Attention, verrouiller sa session avant de s’absenter de son poste n’est pas suffisant pour protéger son ordinateur contre un pirate qui dispose d’un accès physique à la machine. Le hacker Samy Kamkar vient de montrer qu’il suffit d’y brancher en USB un nano-ordinateur de type Raspberry Pi Zero (coût: 5 dollars) pour récupérer un grand nombre de cookies d’authentification avec lesquels le pirate pourra ensuite se loguer sur les sites en question. Baptisé PoisonTap, cet appareil pourra même installer sur l’ordinateur une backdoor qui permettra au pirate d’exécuter du code à distance par la suite.
Comment ça marche? Samy Kamkar s’inspire en réalité d’une attaque réalisée en septembre dernier par le chercheur Rob Fuller, qui avait réussi à voler les identifiants Windows d’un PC verrouillé en branchant une clé USB programmable. L’attaque est très maligne, car votre antivirus n’y verra que du feu : elle ne repose en effet sur aucun exploit, simplement sur des faiblesses intrinsèques de la plupart des systèmes d’exploitation actuels.
PoisonTap va en effet faire croire à l’ordinateur qu’il est un adaptateur Ethernet connecté au réseau local. Grâce à un serveur DHCP embarqué, l’appareil va pouvoir intercepter les requêtes web qu’une page web ouverte envoie de manière automatique, même sans action utilisateur (un rafraichissement d’une page ou un chargement d’une nouvelle pub par exemple). En retour, PoisonTap va injecter sur cette page des milliers de sous-pages cachées (sous la forme d’iframes), chacune simulant une connexion vers un site réel (un service bancaire ou un compte de stockage cloud par exemple).
Le navigateur, n’y voyant que du feu, va automatiquement renvoyer le cookie d’authentification s’il y en a un pour ces différents domaines. Avec un tel cookie, explique Samy Kamkar, le pirate pourra directement se connecter sur le site avec l’identité de la victime, même si celle-ci utilise un système d’authentification à double facteur. Cette attaque fonctionne avec tous les sites web non chiffrés (ceux qui sont simplement en HTTP) mais même les sites sécurisés en HTTPS peuvent en être la victime, s’ils autorisent l’envoi de cookies par un canal non chiffré.
Et il y a pire. Comme les iframes contiennent non seulement du HTML, mais aussi du Javascript, elles permettent d’initialiser des canaux de communication appelés WebSocket que le pirate peut réactiver, même si le PoisonTap est débranché. Avec une telle porte dérobée, le pirate pourra exécuter à distance du code dans le navigateur de la victime, et cela aussi longtemps que celle-ci n’effacera pas son cache. Il pourra même envoyer des requêtes HTTP vers l’interface d’administration web de son routeur. Si ce dernier est peu sécurisé – ce qui est fréquent – il pourra alors s’identifier sur cet appareil à distance.
Pas de problème sur un Mac avec FileVault2
Pour se protéger, l’utilisateur peut fermer à chaque fois son navigateur quand il quitte son poste. Mais ce n’est pas très réaliste. La seule protection réelle à sa disposition est un ordinateur qui chiffre sa mémoire lorsqu’il se met en veille. C’est le cas, par exemple, d’un Mac avec le chiffrement FileVault2 activé. « Dans ce cas, le navigateur ne peut plus faire de requêtes », souligne Samy Kamkar dans sa note de blog. Mais sinon, il n’y a qu’une solution : « Mettre du ciment dans les ports USB et Thunderbolt », souligne-il, un brin narquois. Côté serveur, en revanche, il y a une solution simple, c’est d’utiliser uniquement des connexions HTTPS, d’activer le SecureFlag pour les cookies et de vérifier l’intégrité des requêtes Javascript. De ce point de vue, les sites de Google et de Facebook sont bien sécurisés. A bon entendeur…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.