La présentation de Christophe Villeneuve sur le 'bus pirate' couvre ses fonctionnalités en tant qu'outil open source pour interagir avec divers dispositifs électroniques à des fins de sécurité et de prototypage. Il aborde aussi l'utilisation du logiciel flashrom pour manipuler des puces flash et fournit des exemples pratiques d'interaction avec des composants comme des lecteurs RFID et des modules I2C. Le bus pirate est conçu pour faciliter le dialogue entre un PC et les composants électroniques, rendant le développement et la recherche en cybersécurité plus accessibles.

1. Pentest
Bus Pirate
Christophe Villeneuve
@hellosct1
@hellosct1@mamot.fr
DevCon #12 – le 16 Dec. 2021

2. Atos open source - afup – lemug.fr – mariadb – drupal – mozilla - firefox – lemugfr - sumo – webextensions – VR – AR – XR - Cause commune 93.1 FM - TechSpeaker - Lizard - eyrolles – editions eni – programmez – linux pratique – webriver – elephpant - CommonVoice – Sécurité -
Cybersécurité
Christophe Villeneuve
●
Consultant Open Source
●
Dresseur animaux

3. @hellosct1
Aujourd’hui
●
Présentation
●
Que fait-on avec ?
●
Et… Alternatives

4. @hellosct1 – Programmez #10 -
●
Présentation
●
Que fait-on avec ?
●
Alternatives

5. @hellosct1
Qu’est ce ? Le bus pirate
●
Multi-outil
– open source
– Open Hardware
●
But
– Tester qui parle aux appareils électroniques.
●
Nombreuses fonctionnalités
– Vérifier la sécurité d’un nouveau produit
●
Interface de terminal simple
– Disponible sur Linux et Windows

6. @hellosct1
Le bus pirate
●
Outil
– Proposé par Dangerous prototypes
– Développé par Ian Lesnet.
●
Permet le dialogue entre un PC et une cible
1-wire, 2-wire, 3-wire, UART, I2C, SPI, et HD44780
●
Permet de fournir des alimentations 5V ou 3.3V
●
Lire des tensions (0-6V)
●
Générer un PWM
●
Mesurer des fréquences jusqu’à 40MHz
●
Activer des résistances de pull-up…
Un compagnon idéal
de l’ingénieur en
phase de
prototypage ou du
hacker.

7. @hellosct1
La carte peut faire
●
Protocoles de base avec le firmware officiel :
– 1-Wire
– I2C
– SPI
– Asynchronous serial
– MIDI
– HD44780 LCD
– 2 et 3-wire
– mode "raw binary" sur les modes
●
bitbang, 1-Wire, I2C, SPI, et UART

8. @hellosct1
Idée
●
Besoin de dialoguer
– Avec un nouveau composant
– De sniffer un réseau I2C
●
Interface USB-série
– Permet d’envoyer des commandes depuis un PC
●
via un simple terminal (type PuTTY ou terminal)
– Les commandes reçues seront analysées syntaxiquement
(parsing) par le logiciel du bus pirate
●
Et traduites en instructions machines (opcodes)
●
Afin de programmer les périphériques concernés
– timers, I/O, ADC, …
●
Transparents pour l’utilisateur

9. @hellosct1
Prise en main
●
Pour pouvoir
commencer
A utiliser le bus pirate
●
Il faut le relier
– Port USB
●
à l’aide d’un câble
mini USB type B mâle
/ USB type A mâle.
●
Sur Windows :
– Télécharger un driver
FTDI et un émulateur
de terminal.
– Prise en main du bus
pirate sur Windows.
●
Sur Linux :
– pas besoin
●
De driver FTDI
●
Emulateur de terminal

10. @hellosct1
En pratique
●
Voir le tampon des messages du noyau.
$ dmesg | tail
[243117.786653] usb 1-3: Product: FT232R USB UART
[243117.786658] usb 1-3: Manufacturer: FTDI
[243117.786662] usb 1-3: SerialNumber: A906H8YA
[243117.898706] usbcore: registered new interface driver usbserial_generic
[243117.898717] usbserial: USB Serial support registered for generic
[243117.909313] usbcore: registered new interface driver ftdi_sio
[243117.909327] usbserial: USB Serial support registered for FTDI USB Serial Device
[243117.909376] ftdi_sio 1-3:1.0: FTDI USB Serial Device converter detected
[243117.909411] usb 1-3: Detected FT232RL
[243117.909985] usb 1-3: FTDI USB Serial Device converter now attached to ttyUSB0

11. @hellosct1
Flashrom (1/2)
●
Utilitaire pour
– Identifier
– Lire
– Ecrire
– Vérifier
– Effacer les puces
flash.
●
Conçu pour flasher les
images BIOS
– EFI
– Coreboot
– Firmware
– optionROM
●
sur
– Les cartes mères,
– Les cartes de contrôleur
réseau/graphique/stockage

12. @hellosct1
Flashrom (2/2)
●
Prend en charge plus
– 476 puces flash,
– 291 chipsets
– 500 cartes mères,
– 79 périphériques PCI
– 17 périphériques USB

13. @hellosct1
Modem terminal
●
Tapez :
$ sudo minicom -b 115200 -D /dev/ttyUSB0

14. @hellosct1
Comment l’utilisé ?
●
Pour discuter avec un module
●
Faire une analyse de signaux
●
Faire du « Reverse engineering » sur une carte
inconnu
Ce qui faut savoir :
« bus pirate » est bootloadé
Possible
Mettre à jour
Changer de firmware, etc …
via le port usb
sans aucun autre matériel.

15. @hellosct1 – Programmez #10 -
●
Présentation
●
Que fait-on avec ?
●
Alternatives

16. @hellosct1
Matériels
●
Firmware officiel
– Fonctionnalités de base
●
Ce dont vous aurez besoin :
– une carte « bus pirate »
●
de préférence la v4
– un câble « bus pirate probe » de seeedstudio
– un câble mini usb

17. @hellosct1
Le cable

18. @hellosct1
Les raccourcis clavier

19. @hellosct1
Matériels
●
un lecteur de carte
RFID série de
parallax
●
un tag RFID
compatible avec le
lecteur ci dessus
➢
UART
➢
I2C
➢
SPI
➢
LCD
➢
Analogique (ADC)

20. @hellosct1
Session 2
●
Pour la partie I2C :
– un module RTC
(horloge)
de sparkfun
➢
I2C
➢
UART
➢
SPI
➢
LCD
➢
Analogique (ADC)

21. @hellosct1
Session 3
●
Pour la partie SPI :
●
Serial Peripheral Interface
●
Modèle 74HC595
●
Composé
– 8 leds
– 8 résistances de
330ohms
➢
SPI
➢
UART
➢
I2C
➢
LCD
➢
Analogique (ADC)

22. @hellosct1
Session 4
●
Pour la partie LCD
– un adaptateur lcd
●
« bus pirate »
de seeedstudio
– un écran lcd 2×16
➢
LCD
➢
UART
➢
I2C
➢
SPI
➢
Analogique (ADC)

23. @hellosct1
Session 5
●
Pour la partie analogique
– un potentiomètre
– un joystick
➢
Analogique (ADC)
➢
UART
➢
I2C
➢
SPI
➢
LCD

24. @hellosct1
Mode UART
●
Un lecteur RFID
●
Fonctionne en 2400 bauds
●
Câblage notre lecteur RFID
– lecteur RFID -> Bus pirate
– SOUT -> MISO
– ENABLE -> AUX
– VCC -> +5v
– GND -> GND

25. @hellosct1
Tester si le connecteur est ouvert ?
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)
(1)>3
Set serial port speed: (bps)
1. 300
2. 1200
3. 2400
4. 4800
5. 9600
6. 19200
7. 38400
8. 57600
9. 115200
10. BRG raw value
(1)>3 (2400 bauds)
Data bits and parity:
1. 8, NONE *default
2. 8, EVEN
3. 8, ODD
4. 9, NONE
(1)>1
Stop bits:
1. 1 *default
2. 2
(1)>1
Receive polarity:
1. Idle 1 *default
2. Idle 0
(1)>1
Select output type:
1. Open drain
(H=Hi-Z, L=GND)
2. Normal (H=3.3V,
L=GND)
(1)>1
Ready
UART>
●
Connexion : Hiz

26. @hellosct1
Tester si le connecteur est ouvert ?
●
Résultat :
– La led « mode » est allumé
→ Câblage notre lecteur RFID… Succès

27. @hellosct1
Etape 2 : Allumer notre bus pirate
●
Commande « W »
●
La led « vreg » doit s’allumer
– Le circuit en cours de test est alimenté
Le lecteur RFID est allumé
La led est verte
mode sleep

28. @hellosct1
Etape 3
●
Pour utiliser le lecteur RFID
– Sleep → ON
●
Placer la broche AUX à l’état BAS.
Le lecteur RFID est
désormais prêt à être
utilisé

29. @hellosct1
Récupérer les octets du tag lecteur RFID
●
Test 1
r:10
→ Lire 10 octets
UART>r:10
READ: -f 0x00 FAILED, NO DATA0x00 FAILED, NO DATA0x00 FAILED, NO
DATA0x00 FAILED, NO DATA0x00 FAILED, NO DATA0x00 FAILED, NO DATA0x00
FAILED, NO DATA0x00 FAILED, NO DATA0x00 FAILED, NO DATA0x00
UART>
→ Probléme
Nous ne savons pas quand le lecteur RFID envoie quelque chose,
→ Obligation :
Placer le bus pirate en mode lecture continu pour avoir un affichage en continu des données reçu.

30. @hellosct1
Récupérer les octets du Tag lecteur RFID
●
Test N°2
(2)
UART>(2)
Raw UART input
Any key to exit
Le mode lecture continu est en marche
Les octets correspondant à l’identifiant du tag RFID
2600D6F1A8

31. @hellosct1
Arrêt Mode lecture
●
w
●
m
●
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)

32. @hellosct1
Mode Analogique (ADC)
●
Un Joystick
●
Alimenté en 0/5v le bus pirate
●
Câblage :
– joystick -> bus pirate
– GND -> GND
– VCC -> +5v
– VERT -> ADC

33. @hellosct1
Tester si le connecteur est ouvert ? (1/2)
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)
(1)>9 (mode DIO)
Ready
DIO>
DIO>W
Power supplies ON
DIO>
●
Connexion : Dio
Pour allumer :

34. @hellosct1
Pour mesurer une tension (1/
●
Plusieurs options :
– d
●
pour faire une mesure seul
– v
●
pour afficher les tensions global de la carte bus pirate
en faisant une mesure
– D
●
pour passer en mode voltmètre.

35. @hellosct1
DIO>d
VOLTAGE
PROBE: 2.06V
DIO>v
Pinstates:
1.(BR) 2.(RD) 3.(OR) 4.(YW) 5.(GN) 6.(BL) 7.
(PU) 8.(GR) 9.(WT) 0.(Blk)
GND 3.3V 5.0V ADC VPU AUX CLK MOSI CS
MISO
P P P I I I I I I I
GND 3.32V 5.02V 2.06V 0.00V H H H H H
DIO>D
VOLTMETER MODE
Any key to exit
VOLTAGE PROBE: 2.06V

36. @hellosct1
Retour au menu
●
w
●
m
●
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)

37. @hellosct1
Mode I2C
●
module RTC (real time clock)
– Ex DS1307
●
On connaît le datasheet mais pas son adresse I2C
●
Câblage :
– DS1307 -> bus pirate
– GND -> GND
– 5V -> +5V
– SDA -> MOSI
– SCL -> CLK

38. @hellosct1
Trouver l’heure actuelle stocké dans le module RTC
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)
(1)>4
Set speed:
1. ~5KHz
2. ~50KHz
3. ~100KHz
4. ~400KHz
(1)>3
Ready
I2C>W
Power supplies ON
I2C>(0)
0.Macro menu
1.7bit address search
2.I2C sniffer
I2C>
●
Connexion : Hiz

39. @hellosct1
Trouver l’heure actuelle stocké dans le module RTC
2C>W
Power supplies ON
I2C>P
Pull-up resistors ON
I2C>v
Pinstates:
1.(BR) 2.(RD) 3.(OR) 4.(YW) 5.(GN) 6.(BL)
7.(PU) 8.(GR) 9.(WT) 0.(Blk)
GND 3.3V 5.0V ADC VPU AUX SCL SDA - -
P P P I I I I I I I
GND 3.32V 5.02V 0.00V 5.03V L H H H H
I2C>
Mise sous tension « vpu »
I2C>(1)
Searching I2C address space.
Found devices at:
0xD0(0x68 W) 0xD1(0x68 R)
I2C>
module RTC
trouvé

40. @hellosct1
●
Mémoire du DS1307

41. @hellosct1
●
Pour demander l’heure, plusieurs étapes :
– Envoyé 0 à l’adresse 0xD0
– puis demander 8 octets à l’adresse 0xD1
●
C’est à dire
– [
– ]
– r:8
bit de start
bit de stop
demande de 8 octets

42. @hellosct1
Au niveau du code
I2C>[0xd0 0 [0xd1 r:8]
I2C START BIT
WRITE: 0xD0 ACK
WRITE: 0x00 ACK
I2C START BIT
WRITE: 0xD1 ACK
READ: 0x28 ACK 0x47 ACK 0x14 ACK
0x02 ACK 0x25 ACK 0x10 ACK 0x11 ACK 0x00
NACK
I2C STOP BIT
I2C>
envoyé un bit de start
pour dire aux périphériques du bus I2C
J’envoie ensuite à 0xD0 l’octet 0
puis sans fermé la communication
Je renvois un bit de start
pour demander à 0xD1
cette fois si 8 octets
une fois les huits octets recu
je coupe la communication

43. @hellosct1
Résultat
0x28 – 28 secondes
0x47 – 47 minutes
0x14 – 14 heures
0x02 – 2 (mardi)
0x25 – 25 (jours)
0x10 – 10 (octobre)
0x11 – 2020 (années)
E n français
Le mardi 25 octobre 2020
et il est 14 heures, 47 minutes, 28 secondes.

44. @hellosct1
Retour au menu
●
w
●
m
●
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)

45. @hellosct1
Mode SPI
●
CI 74HC595 qui est un registre à décalage 8 bits
– Chaque sortie une led, soit un total de 8 led
– Valeur transmise sous la forme d’un octet via le bus SPI
●
Câblage :
– 74HC595 -> bus pirate
– DS -> MOSI
– ST_CP -> CS
– SH_CP -> TCK
– GND -> GND
– VCC -> +5v
– OE -> GND
– MR -> +5v
Chaque led est cablé ainsi : IO -> led -> résistance (330ohms) -> GND

46. @hellosct1
Tester si le connecteur est ouvert ? (1/2)
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)
(1)>7
Set speed:
1. ~5KHz
2. ~50KHz
3. ~100KHz
4. ~400KHz
(1)>1
CS:
1. CS
2. /CS *default
(2)>2
Select output type:
1. Open drain
(H=Hi-Z, L=GND)
2. Normal (H=3.3V,
L=GND)
(1)>2
Ready
3WIRE>
●
Connexion : Hiz

47. @hellosct1
3WIRE>W
Power supplies ON
3WIRE>[
/CS ENABLED
3WIRE>0][
WRITE: 0x00
/CS DISABLED
/CS ENABLED
3WIRE>255][
WRITE: 0xFF
/CS DISABLED
/CS ENABLED
3WIRE>
Comment ça marche ?
* On allume l’alimentation avec « W »
A partir de là le 74HC595 est alimenté.
* On exécute la commande « [ »
pour mettre CS à LOW,
se qui active le 74HC595
qui attend alors un octet.
* On envoi nos données sous la forme d’un
octet.
* Puis on dit au 74HC595
de placer ses sorties
selon l’octet qu’on vient de lui envoyer
* Plaçant CS à HIGH puis à LOW
* On dit au 74HC595 que l’envoi est terminé
* Selon ce qu’on lui a demandé
puis avec le second « [ »
on lui dit d’attendre le prochain octet

48. @hellosct1
Mode LCD
●
Un écran LCD
●
brancher le câble sur l’adaptateur LCD
– l’autre bout au bus pirate
●
Câblage
– N/A

49. @hellosct1
Tester si le connecteur est ouvert ? (1/2)
HiZ>m
1. HiZ
2. 1-WIRE
3. UART
4. I2C
5. SPI
6. 2WIRE
7. 3WIRE
8. LCD
9. DIO
x. exit(without change)
(1)>8
This mode requires an
adapter
Ready
LCD>W
Power supplies ON
●
Connexion : Hiz

50. @hellosct1
LCD>(0)
0.Macro menu
1.LCD Reset
2.Init LCD
3.Clear LCD
4.Cursor position ex:(4) 0
6.Write test numbers ex:(6) 80
7.Write test characters ex:(7) 80
LCD>(1)
RESET
LCD>(2)
RESET
Display lines:
1. 1
2. Multiple
(2)>2
INIT
LCD>(3)
CLEAR
LCD>"Hello World !"
WRITE: "Hello World !"
LCD>

51. @hellosct1 – Programmez #10 -
●
Présentation
●
Que fait-on avec ?
●
Bonus

52. @hellosct1
Alternatif
Ds projets de firmware alternatif on vu le jour,
●
programmateur de fpga,
●
d’avr,
●
analyseur logique
●
mini oscilloscope
●
module jtag

53. @hellosct1
En voir plus

54. @hellosct1 – Programmez #10 -
Atos Recrute
●
CDI
●
Stage
●
Alternance
●
...

55. @hellosct1
Merci
Christophe Villeneuve
@hellosct1
@hellosct1@mamot.fr