Piratage – des risques à mesurer

Cette histoire avait tout pour faire les gros titres des journaux : un pirate dévoile un défaut majeur dans le protocole qui sert de base à la plupart des systèmes de contrôle d’accès dans le monde. Cette violation ne lui a pris que quelques minutes, en utilisant une programmation astucieuse et des composants disponibles dans le commerce. Voilà exactement ce qui s’est passé pendant la conférence DefCon de Las Vegas en août dernier, quand Zac Franken a démontré comment attaquer le très répandu protocole Wiegand.

Toutefois, même dans notre ère de haute sécurité actuelle, cette nouvelle n’a attiré qu’une attention relativement limitée. Comme le fait remarquer Mike Davis, expert en sécurité et Directeur Propriété Intellectuelle chez HID Global : « Comment l’industrie réagit-elle ? Personne ne fait vraiment de commentaires publics ». En fait, bien que Wiegand présente effectivement certains défauts, des systèmes de sécurité correctement configurés restent relativement peu exposés aux risques. Voici les questions soulevées par Zac Franken – ainsi que certaines des solutions dont nous disposons pour rester protégés.

Domination de Wiegand
Wiegand est une norme relativement basique qui existe depuis 20 ans. Elle reste malgré son âge au coeur de la plupart des systèmes de contrôle d’accès de pointe. Elle a été adoptée depuis la technologie de lecteur Wiegand qui comporte un code d’authentification contenu dans 26 bits de données. De nombreux lecteurs actuels communiquent à l’aide de dispositifs en liaison montante qui exploitent l’effet Wiegand, dans lequel des fils séparés sont utilisés pour représenter les zéro et les un. Aujourd’hui, pratiquement tous les types de technologies de lecteurs, comme les cartes de proximité, cartes à puce sans contact et même les systèmes biométriques avancés, utilisent toujours le protocole Wiegand pour la communication entre lecteurs et consoles de contrôle d’accès. « Le protocole Wiegand domine tellement notre industrie, c’est phénoménal », confirme M. Davis.

Comme toute norme de communication, le protocole a des points forts et des points faibles. Ses atouts sont sa large adoption dans l’industrie, son bas coût de mis en oeuvre, sa capacité à parcourir des distances relativement longues et le fait qu’il soit électriquement robuste et protégé contre les dommages. Malheureusement, Wiegand présente également certaines limites. Tout d’abord, il ne procure aucune authentification entre les lecteurs et les consoles de contrôle d’accès, ce qui facilite l’interception de codes. Deuxièmement, les 26 bits de données sont très limitatifs. Selon M. Davis, le format Wiegand couramment utilisé supporte 256 codes d’accès différents et 65 535 identifiants uniques, ce qui laisse envisager la possibilité que des utilisateurs de systèmes d’accès de bâtiments voisins puissent disposer de cartes compatibles, voire d’identifiants identiques, comme si votre voisin appuyait sur le bouton d’ouverture de son garage et ouvrait en même temps votre porte. La probabilité est néanmoins très faible.

M. Franken a exploité la première faiblesse : il a créé un dispositif muni d’un petit micro-contrôleur programmé pour enregistrer les codes d’accès depuis un lecteur compatible Wiegand et répondre à une carte spécifique. Il a ensuite intégré ce dispositif dans les câbles du lecteur. Le dispositif pouvait ainsi surveiller les communications et stocker les codes, puis utiliser l’un d’entre eux pour ouvrir la porte quand la carte spécifique a été présentée devant un lecteur compromis par le dispositif.

Les astuces du métier
S’il est aussi facile d’attaquer Wiegand, pourquoi personne ne s’inquiète-t-il plus ? En fait, une telle attaque reste assez difficile et risquée, en particulier par rapport à d’autres méthodes de violation. Comme M. Franken n’a pas diffusé son code, il faudrait que les criminels aient des connaissances sophistiquées en programmation micrologicielle pour copier son travail, sans compter qu’il leur faudrait détacher le lecteur de contrôle d’accès du mur. Et toutes les sociétés n’utilisent pas le format 26 bits car elles veulent s’assurer que leurs formats sont uniques. En fonction du format effectivement utilisé, certains codes peuvent être spécifiquement créés par un fabriquant pour un client donné.

En conséquence, le risque de violation de Wiegand semble comparativement faible. Comme l’observe M. Davis : « Il existe tant de moyens d’entrer dans un bâtiment sans utiliser la moindre technologie. Si votre immeuble est muni d’une porte en verre, par exemple, n’importe qui peut entrer à l’aide d’une brique ». Parmi les autres méthodes, l’ingénierie sociale consiste à manipuler quelqu’un qui peut vous laisser entrer. Il existe aussi des approches low-tech, comme attacher une feuille de papier à un bâton, la glisser sous la porte et l’agiter pour actionner la fonction de désactivation du détecteur de mouvement d’intérieur.

Les entreprises pourraient assurément créer une alternative meilleure que Wiegand, mais de nouveaux protocoles pourraient générer d’autres problèmes, comme un coût accru et une dépendance à des protocoles de communication propriétaire. Se baser sur une norme commune permet à différents fournisseurs de créer des produits compatibles et de réaliser des économies d’échelle. Une norme propriétaire augmenterait considérablement le coût et lierait potentiellement les consommateurs à un fournisseur unique. Parallèlement, d’autres technologies – comme TCP/IP – sont peut-être encore plus exposées à des attaques que Wiegand, du fait du plus grand nombre de programmateurs très compétents dans son application.

La sécurité sur plusieurs niveaux
Alors, quelle est la meilleure solution ? Suivre les meilleures pratiques de l’industrie. Les systèmes de contrôle d’accès supportent typiquement les mécanismes antisabotage intégrés par le fabricant, et bien que rarement utilisés dans la pratique, ils devraient l’être. Les bâtiments devraient également orienter une caméra sur leurs équipements de contrôle d’accès ou demander au personnel de sécurité d’inspecter visuellement les lecteurs une fois par jour. Toute preuve éventuelle de sabotage devra alors entraîner une enquête immédiate.

Bien que ces mesures puissent être plus que suffisantes pour des besoins basiques, les bâtiments à haut risque doivent mettre en place de multiples niveaux de sécurité. « On ne conçoit jamais un système de sécurité avec un point de défaillance unique », note M. Davis. La télévision en circuit fermé, des patrouilles de gardiens, dispositifs de contrôle d’accès supplémentaires et autres mesures peuvent tous être utilisés pour créer un niveau accru de contrôle. Même si Wiegand est remplacé par une meilleure alternative, cette technologie sera tout autant vulnérable aux attaques. Une approche sur plusieurs niveaux est donc essentielle. « Si vous comptez sur un seul composant de contrôle d’accès pour tout faire, alors c’est que le système que vous avez mis en place n’est pas digne d’accomplir sa tâche », conclut M. Davis.

Meilleures pratiques (en anglais)

* Indique un champ obligatoire


Comment

You must be logged in to post a comment.