés fiables, ils ne le sont plus Lundi de l’IE – 8 décembre 2014 7 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 8. Brouillage • Brouillage volontaire : – Emission d’un bruit blanc amplifié • ou brouillage involontaire : – Interférences avec d’autres communications radios – Obstacles physiques (murs, végétation, …) • Risques : déni de service, atteinte à l’intégrité • Contre-mesures : – Étalement de spectre (« spread sprectrum ») – Saut de fréquence (« frequency hopping ») – Pas de contre-mesure miracle… Lundi de l’IE – 8 décembre 2014 8 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 9. Usurpation (« spoofing ») – De nombreux protocoles sont vulnérables à l’usurpation, ne serait-ce parce qu’ils autorisent le rejeu – Exemples : « bips » d’ouverture de portes de garage, demande d’allocation de canal GSM – Risques : tous ! – Contre-mesures : • Mécanismes anti-rejeu (« nonce » cryptographique) • Authentification par challenge Lundi de l’IE – 8 décembre 2014 9 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 10. Un nouvel outil d’audit et d’attaque, la radio logicielle 10
  • 11. Radio logicielle : principes de fonctionnement • Système de radiocommunication reconfigurable logiciellement (fréquence, modulation et protocole) • En anglais : SDR (« Software Defined Radio ») • Intérêts : ne plus utiliser différents équipements pour différents usages et pouvoir mettre à jour facilement l’implémentation de protocoles • « Radio générique » • En pratique, l’essentiel du traitement du signal se fait sur un PC client (réception de données brutes I/Q) • Secteurs en pleine expansion : radioamateurisme, radio mobile, NASA, militaire, radar et guerre électronique Lundi de l’IE – 8 décembre 2014 11 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 12. Radio logicielle : principes de fonctionnement Lundi de l’IE – 8 décembre 2014 12 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 13. Radio logicielle : plates-formes matérielles RTL2832U • Chipset Realtek RTL2832U des clés USB pour recevoir la TNT • Caractéristiques théoriques : – Réception seule – 8 bits I/Q – Bande passante : 3,2 MHz à 3,2 MSPS – Plage de fréquences : 50 MHz à 2,2 GHz (Elonics E4000, variable selon modèle) • Environ 15€ • Projet RTL-SDR & périphériques compatibles : http://sdr.osmocom.org/trac/wiki/rtl-sdr Lundi de l’IE – 8 décembre 2014 13 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 14. Radio logicielle : plates-formes matérielles HackRF • Projet ouvert de Michael Ossmann (Great Scott Gadgets) • Caractéristiques théoriques : – Réception et émission (half duplex) – 8 bits I/Q – Bande passante : 20 MHz à 20 MSPS – Plage de fréquences : 10 MHz à 6 GHz • Environ 250€ • http://greatscottgadgets.com/hackrf/ Lundi de l’IE – 8 décembre 2014 14 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 15. Radio logicielle : plates-formes matérielles USRP • Boitiers et cartes spécialisés commercialisés par Ettus Research (National Instruments) • Caractéristiques théoriques (USRP N210) : – Réception et émission (full duplex) – 14 bits I/Q – Bande passante : 25 MHz à 100 MSPS – Plage de fréquences : 0 MHz à 6 GHz (selon carte fille) • Environ 1500€ (sans carte fille), une des solutions la plus complète et mature • http://www.ettus.com/home Lundi de l’IE – 8 décembre 2014 15 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 16. Radio logicielle : plates-formes matérielles Cartes filles USRP Lundi de l’IE – 8 décembre 2014 16 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 17. Radio logicielle : environnement logiciel GNU Radio • GNU Radio : – Framework complet open source de développement en radio logicielle – Support de la plupart des périphériques SDR du marché – Composants C++ et Python – Nombreux filtres de traitement du signal – Assistant graphique de conception de circuits SDR : GNU Radio Companion – Projet : http://gnuradio.org/redmine/projects/gnuradio/wiki Lundi de l’IE – 8 décembre 2014 17 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 18. Radio logicielle : environnement logiciel GNU Radio GNU Radio Companion : création d’un récepteur FM logiciel Lundi de l’IE – 8 décembre 2014 18 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 19. Zoom et démonstrations sur la sécurité de quelques protocoles 19
  • 20. Dispositifs radios domestiques • Beaucoup de dispositifs radios domestiques ne sont pas protégés : objets connectés, alarmes … • Parmi les équipements voix : – Téléphones sans fil domestiques (DECT) faiblement chiffrés ou vulnérables à des attaques de type Man-In-The-Middle : project Dedected – Casques sans fil (téléphonie, TV, radio) rarement chiffrés et utilisant la modulation classique WFM sur une bande ISM (ex.: ~ 860 MHz) Lundi de l’IE – 8 décembre 2014 20 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 21. DEMONSTRATIONS - Dispositifs radios domestiques – Ecoute de casques sans fil (téléphonie, TV, radio…) – Prise de contrôle d’une « Box » intelligente, capteurs et prises commandées en ZigBee – Désactivation d’une centrale d’alarme Lundi de l’IE – 8 décembre 2014 21 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 22. Dispositifs radios domestiques Ecoute d’un casque sans fil avec… un smartphone Android (SDR Touch) Lundi de l’IE – 8 décembre 2014 22 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 23. Géolocalisation et identification d’avions • Système américain : les avions sont localisés par les tours de contrôle (radars au sol) • Système européen : chaque avion se géolocalise seul et envoie sa position au sol par radio • Protocole ADS-B (Automatic Dependent Surveillance-Broadcast) • Système de diffusion de la position (latitude/longitude), de l’altitude, de la vitesse et du numéro de vol aux stations au sol • Protocole simple sans sécurité, non chiffré Lundi de l’IE – 8 décembre 2014 23 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 24. Géolocalisation et identification d’avions Logiciel dump1090 (https://github.com/antirez/dump1090) Lundi de l’IE – 8 décembre 2014 24 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 25. Géolocalisation et identification d’avions Exportation des données géomatiques en KML et visualisation des trajectoires en 3D avec Google Earth (https://github.com/bistromath/gr-air-modes) Lundi de l’IE – 8 décembre 2014 25 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 26. Géolocalisation d’antennes GSM et d’utilisateurs • Parcours et écoute sur les 4 bandes GSM (~ 850, 900, 1800, 1900 MHz) • Chaque cellule GSM (BTS) est identifiée par 4 nombres : – MCC: Mobile Country Code – MNC: Mobile Network Code – LAC: Location Area Code – CID: Cell ID • Recensement des ARFCN utilisées (détection d’un pic de fréquence = présence d’une BTS) • Démodulation et décodage des trames de broadcast d’annonce de BTS (numéro de zone LAC et numéro de cellule Cel ID) • Géolocalisation des antennes (par exemple avec Google Maps Geolocation API) Lundi de l’IE – 8 décembre 2014 26 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 27. Géolocalisation d’antennes GSM et d’utilisateurs • Quelques moyens d’identifier un utilisateur GSM : – Numéro de téléphone (MSISDN) – IMSI (« International Mobile Subscriber Identity ») : numéro d'abonné international unique = MCC (pays) + MNC (réseau) + HLR (h1 h2) + MSIN – CCID : numéro de série de la carte SIM – IMEI : numéro de série du téléphone (*#06#) Lundi de l’IE – 8 décembre 2014 27 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 28. Géolocalisation d’antennes GSM et d’utilisateurs • Normalement, les IMSI utilisateurs ne doivent peu ou pas transiter en clair sur le réseau : utilisation d'identifiants temporaires (TMSI) • En pratique, les IMSI en clair sont fréquents et nombreux (implémentation du protocole GSM imparfaite, charge importante des équipements, reconnexions fréquentes au réseau, …) • Il est donc facile d'avoir des statistiques précises sur : – Les pays d'origine des utilisateurs – Leur opérateur GSM d'origine – Les réseaux sur lesquels ils sont – Les BTS à lesquelles ils se rattachent – L’activité de signalisation qu’ils engendrent (SMS, appels, …) Lundi de l’IE – 8 décembre 2014 28 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 29. Géolocalisation d’antennes GSM et d’utilisateurs Projet AirProbe (https://svn.berlin.ccc.de/projects/airprobe/) Lundi de l’IE – 8 décembre 2014 29 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 30. Géolocalisation d’antennes GSM et d’utilisateurs Projet OsmoGeo de l’auteur (utilise OsmocomBB) : http://code.google.com/p/osmogeo/ Lundi de l’IE – 8 décembre 2014 30 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 31. Géolocalisation d’antennes GSM et d’utilisateurs Projet OsmoGeo de l’auteur (utilise OsmocomBB) : http://code.google.com/p/osmogeo/ Lundi de l’IE – 8 décembre 2014 31 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 33. Perspectives • La plupart des protocole radios souffre d’une mauvaise conception : absence de chiffrement, d’authentification, de signature, de mécanismes anti-rejeu et anti-brouillage • Dans l’embarqué, de nombreuses implémentations radios sont vulnérables au fuzzing (déni de service, exécution de code arbitraire !) • Penser à la sécurité dès la conception du protocole, pas après son implémentation ! • Solliciter l’avis d’experts sécurité en amont des projets • Oublier le « time-to-market » et considérer la sécurité comme un réel besoin • Pour l’existant, la sécurisation du périmètre physique est parfois la seule alternative à l’heure actuelle… Lundi de l’IE – 8 décembre 2014 33 L'environnement sans fil, de plus en plus difficile à protéger – Renaud Lifchitz
  • 34. Merci ! Des questions ? 34 ☛ renaud.lifchitz@oppida.fr