{"id":1815,"date":"2019-04-24T00:00:00","date_gmt":"2019-04-24T00:00:00","guid":{"rendered":"http:\/\/v32019.vaadata.com\/blog?p=1815"},"modified":"2021-08-04T11:50:47","modified_gmt":"2021-08-04T09:50:47","slug":"pentest-iot-10-types-de-tests-hardware-et-software","status":"publish","type":"post","link":"https:\/\/www.vaadata.com\/blog\/fr\/pentest-iot-10-types-de-tests-hardware-et-software\/","title":{"rendered":"Pentest IoT : 10 types de tests hardware et software"},"content":{"rendered":"\n
\"Pentest<\/figure><\/div>\n\n\n\n

La s\u00e9curit\u00e9 des objets connect\u00e9s<\/strong> est un sujet d\u2019actualit\u00e9, cependant les tests d\u2019intrusion IoT<\/strong> sont encore loin d\u2019\u00eatre une pratique g\u00e9n\u00e9ralis\u00e9e. La plupart des constructeurs priorisent d\u2019abord les fonctionnalit\u00e9s et le design du produit. Cependant, m\u00eame avec une approche \u00ab\u00a0security by design\u00a0\u00bb<\/em>, le test d\u2019intrusion reste incontournable pour conna\u00eetre les risques de s\u00e9curit\u00e9 r\u00e9els, puis pour prendre les mesures n\u00e9cessaires.<\/p>\n\n\n\n\n\n\n\n

Qu’est-ce qu’un pentest IoT ?<\/h2>\n\n\n\n

Un objet connect\u00e9 est une solution complexe, avec diff\u00e9rents points d\u2019entr\u00e9e potentiels pour un attaquant. Un audit de s\u00e9curit\u00e9 d\u2019objet connect\u00e9<\/strong> (ou pentest IoT<\/a>) comprend des tests sur l\u2019ensemble de l\u2019\u00e9cosyst\u00e8me de l\u2019objet, c\u2019est-\u00e0-dire\u00a0: la couche \u00e9lectronique, le logiciel embarqu\u00e9, les protocoles de communication, le serveur, les interfaces web et mobiles. Les tests c\u00f4t\u00e9 serveur, interfaces web et applications mobiles<\/a> ne sont pas sp\u00e9cifiques \u00e0 l\u2019IoT, cependant ce sont des tests importants, car il s\u2019agit de pans particuli\u00e8rement \u00e0 risques. Les tests c\u00f4t\u00e9 \u00e9lectronique, logiciel embarqu\u00e9 et protocoles de communication concernent des vuln\u00e9rabilit\u00e9s plus sp\u00e9cifiques \u00e0 l\u2019IoT.<\/p>\n\n\n\n

Il existe trois types d\u2019attaques sp\u00e9cifiques sur les objets connect\u00e9s et les syst\u00e8mes embarqu\u00e9s. Les attaques software, les attaques hardware non invasives et les attaques hardware invasives. Les premi\u00e8res profitent des failles logicielles, les secondes r\u00e9cup\u00e8rent des informations du hardware sans l\u2019endommager tandis que les derni\u00e8res impliquent l\u2019ouverture des composants et donc leur destruction pour pouvoir en tirer des secrets. Si les deux premiers types d\u2019attaques ne n\u00e9cessitent pas beaucoup de moyens, ce n\u2019est pas le cas des attaques invasives pour lesquelles des \u00e9quipements tr\u00e8s co\u00fbteux sont n\u00e9cessaires.<\/p>\n\n\n\n

Voici dix types de tests concrets conduits lors de l\u2019audit de s\u00e9curit\u00e9 d\u2019un objet connect\u00e9, illustr\u00e9s par quelques exemples m\u00e9diatis\u00e9s et embl\u00e9matiques. Pour chaque point abord\u00e9 ci-dessous, il existe de nombreux outils et m\u00e9thodes qui profitent de failles tr\u00e8s diverses. Il s\u2019agit donc d\u2019une liste non exhaustive.<\/p>\n\n\n\n

Attaques software<\/h2>\n\n\n\n

1\/ D\u00e9tection de ports de communication ouverts et mal prot\u00e9g\u00e9s<\/span><\/h3>\n\n\n\n

Il est courant que des ports soient laiss\u00e9s ouverts \u00e0 des fins de d\u00e9bogage ou par oubli. Shodan<\/a>, un moteur de recherche d\u00e9di\u00e9 aux objets connect\u00e9s \u00e0 internet, donne un aper\u00e7u de la diversit\u00e9 des syst\u00e8mes connect\u00e9s. Il peut trouver tout ce qui a une interface web, une IP visible publiquement : webcams, imprimantes ou encore serveurs. Conna\u00eetre (ou trouver) les identifiants par d\u00e9faut suffit alors pour s\u2019y connecter, et ensuite r\u00e9cup\u00e9rer des informations, acc\u00e9der \u00e0 d\u2019autres services\u2026<\/p>\n\n\n\n

Lors d\u2019un pentest ou une attaque\nsur un objet en particulier, ce sont plut\u00f4t des outils comme Nmap, un scanner\nde ports libre, qui va permettre au pentester de trouver les ports ouverts et\nles services les utilisant. L\u2019observation du trafic permet de plus d\u2019identifier\nles diff\u00e9rents ports utilis\u00e9s et de voir s\u2019ils sont prot\u00e9g\u00e9s. Chaque port\nouvert indique l\u2019utilisation d\u2019une application, d\u2019un service particulier, ayant\npotentiellement des failles exploitables. Certains services, comme le protocole\nTelnet, ne sont pas s\u00e9curis\u00e9s et peuvent \u00eatre sujet au sniffing.<\/p>\n\n\n\n

\"Mirai_botnet\"<\/figure><\/div>\n\n\n\n

Apparu en 2016, le malware Mirai<\/a> se propage par le protocole Telnet et gr\u00e2ce \u00e0 des mots de passe par d\u00e9faut, \u00e0 travers des centaines de milliers d\u2019objets connect\u00e9s non prot\u00e9g\u00e9s. Les syst\u00e8mes infect\u00e9s sont utilis\u00e9s pour mener des attaques DDoS d\u2019ampleur, mettant les cibles attaqu\u00e9es hors service. L\u2019entreprise Dyn et ses services DNS<\/a> en ont notamment \u00e9t\u00e9 victimes, ce qui a entra\u00een\u00e9 des pertes financi\u00e8res importantes.<\/p>\n\n\n\n

2\/ Capture et analyse des signaux radio (sniffing) – multi-protocoles<\/span><\/h3>\n\n\n\n

Les objets\nconnect\u00e9s utilisent le plus souvent une technologie de communication sans fil\npour \u00e9changer des donn\u00e9es. Muni d\u2019un logiciel d\u2019analyse de paquets comme\nWireshark et d\u2019un adaptateur pour la technologie sans fil vis\u00e9e, un attaquant\npeut r\u00e9cup\u00e9rer les informations transmises par et vers l\u2019objet cibl\u00e9. <\/p>\n\n\n\n

Si les\ncommunications se font en filaire, le sniffing est \u00e9galement possible. Il faut\nalors \u00eatre plus pr\u00e8s du r\u00e9seau pour pouvoir s\u2019y connecter.<\/p>\n\n\n\n

Suivant le\nprotocole utilis\u00e9, la taille des paquets peut varier et emp\u00eacher\nl\u2019impl\u00e9mentation d\u2019une solution de chiffrement des communications : les\ndonn\u00e9es sont alors envoy\u00e9es en clair.<\/p>\n\n\n\n

Lors d\u2019un\npentest, le sniffing est utilis\u00e9 sur le fonctionnement normal de l\u2019appareil\nafin de voir si des informations importantes comme des cl\u00e9s, des hashs, des\nmots de passe sont envoy\u00e9es et exploitables. Cette technique permet \u00e9galement\nde voir quels ports sont utilis\u00e9s et par quelles fonctions, ce qui contribue\nainsi au test pr\u00e9c\u00e9dent.<\/p>\n\n\n\n

3\/ D\u00e9tection d’interfaces de configuration ou de backdoors<\/span><\/h3>\n\n\n\n

Parfois, une\nbackdoor ou une interface de configuration est laiss\u00e9e sur un produit apr\u00e8s la\nfin du d\u00e9veloppement. Ce qui \u00e9tait un avantage pour l\u2019\u00e9quipe de d\u00e9veloppement\npour tester et modifier le produit devient alors une porte grande ouverte pour\nun attaquant. <\/p>\n\n\n\n

Pendant un test\nd\u2019intrusion, il est possible de d\u00e9tecter ces interfaces et backdoors en faisant\ndu sniffing. En isolant les \u00e9changes de donn\u00e9es non n\u00e9cessaires au\nfonctionnement du syst\u00e8me, des ports ouverts pour des services d\u2019interface de\nconfiguration ou backdoors sont mis en \u00e9vidence. La s\u00e9curit\u00e9 de ces ports doit\nalors \u00eatre test\u00e9e.<\/p>\n\n\n\n

4\/ Buffer overflow<\/span><\/h3>\n\n\n\n

Le d\u00e9bordement\nde tampon consiste en l\u2019\u00e9criture d\u2019une donn\u00e9e dans un buffer au-del\u00e0 de sa\ncapacit\u00e9, entrainant ainsi la r\u00e9\u00e9criture d\u2019espaces m\u00e9moire adjacents. Les\nbuffers des syst\u00e8mes embarqu\u00e9s ont une m\u00e9moire assez petite, le risque de\nbuffer overflow est donc bien pr\u00e9sent. Le syst\u00e8me cibl\u00e9 peut par cons\u00e9quent ne\nplus marcher correctement.<\/p>\n\n\n\n

Un attaquant\npeut alors envoyer du code malveillant dans la partie r\u00e9\u00e9crite afin de mettre\nen place une backdoor pour prendre le contr\u00f4le de l\u2019appareil.  <\/p>\n\n\n\n

Tester la\nvuln\u00e9rabilit\u00e9 au buffer overflow d\u2019un objet connect\u00e9 revient \u00e0 tester les\napplications serveurs et embarqu\u00e9es. L\u2019\u00e9tude du code ou plus simplement le test\ndes diff\u00e9rents champs avec de grandes valeurs permet de mettre en \u00e9vidence la\npr\u00e9sence de cette vuln\u00e9rabilit\u00e9 et de l\u2019exploiter.<\/p>\n\n\n\n

En septembre 2018, c\u2019est une faille qui a \u00e9t\u00e9 trouv\u00e9e et exploit\u00e9e sur des cam\u00e9ras de surveillance, vous pouvez d\u00e9couvrir l\u2019attaque plus en d\u00e9tail ici<\/a> (en anglais).<\/p>\n\n\n\n

5\/ Cassage de mots de passe<\/span><\/h3>\n\n\n\n

Tenter de casser les mots de passe d\u2019IoT s\u2019av\u00e8re g\u00e9n\u00e9ralement tr\u00e8s fructueux. Les couples identifiant \/ mot de passe par d\u00e9faut ne sont pas toujours modifi\u00e9s apr\u00e8s d\u00e9veloppement du produit. De plus, le m\u00eame couple est souvent utilis\u00e9 sur toute une s\u00e9rie de produits. Crackez-le une fois et vous avez acc\u00e8s \u00e0 des milliers d\u2019appareils. Les attaquants trouvent ou ach\u00e8tent en ligne des listes des identifiants par d\u00e9faut de nombreux produits. <\/p>\n\n\n\n

Les pentesters\n\u00e9valuent la robustesse de mots de passe en utilisant des dictionnaires de mots\nde passe ou en faisant du brute force, ce qui demande un peu plus de temps et\nde moyens mat\u00e9riels. N\u2019importe quel attaquant peut casser un mot de passe avec\nces techniques.<\/p>\n\n\n\n

Prenons\nmaintenant l\u2019exemple du cassage d\u2019un mot de passe sur le microcontr\u00f4leur d\u2019un\nsyst\u00e8me embarqu\u00e9.<\/p>\n\n\n\n

Apr\u00e8s avoir\n\u00e9tudi\u00e9 les fiches techniques des diff\u00e9rents composants du produit, l\u2019attaquant\npeut mener une attaque par injection de fautes en perturbant par exemple la\ntension d\u2019alimentation ou en \u00e9mettant des ondes \u00e9lectromagn\u00e9tiques sur des\nzones pr\u00e9cises des composants. En faisant cela, il peut emp\u00eacher l\u2019ex\u00e9cution de\ncertaines parties du code comme celle responsable du blocage apr\u00e8s un nombre\nfini de tentatives rat\u00e9es. Avec un autre microcontr\u00f4leur, il lui est alors\npossible d\u2019attaquer par brute force le mot de passe.<\/p>\n\n\n\n

6\/ Debugging<\/span><\/h3>\n\n\n\n

Il arrive qu\u2019une\ninterface de d\u00e9bogage soit toujours accessible sur l\u2019IoT cibl\u00e9. Si un attaquant\ny acc\u00e8de, cela permet de contourner compl\u00e8tement les protections et d\u2019obtenir\nun contr\u00f4le direct sur l\u2019appareil. Une interface accessible peut faire\nd\u2019\u00e9conomiser beaucoup d\u2019efforts aux attaquants, ne leur facilitons pas la\nt\u00e2che. <\/p>\n\n\n\n

\"Teddy<\/figure><\/div>\n\n\n\n

Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte par exemple chez un ourson en peluche connect\u00e9 (article en anglais).<\/a> N\u2019importe qui ayant un acc\u00e8s physique au jouet pouvait avoir un acc\u00e8s complet au syst\u00e8me de l\u2019ourson. Le nom, l\u2019anniversaire ou encore le genre pouvaient \u00eatre r\u00e9cup\u00e9r\u00e9s par l\u2019attaquant et r\u00e9utilis\u00e9s pour casser d\u2019autres mots de passe par exemple. <\/p>\n\n\n\n

7\/ Modification du firmware (logiciel embarqu\u00e9)<\/span><\/h3>\n\n\n\n

De nombreuses\nfailles permettent de modifier le logiciel d\u2019un appareil. Les attaquants ont diff\u00e9rentes\npossibilit\u00e9s :<\/p>\n\n\n\n