Un rootkit directement dans la carte réseau
De plus en plus d'appareils remplacent des puces spécialisées par des processeurs généralistes programmés pour un usage précis, et parfois ça peut jouer de sales tours... En effet, une présentation récente montre le remplacement du firmware d'une carte réseau par un autre logiciel, intégrant cette fois un rootkit... Expliquons.
Les derniers modèles de puces Broadcom, alias NetExtrême, sont basés sur un CPU en architecture MIPS couplé à un firmware propriétaire, ce qui permet d'obtenir des performances plus élevées qu'avec un microcontrôleur classique (les cartes RAID utilisent aussi des CPU généralistes). Un spécialiste en sécurité a donc décidé de faire du reverse engineering sur le firmware — ce qu'il a réussi — et a ensuite écrit son propre firmware open source, avec la possibilité d'intégrer un rootkit.
Ce qui est gênant, c'est que le rootkit en question est invisible depuis l'OS (il n'est pas réellement exécuté sur la machine, tout du moins pour le système), qu'il peut parfaitement faire croire au système que les données passent correctement en modifiant le retour (il se situe entre Internet et le système d'exploitation) et il a aussi accès à la mémoire à travers le bus de connexion (dans le cas présent le PCI). Techniquement, il serait par exemple possible de créer un rootkit récupérant vos informations personnelles et les envoyant de façon « invisible » à un serveur, etc.
Globalement, le risque est réel, même s'il est dépendant d'un matériel précis, et les cartes réseau ne sont pas les seules à être attaquables de cette façon : les contrôleurs RAID, les puces audio, les cartes graphiques, etc. sont de plus en plus complexes et les attaques de ce type devraient donc se multiplier dans le futur.
- Asus U36 : le Core i5 dans un notebook ultrafin
- Noctua NH-C14 : du froid pour tout le monde
- GTX 560, GTS 550, les Geforce de début 2011
- Google synchronise Docs avec Office dans le cloud
- Tom's Guide : 50 cadeaux high-tech pour Noël
- Gigabyte overclocke sa GTX 460 SE
- Acer Iconia, le PC portable à 2 écrans 0 clavier
- Cooler Master : un HAF X spécial NVIDIA
- Corsair se venge avec sa DDR3
- Démo impressionante d’Unreal Engine 3
- Production en masse des Atom Oak Trail
- Des LRDIMM avec les Sandy Bridge et Bulldozer
- TDJ : Gigabyte P67A-UD7, Antec HCP 1200
- Une Radeon HD 6850 passive chez PowerColor
- Une alimentation écologeek 80+ Gold de 300W
- MSI officialise sa Radeon 6870 Twin Frozr II
- LG : une dalle 23 pouces IPS à 240 Hz
- Apacer Ares : de la DDR3 pour overclocker
Hélàs c'est bien ce que je crains justement.
Il serait néanmoins intéressant de connaître comment se passent ces attaques hardware on va dire ? De façon à s'en prémunir à l'avenir.
Peut-être en intégrant directement un cryptage propre à chaque PC au niveau du hardware, un peu comme une porte blindée.
Bref je suis pas expert en sécurité informatique, mais j'espère que la sécurité avancera au rythme de ces attaques, afin de protéger le citoyen lambda.
N'empêche c'est vachement inquiétant
Les experts en sécurité ont toujours eut un train de retard sur les experts pirates.
CQFD
pour moi une attaque hardware c'est un poing dans la gueule.
reprogrammer une puce reste tout ce qu'il y a de plus "software".
Les experts en sécurité ont toujours eut un train de retard sur les experts pirates.CQFDpour moi une attaque hardware c'est un poing dans la gueule.reprogrammer une puce reste tout ce qu'il y a de plus "software".
Les "experts pirates" sont des chercheurs en général, de même que les "experts sécurité". Mais il est plus facile de trouver une seule brèche et de l'exploiter que de toutes les trouver et les colmater.
arf donc le retro-engineering est une activité plus simple que l'engineering d'après toi ?
désolé ergo mais là tu fais fausse route.
non les brèches sont à la charge de ceux qui les ont conçues, pas de ceux qui les exploitent !
C'est vrai, et c'est tout de même dommage.
D'autant plus que comme le disais Red une attaque envers le matériel est bien plus fatal qu'une simple attaque suite à un bug logiciel ou d'un OS ... hasard : on prend le cas de Windows, ses failles, les failles des logiciels installés ... Si en plus on a ce genre d'attaque qui se développe, en effet la sécurité informatique a du boulot.
C'est pourquoi, comme je disais, la priorité c'est justement d'éviter les "failles" matérielles de façon à diminuer les chances de l'efficacité de cette attaque.
Edit: j'ai trouvé un cobaye à rue du Texel à Paris où réside un certain organisme dont je tairais le nom
Peut-être en intégrant directement un cryptage propre à chaque PC au niveau du hardware, un peu comme une porte blindée
Va pas leur donner des idées pourries
Enfin concrètement, faudrait plutôt rendre ça carrément accessible à l'OS plutôt que de l'isoler du reste de l'architecture PC. Pourquoi ? Parce que même si là, effectivement, on ouvrirait la porte à des attaques encore plus problématiques, on pourrait aussi s'en protéger cent fois plus facilement.
De la même façon qu'un OS s'assure de sa sécurité et de son intégrité, s'il pouvait vérifier l'intégrité du firmware de chaque pièce de matos ça serait aussi nettement mieux. Chose qui n'est pas faite aujourd'hui.
En même temps ça serait complexe à mettre en place, déjà parce qu'effectivement, certaines pièces de matos ont des sécurité, qui empêchent la mise à jour du firmware par tout et n'importe quoi, et d'autre part parce qu'il y a tant de pièces de matos différent... un vrai bordel à gérer.
Et d'ailleurs, tellement de matos différent que monter une attaque là-dessus c'est pas évident. On pourrait quand même toucher des modèles populaires, voire des machines spécifiques comme les Dell Inspiron ou les HP jesaispasquoi vu qu'ils ont le même matos, et du coup cibler davantage des entreprises par exemple... Mais bon ça reste un peu taper au pif.
Le risque est donc pas inexistant, mais pas énorme non plus.
Raah si on ne peut plus se faire confiance entre puces.
Non mais en même temps la porté est extrèmement limité...
Il faut quand même reflasher ce firmware... donc avoir un accès à la machine.
Si on fait confiance aux revendeurs des pièces, ainsi qu'à la marque, on aura un firmware officiel.
Par contre, ceux qui feront confiance à des Customs Firmwares, pourront s'en mordre les doigts.
Et puis flasher une carte réseau n'est pas courant. Si l'on doit le faire, c'est en très bonne connaissance. A moins que ce spécialiste en réseau puisse le faire à notre insu et la ce serai une faille.
@Kenelm : l'externalisation de certaines fonctions dans d'autres puces fournie une augmentation des performances globales.
ensuite, il est question de "gestion des interruptions", capacité du système à ordonner des priorités face aux différentes puces spécialisées qu'il pourra contenir.
effectivement pour exercer un contrôle à ce niveau, en gardant des perfs acceptables, c'est d'ajouter (une fois de plus) une puce dédiée à ces contrôles... un antivirus au niveau des couches PCI... chose impossible à réaliser jusqu'à lors pour cause de destruction des perfs !
tout cela a un coût prohibitif, et on ne verra pas ce type de circuits adoptés marginalement, mais uniquement en masse..."l'idée pourrie", comme tu dit, est d'utiliser un argument sécuritaire afin d'exercer un contrôle total des "ayants droits" (ne pas rire) sur ton système d'exploitation, ainsi que potentiellement sur tout ce qui y transite...
@Kenelm : l'externalisation de certaines fonctions dans d'autres puces fournie une augmentation des performances globales.
ensuite, il est question de "gestion des interruptions", capacité du système à ordonner des priorités face aux différentes puces spécialisées qu'il pourra contenir.
effectivement pour exercer un contrôle à ce niveau, en gardant des perfs acceptables, c'est d'ajouter (une fois de plus) une puce dédiée à ces contrôles... un antivirus au niveau des couches PCI... chose impossible à réaliser jusqu'à lors pour cause de destruction des perfs !
tout cela a un coût prohibitif, et on ne verra pas ce type de circuits adoptés marginalement, mais uniquement en masse..."l'idée pourrie", comme tu dit, est d'utiliser un argument sécuritaire afin d'exercer un contrôle total des "ayants droits" (ne pas rire) sur ton système d'exploitation, ainsi que potentiellement sur tout ce qui y transite...
Je parlais pas de bannir les puces dédiées, mais de donner plus facilement accès au firmware depuis l'OS, pour mieux surveiller ce qui s'y passe.
Certaines pièces de matos ont un firmware qui nécessite une intervention directe sur la carte, d'autres laissent l'accès depuis l'OS, d'autres le sécurisent avec un procédé cryptographique... je parlais de standardiser ça, mais certainement pas de bannir ces puces, évidemment que c'est pratique ces trucs.
Demander à crypter la machine pour l'identifier et éviter les risques de virus et autres saletés, c'est revenir à Paladium, et au flicage permanent de tout ce que vous faites et de tout ce qui passe sur votre machine ! Vive l'aire du "cloud"... bientôt plus rien ne sera anonyme sur sa machine (autant mettre la webcam en marche forcée dès démarrage du votre PC), il suffit de voir Panda et son antivirus "in the cloud" le "hash MD5" de chaque fichier est envoyé au serveur... l'avantage c'est d'être + rapide et de nécessiter une analyse de seulement quelques fichiers... l'inconvénient, Panda connais 90% (estimation à la louche) des fichiers qui se trouvent sur votre machine !!!
Perso je verrai une solution toute bête... ça nous ferait revenir en arrière de 10 ans mais au moins ça resterai respectueux de l'utilisateur...
Ma proposition: un simple jumper à mettre en place pour autoriser le flash du firm de ma carte (graphique, son, réseau...)
Faut arrêter les gars, comme le dit malfretup, avant que quelqu'un touche à la puce de ta carte réseau .... les poules auront des dents comme on dit.
S'il n'y a pas la possibilité de flasher le firmware depuis l'OS (par un logiciel j'entends), il n'y a pas de raisons de s'inquiéter. Après c'est vrai qu'il ne faudrait pas qu'un logiciel puisse flasher le firmware comme c'est le cas pour certains lecteurs/graveurs optiques par exemple.
Mais d'ici là, avant que quelqu'un vienne chez toi, ouvre ton ordi, retire la carte réseau, ait le matériel spécifique pour "flasher" le firmware, remette la carte réseau et tout ça sans que tu t'en rendes compte ??
D'accord il peut y voir des cas spécifiques, un "réparateur informatique" venant chez toi, changeant ta carte réseau, .... Mais pas de quoi toucher tout le monde.
Moi aussi je peux être expert de sécurité de mon grille pain et montrer qu'en changeant une résistance, l'éjection du pain se produira 2 fois plus tôt avec du coup du pain moins cuit. Et pourtant cette manipulation ne vas pas se retrouver dans votre grille pain et dans tous les grille-pains du marché.
Faut arrêter de crier au loup, la théorie du complot, .... La "théorie économique" étant la plus logique et la plus utilisée dans notre monde. Quel fabricant se tirerait une balle dans le pied en fournissant des cartes réseau trafiquées ? si ça se savait, nous aurions tous vite fait de le boycotté !
Dites, le flash de la carte réseau, c'est trivial, vu que des MAJ existent. Comme les claviers, les adaptateurs écrans, les cartes RAID, les SSD, etc. Et ç!a se fait de plus en plus depuis un OS classique (genre Windows)
Dites, le flash de la carte réseau, c'est trivial, vu que des MAJ existent. Comme les claviers, les adaptateurs écrans, les cartes RAID, les SSD, etc. Et ç!a se fait de plus en plus depuis un OS classique (genre Windows)
Oui pour certains éléments comme je le disais pour les lecteurs/graveurs optiques (au départ il me semble, c'était surtout pour facilement changer la zone DVD pour vendre partout en toute légalité). Mais pour la carte réseau c'est plutôt une mise à jour des drivers qui sont exécutés par l'OS et pas par la carte réseau. Enfin il me semble, je ne suis pas un as du matos.
Mais en tout cas, des "peurs" de "piratage" du matériel, on en voit depuis le début de l'informatique et pourtant à chaque fois c'était peu utilisable. Je me souviens d'un article dans un magazine qui parlait de remplacer un composant dans un CPC 464 pour stocker la saisie des touches dans une mémoire. Ca peut toujours se faire et pourtant on en parle plus. Il est en effet plus facile d'obtenir ceci par un logiciel que d'aller trafiquer le matériel (ça touche plus de monde).
Evidemment, il faut éviter les idées de Kenelm qui voudrait que l'OS contrôle tous les composants de l'ordinateur. Car une faille logicielle pourrait facilement exploiter ça.
jjoops>Qu'est-ce qui empèche le rootkit d'embarqué son propre flasher ?
Ben ça dépend du matos. Y'a pas deux pièces, même du même constructeur, qui vont marcher pareil. Pour changer le firmware, certains nécessitent une intervention directe sur le matos, et d'autres permettent de faire ça depuis l'OS, de façon plus ou moins ouverte, ça va de la porte ouverte à une protection cryptographique type AES-256.
D'autres peuvent également être exploités à distance, du hacking de carte réseau depuis une simple connexion Ethernet ça s'est déjà vu. Dans ce cas, on attaque le firmware SANS toucher au firmware.
Et moi ce dont je parlais, c'était de standardiser l'accès aux firmwares pour qu'on puisse mieux les contrôler, parce qu'avec toutes les méthodes d'accès différentes, c'est juste impossible de tout contrôler. Et évidemment, rendre obligatoires les protections matérielles.
Et quand je dis "ouvert", c'est pas non plus complètement ouvert, mais plutôt ouvert avec une sécurité, parce que là c'est au mieux "fermé avec une sécurité dont seul le constructeur a le secret". A moins que tu sois capable de casser du RSA avec une clé de 2048 bits facilement, et si c'est le cas, que tu sois prêt à déployer de tels moyens pour casser un firmware parmi des milliards.
Alors bien sûr, ça ouvre la porte à de nouvelles failles pour que tu puisses casser une telle clé, mais ça change rien au fait qu'aujourd'hui déjà, certaines pièces de matos sont effectivement totalement ouvertes... qui n'a jamais mis à jour le firmware de sa carte wifi ou de son contrôleur USB depuis un simple exécutable lancé dans Windows auquel aucun soft de protection ne réagit ?
L'OS n'assure en rien la protection du matériel lorsqu'il s'agit de routines obscures que le constructeur manigance. Y'avait même des vieilles Soundblaster qu'on pouvait détourner simplement en jouant un son particulier avec. Ce son était une "clé", et permettant ensuite de la détourner en continuant de lui faire jouer des sons. N'importe quelle appli capable de jouer des sons est capable d'en prendre le contrôle, donc autant dire n'importe quelle appli tout court.
En ouvrant davantage, étonnamment, on peut mieux se protéger des attaques. Parce qu'en le laissant à l'état actuel, on est exposé aux mêmes risques, et on a aucun moyen de se protéger.
Pour moi le choix est pas dur...
jjoops>Qu'est-ce qui empèche le rootkit d'embarqué son propre flasher ?
Si le matériel ne permet pas le flashage logiciel, ta question ne sert à rien.
(il faut déjà enlever la puce, la mettre sur une carte de reprogrammation et la flasher)
Si le matériel permet le flashage par l'OS, là c'est autre chose mais ce n'est pas forcément courant (le bios, les firmware de lecteurs/graveurs optiques, ...)
jjoops>Bah justement, à part l'alim et la RAM, je vois pas de matèriel qui ne puisse pas être flashé depuis Windows :-/
du hacking de carte réseau depuis une simple connexion Ethernet ça s'est déjà vu.
Tu as une source là dessus ???
Je peux te retrouver ça. Ça a du passer sur slashdot, et même certainement chez schneier.
Evidemment c'était un peu comme le truc dont parle la news, des mecs qui y sont parvenus après de gros et longs efforts. Mais bon oui, ça reste possible...
jjoops>Bah justement, à part l'alim et la RAM, je vois pas de matèriel qui ne puisse pas être flashé depuis Windows :-/
Tu ne mélanges pas avec les drivers ?? Essaie donc de flasher ta souris
jjoops>Ah oui, c'est vrai, y a la sourie, l'écran, le clavier, les enceintes,... A coté de ça, t'as les DDs, les carte GFX, les cartes réseaux, les carte son, les carte raid, certaines imprimantes, les routeurs/box,...
jjoops>Ah oui, c'est vrai, y a la sourie, l'écran, le clavier, les enceintes,... A coté de ça, t'as les DDs, les carte GFX, les cartes réseaux, les carte son, les carte raid, certaines imprimantes, les routeurs/box,...
Non, mais y a des claviers et des souris qui peuvent être flashé, hein.
Tu ne mélanges pas avec les drivers ?? Essaie donc de flasher ta souris
Y a des souris avec un firmware modifiable. techniquement, la majorité des firmware sont sur des ROM flashable ou sur de la NAND, le problème est généralement de comprendre comment ça marche. Et si t'as pas une base de travail (genre un outil de flash du constructeur), ben c'est compliqué de savoir si c'est possible.
Y a même des adaptateurs écrans modifiables comme ça (DisplayPort vers VGA, par exemple)
Dandu>Ué mais ça se limite à des informations de configuration, pas à des programmes, non ?
Non, dans pas mal d'appareils, c'est le firmware qui est m!s à jour, pour corriger des bugs
un gars à réussi à intégrer un keylogger directement dans un clavier Apple, notamment (y a une news sur le sujet l'année dernière)
La modération >
Y a moyen de désactiver le système de point ?
Y a une bande de kevin qui ont rien d'autre à foutre que de retirer des points à moi ainsi que Red_13
A ceux qui s'amusent à ce petit jeu là >
changez de vie sociale, murissez je sais pas moi
Qu'est ce que vous foutez dans un forum High tech, si vous voulez vous défouler allez sur Facebook
mais arrêter de vous faire plus kikoos que vous l'êtes dans ce forum
Bon c'est l'heure d'aller au dodo les petits
Je parlais pas de bannir les puces dédiées, mais de donner plus facilement accès au firmware depuis l'OS, pour mieux surveiller ce qui s'y passe.Certaines pièces de matos ont un firmware qui nécessite une intervention directe sur la carte, d'autres laissent l'accès depuis l'OS, d'autres le sécurisent avec un procédé cryptographique... je parlais de standardiser ça, mais certainement pas de bannir ces puces, évidemment que c'est pratique ces trucs.
Surtout pas, non seulement c'est pratique mais en plus je ne pense pas que tout le monde (dans ce forum) connaissent la composition electronique des cartes, on risque d'altérer le bon fonctionnement, pire encore invalider le fonctionnement
Non moi, je pense que le problème est plutôt à orienter sur la configuration matérielle de la carte mère, intégrer une puce justement, qui permet de contrôler les données qui transitent par les différents ports comme l'a souligné Red_13. Les processeurs se perfectionnent de plus en plus, à l'heure où j'écris, y a d'autres nouveautés qui sortent, registres diversifiées unités de calcul, contrôleurs qui suivent, pourquoi ne pas y ajouter une puce qui permet justement de contrôler tout ce qui se passe.
Les mecs, hadopi ne connaissent rien en informatique surtout à notre niveau. Alors si justement on met en place un cryptage AES 256 ou clef RSA , je pencherait plutôt pour la première option, ils ne pourront pas s'amuser à décrypter chaque PC qui théoriquement y passeraient des milliards d'années. Sinon faudrait utiliser ce laser que j'avais vu dans une news sur un autre forum, qui a mis à mal le cryptage RSA, mais bon quand on fait joujou avec les voltages
Au fait Kenelm, tu connais pas le bon vieux site Korben non ?
Si tu t'y connais en bidouille et à mon avis vu le gabarit que j'ai en face, c'est le cas
Règle n°1 : ne rien négliger, du bidouillage à la législation en passant par le marketing
Règle n°2 : progresser le plus rapidement
C'est comme ça qu'on arrivera à survivre dans cette jungle éconumérique
Si je connais Korben, un site parmi tant d'autres... mais bon tout ça c'est beaucoup de boulot, et ça sert pas à grand chose de se protéger soi-même si tous les autres tombent dans le panneau.