De nouvelles attaques sur les tags RFID

Par Rédaction, secuobs.com
Le 12/09/2006

---

Résumé : Lors de la dernière conférence Black Hat, Lukas Grunwald a présenté un panorama des différentes attaques sur les systèmes RFID. Quelques nouveaux éléments viennent s’ajouter à la présentation de Gildas Avoine en Juin dernier au SSTIC. - Lire l'article






Lors de la dernière conférence Black Hat ( lien ), Lukas Grunwald a présenté un panorama des différentes attaques sur les systèmes RFID (Radio Frequency IDentification - lien ).

Quelques nouveaux éléments viennent s’ajouter à la présentation de Gildas Avoine en Juin dernier au SSTIC ( lien ) déjà traitée sur Secuobs ( lien ). La technologie RFID, désormais bien connue, est une technologie sans fil courte distance, largement utilisée dans la logistique par exemple.

Elle est également de plus en plus répandue dans les supermarchés faisant office de systèmes anti-vol. Certains équipements peuvent atteindre des distances de près de 500 mètres en UHF (Ultra Hautes Fréquences).

Plusieurs types de tags (les puces RFID sont communément appelées tags) sont présentés :

- Les tags passifs répondant à l’émetteur via un identifiant censé être unique : il est évident que les attaques possibles sur ce type de tags sont triviales. Il suffit alors de simuler l’identifiant du dongle légitime côté attaquant.

Une écoute passive permet des attaques par rejeu. Suivant les types de tags utilisés, il faudra adapter la fréquence du scanner. Pour les flux en clair, les attaques sont relativement simples à mettre en oeuvre.

- Les tags destinés au stockage et dont certains modèles supportent des algorithmes de chiffrement.

- Les tags intégrant des API, assimilables à des smart cards. Ceux-ci sont particulièrement décrits dans la présentation ( lien ).

Ils peuvent constituer des moyens d’authentification fiables s’ils sont correctement utilisés. D’autres systèmes utilisaient auparavant un timestamp combiné aux données, le tout utilisant un algorithme symétrique :





Les implémentations de plusieurs tags RFID sont sérieusement remises en question dans la présentation puisque les 3/4 d’entre elles utilisent des clefs par défaut...

Il est de plus possible de mener des attaques du type DoS physiques sur le matériel ( lien ) à partir de simples appareils photos jetables recyclés ! Les applications logistiques et les RFID utilisés en anti-vol sont évidemment particulièrement affectés par ces attaques.

Les recherches d’informations ont été laborieuses pour les chercheurs puisque qu’une grande partie des documentations étaient sujettes à des NDA pour des raisons de confidentialité. Cependant, plusieurs informations ont pu être récupérées à l’aide de google desktop.

En effet, “par chance” (du moins du point de vue des chercheurs en sécurité), plusieurs développeurs l’avaient installé (cf. capture slide 21). Les clefs par défaut sur certains modèles de tags ont pu être récupérées et 75% des applications testées utilisaient des clefs par défaut (... dont l’application finale est d’apporter un semblant de sécurité !).

Les attaques par bruteforce ne sont pas freinées par des timeouts entre plusieurs authentifications infructueuses mais le matériel actuel ne semble en revanche pas approprié à ce type d’attaques exhaustives.

A raison d’une réponse toutes les 25 ms, il faudrait 22623 années pour énumérer l’ensemble des clefs. Adam Laurie a d’ailleurs récemment posté sur Bugtraq un dump de passeport britannique ( lien ).

Sur le ton de l’humour, il encourage les gens à tenter de bruteforcer le dump, en partant du constat que certaines personnes gagnent au loto... ! : This is about as likely to work as winning the national lottery three times in a row, but what the hell? Odds like that don't stop people playing the national lottery three times in a row... If you "win" please let me know! :)

Rfdump ( lien ) , permet de récupérer le contenu de la mémoire d’un tag RFID (pour les zones disponibles, une base de tags permet de ne pas lire en dehors des adresses disponibles).

De nombreux lecteurs peuvent également écrire dans les tags. Adam Laurie tiendra un workshop sur le sujet lors de la conférence Defcon, et propose un travail commun sur les passeports à base de puces RFID ( lien ).

Lukas Grunwald met l’accent sur les backends utilisés avec les tags RFID, tels que certains ERP connus pour leurs défauts à ce niveau. Quelques éléments sur les passeports RFID sont donnés dans la présentation, avec notamment :

- Les zones mémoires : informations sur l’utilisateur, photographie, empreintes digitales ou données biométriques (zone optionnelle), signatures électroniques, etc.

- Un UID aléatoire à chaque interrogation du tag pour éviter les traçages d’utilisateurs : Adam Laurie veut d’ailleurs corréler plusieurs passeports pour avancer sur ce sujet lors de son workshop.

- Les zones mémoires sont lisibles par l’émetteur après authentification de ceux-ci. Une zone mémoire est présente à cet effet : la MRZ (Memory Readable Zone).

Il est également à noter qu’aucune CRL n’est encore implémentée..

Ressources Wikipedia RFID : lien