Avertissement : les lignes que vous allez lire, sont une explication de texte, destinée au grand public et se basant sur la présentation « Intercoms Hacking – Call the Front Door and Install Your Back Door », faite par Sébastien Dudek, de la société Synacktiv, lors de Hack.Lu 2016. Cette présentation est disponible ici. Si vous préférez la vidéo, vous pouvez la regarder ici, lors de la Nuit du Hack 2016.
On aurait pu croire que les nouvelles constructions garantiraient un surplus de sécurité physique pour ses habitants. Mais comme cela va vous être expliqué, il n’en est rien et on en vient à regretter nos bons vieux digicodes. Aujourd’hui, la plupart des immeubles sont pourvus de digicodes avec un badge d’accès, mais également d’un interphone. Ce que vous ne saviez peut-être pas est que ces dispositifs utilisent le réseau GSM, TCP/IP ou encore le réseau WiFi. Cette facilité permet d’éviter la multiplication des câbles et s’installe plus facilement.
En France, il existe cinq principaux fournisseurs d’interphones :
- Comelit ;
- Intratone ;
- Norasly ;
- Urmet Captiv ;
- Linkcom.
Généralement, ce choix de fournisseur est opéré par le bailleur ou le constructeur. Les propriétaires achetant un bien ou un locataire s’installant dans un appartement dans un immeuble n’ont pas la maîtrise de ce type d’installation, qu’ils découvrent généralement à leur arrivée dans les lieux. Notons également que la documentation concernant les interphones est quasiment inexistante. Néanmoins, pour cette expérimentation, ce sont surtout les recherches sur la sécurité du réseau mobile qui ont été utilisées. Par ailleurs, le concepteur a indiqué qu’il était aussi possible d’acquérir un de ses interphones sur le Web afin de les étudier plus en profondeur. Enfin, c’est le matériel Linkcom qui a été exploité pour l’expérience.
Qu’on se rassure : ce type d’attaques n’est pas à la portée de tout le monde. Il faut de solides connaissances sur le réseau mobile et surtout du matériel spécifique, qui n’est pas nécessairement à la portée de toutes les bourses. Nonobstant cette mise en garde, cela est une démonstration supplémentaire que la surutilisation de technologie n’est pas une garantie de sécurité.
Comment identifier l’interphone comme étant un interphone numérique ? Parfois, il y a un écran LCD ou un module GSM ou 3 G est installé à proximité. Mais plus basiquement, une simple requête dans un moteur de recherche permet de lever les doutes. Concernant les modules 3G, à la lecture de la documentation, il est possible de voir que lorsque la 3G ne fonctionne pas, c’est le réseau GSM qui est utilisé.
Il faut savoir qu’il existe des failles dans le réseau GSM. Par exemple, votre téléphone cherche en permanence le meilleur signal GSM possible et il suffit de faire un faux transmetteur de signal pour « attraper » les téléphones, car il n’y a pas d’authentification mutuelle.
Sur le plan de la sécurité, si l’interphone est sur de la 3G ou de la 4G, il va être plus difficile de l’attaquer. L’astuce consiste donc à « rétrograder » l’interphone pour le forcer à utiliser le réseau 2G, car cela est plus simple. Pour cela, on utilise une attaque « jamming », c’est-à-dire qu’on va émettre du bruit gaussien. On peut également citer les attaques protocolaires, mais elles sont plus difficiles. On peut faire du jamming, en utilisant un outil, qui coûte environ 300 €, qui va rétrograder les appareils environnants de la 4 ou 3 G sur la 2 G.
Dans cette expérimentation, c’est l’interphone Linkcom qui a été ciblé, qui a besoin d’une carte SIM pour fonctionner.
Les interphones peuvent être configurés de trois façons :
- Par une interface de programmation et le logiciel d’installation Link iDP ;
- Avec un lecteur/programmeur de carte SIM ;
- Par SMS.
La carte SIM doit être configurée pour avoir un administrateur, qui doit être enregistré sous l’appellation « ADMIN1 » dans les contacts de la carte SIM, afin de gérer à distance l’interphone, lui envoyer des commandes, etc.
Les étapes de l’attaque sont les suivants :
- Il va falloir identifier l’opérateur utilisé par l’interphone ;
- Il faut repérer les numéros privilégiés préalablement enregistrés ;
- Il faut configurer le faux transmetteur de signal GSM, en associant l’IMSI de la carte SIM de l’attaquant, un résident de l’immeuble ;
- On appelle.
Au lieu que l’interphone appelle un résident réel, il faut lui indiquer d’appeler un autre numéro, qu’il va légitimement prendre comme étant un résident, ce qui permet de débloquer la porte.
Je ne rentre pas volontairement dans les détails plus techniques. Mais parmi les aspects encore plus triviaux de cette expérimentation, il y a la possibilité de remplacer le numéro de téléphone de l’un des résidents, enregistrés dans la carte SIM de l’interphone, par un numéro surtaxé.
Encore une fois, il s’agit d’une explication allégée par rapport à la présentation initiale et elle n’est pas à la portée de tout le monde. Néanmoins, cela soulève un certain nombre d’interrogations quant à l’absence de prise en considération du risque dans la mise en place des équipements du quotidien.
Ajouter un commentaire