Piratage de systèmes de fermeture : Jeu facile par interface aérienne

Dans le cas des systèmes de fermeture mécatroniques sans fil, des informations sensibles sont échangées par le biais d'une interface sans fil qui peut être utilisée par une attaque à l'oreille.
peuvent, selon la technologie, être espionnés à une centaine de mètres par exemple. Pour certains systèmes de contrôle d'accès extrêmement peu sûrs
il suffit de rejouer un code radio intercepté pour ouvrir des portes sans autorisation. Il en résulte donc des scénarios d'attaque, comme la création à distance de doubles de clés sans que l'accès physique à la clé originale soit nécessaire.

L'attaque dite de relais représente un autre risque de sécurité. Dans ce cas, deux pirates collaborent : l'un récupère les données radio de la serrure électronique de la porte à ouvrir et l'autre établit une connexion à plusieurs centaines de mètres de distance avec le jeton se trouvant par exemple dans la poche de la victime. Les données sont transmises en temps réel de la serrure de porte au jeton et vice-versa via un canal radio séparé, de sorte que la serrure de porte peut être ouverte sans autorisation à l'aide du jeton distant. De nombreux véhicules de luxe peuvent aujourd'hui être dérobés de cette manière.

Comme contre-mesure la plus efficace contre les attaques de relais, nous recommandons de donner la préférence aux tokens pour lesquels une interaction définie de l'utilisateur, comme une pression sur un bouton de l'émetteur portatif, est nécessaire pour ouvrir la porte. Le jeton n'est donc pas actif en permanence et peut
Les clés ne peuvent donc généralement pas être lues à distance sans être détectées. Les utilisateurs d'autres supports d'identification, tels que les cartes sans contact ou les clés intelligentes, pour lesquels la simple présence du jeton suffit à obtenir l'accès à un objet sécurisé, sont invités à utiliser les méthodes de protection traditionnelles, par exemple en enveloppant le jeton d'une feuille d'aluminium usuelle - malgré le fait qu'il s'agisse d'un objet de valeur.
les restrictions de confort qui en découlent.

La prudence est également de mise avec les smartphones (NFC) : Ils offrent une surface d'attaque particulièrement grande, car ils sont équipés d'interfaces multiples et d'un système d'exploitation complexe (avec les failles de sécurité et les portes d'entrée possibles correspondantes pour les pirates). Une infestation par des logiciels malveillants est possible et pourrait donner à des personnes non autorisées le contrôle total du smartphone (et des mécanismes intégrés pour le contrôle d'accès).

Les systèmes d'accès électroniques qui ne nécessitent pas la pose de câbles et qui peuvent reprogrammer les différents cylindres de fermeture mécatroniques via une interface radio offrent certes un confort particulièrement élevé. Cela permet par exemple d'apporter des améliorations au micrologiciel du cylindre de fermeture pendant le fonctionnement. Mais attention : cette fonction comporte en même temps des risques élevés - c'est pourquoi il est important d'être prudent.
il convient d'accorder une attention particulière à la conception et à la mise en œuvre sûres d'une mise à jour du micrologiciel protégée par un système cryptographique. Sinon, on court le risque de dévoiler le code de programme propriétaire à un pirate (protection IP) ou d'ouvrir de nouvelles possibilités de manipulation,
par exemple l'attribution non autorisée d'autorisations de fermeture. Certains fabricants de systèmes de fermeture électroniques mettent même à disposition sur leur site web des parties de leur firmware non protégées à des fins de mise à jour - une pratique qui doit être jugée de manière très critique.

Généralement non utilisée : la cryptographie incassable

Pour se protéger des attaques, les jetons et les cylindres de fermeture, en particulier lorsqu'ils sont utilisés pour la communication sans fil ou la radio, ont impérativement besoin de procédés de cryptage fiables. Pour ce faire, des puces performantes sont aujourd'hui utilisées même dans les plus petits appareils intégrés, comme les jetons pour ouvrir les portes. Elles calculent en une fraction de seconde des procédés cryptographiques hautement sécurisés, comme le 3DES ou l'AES normalisé en 2001, afin de crypter les données en un texte secret. Avec ces procédés, le texte en clair correspondant ne peut être lu que par un tiers.
être recalculé en connaissant la clé cryptographique secrète utilisée pour le cryptage. Il n'est pas possible de deviner la
Le nombre inimaginable de possibilités qu'offre la clé de cryptage rend son utilisation impossible. À titre de comparaison, 112 bits pour 3DES et 128 bits pour AES donnent respectivement 2112 et 2128 possibilités, le nombre d'atomes de la Terre correspondant à environ 2170. En outre, ces méthodes de cryptage modernes sont résistantes à toutes les formes connues de cryptanalyse (le "craquage" mathématique du cryptage).
résistants : aucun chercheur au monde n'a pu jusqu'à présent trouver d'attaque qui mette en péril la sécurité des procédés mentionnés, publics depuis de nombreuses années. Une autre classe d'algorithmes sécurisés, comme RSA et ECC, permet d'utiliser deux systèmes cryptographiques différents.
("paire de clés"), à savoir l'une pour le décryptage et l'autre pour le décryptage des informations. L'avantage est que seule la seconde doit être gardée secrète, tandis que la première peut être distribuée à tout le monde. Utilisée correctement, par exemple en utilisant des clés cryptographiques générées de manière réellement aléatoire, la cryptographie moderne offre donc des méthodes et des outils sûrs pour
de réaliser des systèmes de fermeture mécatroniques théoriquement incassables, dont le confort et la sécurité sont nettement supérieurs à ceux de tout système purement mécanique. Voilà pour la théorie. Mais dans la pratique, il existe malheureusement encore sur le marché un grand nombre de systèmes de fermeture cryptographiquement faibles et donc peu sûrs.

Souvent moins sûr qu'un système mécanique 

Ainsi, nos analyses de sécurité de ces dernières années ont montré, dans la pratique, des lacunes considérables dans de nombreuses solutions commerciales d'ouverture mécatronique des portes, ce qui permet d'obtenir facilement un accès non autorisé. Souvent, des procédures obsolètes ou propriétaires sont utilisées pour le cryptage et la vérification de l'autorisation d'accès, qui peuvent être facilement contournées. Les faiblesses de sécurité évidentes dans les différents systèmes de fermeture électronique donnent une impression d'ignorance.
en matière de cryptographie et des caractéristiques des technologies utilisées. Les attaques correspondantes impliquent souvent une baisse de la
niveau de protection inférieur à celui d'un système mécanique.

Clé supplémentaire via l'émulateur de carte 

Un exemple classique et répandu est celui des systèmes basés sur Mifare-Classic, qui n'utilisent même pas le cryptage propriétaire intégré dans les cartes (Crypto1), mais se contentent d'évaluer un nombre unique et invariable (appelé UID) appliqué par le fabricant. L'hypothèse selon laquelle aucune autre carte avec un UID identique n'est disponible chez le fabricant est correcte. Il existe toutefois d'autres possibilités de lire à nouveau l'UID d'une carte, par exemple par le biais du "Caméléon":
L'émulateur de cartes peut imiter entièrement n'importe quelle carte sans contact en tant que projet à monter soi-même, avec des coûts de composants d'environ 20 euros - les cartes ISO 14443 MifareUltralight, Classic, DESfire et DESfire EV1 ainsi que quelques cartes ISO 15693 sont actuellement prises en charge. En outre, il faut
Il existe des cartes sans contact compatibles avec Mifare Classic, fabriquées par un tiers, dont l'UID peut être modifié à volonté par l'utilisateur. Un agresseur peut ainsi obtenir l'UID et donc l'autorisation de fermeture de la carte écoutée en lisant la communication avec un cylindre de porte à plusieurs mètres ou lire directement l'UID d'une carte étrangère à l'aide d'un lecteur à une distance allant jusqu'à 30 cm (durée du processus de lecture : environ 20 millisecondes). Ensuite, un badge programmé avec l'UID intercepté sert, par exemple, de "carte d'accès".
Chameleon comme double de la clé. Comparé au contournement non autorisé d'un système purement mécanique, l'attaquant a ici la partie facile via l'interface aérienne.

Certes, le chiffrement Crypto1 des cartes Mifare Classic s'est révélé très faible depuis la rétro-ingénierie de 2007, mais une utilisation correcte des fonctions de sécurité intégrées dans la carte permettrait d'atteindre au moins un niveau de protection correspondant à peu près à celui d'un système de fermeture mécanique. Une condition importante serait que chaque carte du système possède des clés cryptographiques individuelles, de sorte que chaque carte doit être attaquée individuellement pour accéder à son contenu, c'est-à-dire à l'autorisation de fermeture. Dans les réalisations réelles utilisant Crypto1, on trouve alors des clés cryptographiques identiques (souvent même les valeurs "par défaut" définies par le fabricant de la puce et donc connues de l'attaquant) dans toutes les cartes d'un système de fermeture. Cette mauvaise utilisation répandue de la cryptographie ("pas de variation des clés cryptographiques") réduit à nouveau énormément la sécurité, car l'extraction unique des clés cryptographiques d'une carte donne libre accès à n'importe quelle carte du système (et à la communication radio correspondante).

Tous les systèmes dits à code fixe, dont l'interface radio fonctionne sans cryptographie (par ex. les solutions basées uniquement sur l'UID avec les cartes Mifare Classic, l'utilisation de cartes Mifare Ultralight, différents émetteurs portables actifs sur 433/868 MHz et les transpondeurs à code fixe dans la plage de 125 kHz, comme HID ProxCard), sont nettement inférieurs à un système de fermeture mécanique classique en termes de sécurité et, de l'avis de tous, ne sont pas compatibles avec les systèmes à code fixe.
des auteurs pour le contrôle d'accès sécurisé sont totalement inappropriées. De même, les fonctions de sécurité ne devraient en aucun cas reposer sur des procédés de cryptage propriétaires ou notoirement faibles, mais exclusivement sur des procédés évalués publiquement et considérés comme sûrs.

Attaques sur la clé du fabricant 

Une autre erreur typique dans la déduction des secrets cryptographiques a été commise par exemple dans le cas des ouvre-portes radio "KeeLoq" de Microchips. Les télécommandes actives génèrent à chaque pression sur un bouton un nouveau code dit "roll", qui est calculé sur la base de l'adresse de l'émetteur.
Le système de cryptage propriétaire KeeLoq permet de vérifier l'exactitude et l'actualité de la clé dans le centre de réception après son décryptage. Chaque émetteur portable possède à cet effet un numéro de série et des clés cryptographiques individuelles. Ces dernières sont toutefois
est calculée à l'aide d'une clé de fabricant attribuée par fabricant, qui se trouve dans chaque récepteur du fabricant concerné. Dans notre analyse de sécurité, nous avons pu montrer qu'un pirate pouvait extraire cette clé du fabricant à partir d'une seule mesure de courant d'un récepteur, au moyen de ce que l'on appelle l'analyse des canaux latéraux. Connaissant la clé du fabricant, il peut alors facilement calculer les clés cryptographiques de n'importe quel émetteur portable du fabricant (dans le jargon, un "single point-of-failure"), ce qui équivaut à une défaillance totale de la sécurité du système KeeLoq : Après avoir enregistré un seul code d'ouverture (de défilement) à une distance d'environ 100 mètres, le code écouté peut être lu par un tiers.
l'émetteur portatif peut être dupliqué. Le pirate génère ainsi un double de la clé via l'interface radio, qui peut être utilisé de manière répétée et éventuellement à l'insu de tous pour ouvrir une porte sans autorisation.

Dans une autre analyse de sécurité des cartes Mifare-DESfire-MF3ICD40 de NXP, nous avons pu montrer avec succès que des attaques par canal latéral via la mesure du rayonnement électromagnétique des cartes permettent d'extraire les clés cryptographiques qu'elles contiennent. Ces attaques sont toutefois nettement plus complexes que dans le cas de KeeLoq : concrètement, il faut environ 250.000 mesures pour obtenir une clé secrète de 112 bits (durée de l'extraction de la clé : environ sept heures). Le système mis sur le marché après notre contrôle de sécurité
Le produit successeur Mifare DESfire EV1 contient des mesures de protection appropriées qui empêchent efficacement nos attaques par canal latéral, DESfire EV1 est considéré jusqu'à présent comme sûr ou inattaquable.

Conclusion 

Les points faibles décrits ici restent généralement cachés aux utilisateurs typiques des systèmes de fermeture mécatroniques modernes (et même en partie aux fabricants) : les utilisateurs ne peuvent normalement guère saisir le mode de fonctionnement exact (invisible), et encore moins l'utilisation du système.
Ils doivent se fier aux informations souvent succinctes fournies par les fabricants ("17 billions de codes différents", "procédure hautement sécurisée") et utilisent souvent sans le savoir une technologie obsolète et peu sûre. C'est là que les auteurs interviennent pour assurer une plus grande transparence sur le marché de la sécurité.