Dark mode
Informatique
Sécurité
ARM
Piratage
actualité
5 Min
Chaque année, le Chaos Computer Club, ou CCC, tient son congrès annuel (le Chaos Communication Congress) au cours duquel la fine fleur des « bons » hackers, des spécialistes en sécurité informatique ainsi que des pourfendeurs de toute forme de censure se réunissent. L'occasion pour eux d'échanger à travers des conférences et des ateliers mêlant technique et débats politiques. Cette année, la 30e édition du congrès s'est tenue à Hambourg, en Allemagne, du 27 au 30 décembre.
L'une des conférences les plus marquantes fut celle délivrée par deux hackers américains, Sean Cross (« xobs ») et Andrew Huang (« bunnie »). Ils ont démontré que certaines cartes mémoirecartes mémoire SD (secure digital) contiennent une vulnérabilité qui peut servir à exécuter un code arbitraire, directement sur la carte. « Du côté obscur, l'exécution de code sur la carte permet de réaliser des attaques de type man in the middle [l'homme au milieu, NDLRNDLR] où la carte semble se comporter d'une certaine manière, alors qu'en réalité elle fait autre chose, expliquent les deux auteurs sur leur blog. Du côté clair, cela ouvre la possibilité aux amateurs d'accéder à des microcontrôleurs très répandus et bon marché. » Ils précisent que leur découverte s'applique à toutes les familles de cartes mémoire amovibles ou intégrées (MicroSD, SD, MMC, eMMC, iNAND) ainsi qu'aux clés USBUSB et solutions de stockage SSDSSD. En gros, tout ce qui utilise de la mémoire flashmémoire flash.
De moins en moins chère, de plus en plus miniaturisée, cette mémoire flashflash n'est pas suffisamment fiable. Pour assurer un bon fonctionnement, les ingénieurs recourent à des algorithmes sophistiqués qui vont corriger les erreurs et gérer l'allocation des blocs de mémoire de manière à assurer l'intégritéintégrité des données stockées. Ces algorithmes sont exécutés par un microcontrôleur intégré à la carte mémoire. Il s'agit la plupart du temps d'un microcontrôleur IntelIntel 8051 ou ARM, dont la fréquencefréquence d'horloge peut atteindre 100 MHz. Ce composant, qui s'apparente à un miniordinateur, fonctionne grâce à un micrologiciel (firmware) qui gère l'exécution des algorithmes. Chaque modèle de carte flash requiert un algorithme spécifique. Il faut donc que le firmware puisse être mis à jour pour corriger les bugsbugs qui surviennent.
Or, xobs et bunnie ont découvert que sur certaines cartes mémoire, le système de mise à jour du firmware n'est pas protégé. Par ingénierie inversée (en anglais reverse engineering) sur les registres spécifiques d'un microcontrôleur 8051, ils ont pu injecter un code modifié qui intervient sur le traitement des commandes SD. Pour résumer, il est possible de prendre la main sur le microcontrôleur de la carte mémoire comme cela pourrait se faire avec un ordinateurordinateur.
Comme le précisent bien les deux hackers, cette découverte a un côté positif et un côté négatif. Le côté positif est que les makers pourraient exploiter la technique pour reconfigurer le microcontrôleur d'une carte mémoire et s'en servir pour piloter certains composants, comme des capteurscapteurs. « Un Arduino avec un microcontrôleur 8 bits de 16 MHz vous coûtera 20 dollars. Une carte MicroSD de plusieurs gigaoctets de mémoire et un microcontrôleur beaucoup plus performant coûtent une fraction de ce prix », argumentent les auteurs. Du côté négatif, cette vulnérabilité peut ouvrir la voie à des attaques de l'homme au milieuattaques de l'homme au milieu qui seraient difficilement repérables. « Il n'y a pas de protocoleprotocole ou de méthode standard pour inspecter et certifier le contenu du code qui s'exécute sur le microcontrôleur de la carte mémoire. » Que peut-on réellement faire de bon et de mauvais avec cette technique de hacking ? Quel est le risque pour le grand public ? Futura-Sciences a posé ces questions parmi d'autres à Sean Cross.
Sean Cross : Plusieurs attaques pourraient être intéressantes. Étant donné que vous avez accès aux données une fois qu'elles ont été écrites, rien ne vous empêche de les modifier. Vous pourriez, par exemple, chercher des mots ou des phrases clés dans des données texte et les remplacer afin de modifier un message politique. Vous pourriez aussi surveiller des transactions et détecter des dossiers importants que vous pourriez ensuite stocker dans une partie réservée de la carte mémoire afin de les récupérer même si la carte venait à être formatée. Les outils d'analyse scientifique, comme ceux utilisés par les forces de l'ordre, commencent généralement par faire une lecture séquentielle secteur par secteur d'une carte mémoire. Ce modèle est facilement identifiable. Il est possible de créer un firmware qui repère cette méthode, puis répond qu'il n'y a pas de données ou bien formate la carte.
Sean Cross : Non, car il vous faut pouvoir exécuter des commandes SD de bas niveau, et AndroidAndroid [ou tout autre système d'exploitationsystème d'exploitation mobile, NDLR] ne permet pas cela.
Sean Cross : La menace n'est pas grande. Il est très compliqué de modifier le firmware des cartes mémoire, de SSD ou de clés USB. D'abord, vous devez avoir accès au code, puis vous devez comprendre ce code pour pouvoir enfin le modifier. Alors qu'un adversaire peut passer des mois à créer un terminal de stockage malveillant, le consommateur peut contrer cette attaque simplement en achetant un autre produit.
Sean Cross : Une carte SD consomme peu d'énergieénergie et est très petite. Au cours de notre recherche, nous avons découvert comment contrôler indépendamment chaque broche du connecteur, ce qui signifie que nous pouvons faire communiquer cette carte avec une grande variété d'appareils. On pourrait par exemple connecter une carte SD directement à un capteur de température et le placer dans la forêt. Un tel système coûterait aux alentours de deux euros, mais pourrait facilement collecter des données pendant au moins un an. À ce niveau de prix, on pourrait couvrir une zone avec une forte densité de capteurs et avoir une bonne compréhension des profils climatiques.
Nous avons remarqué que la plupart de ces cartes mémoire utilisent un microcontrôleur 32 bits. Les amateurs se servent souvent des plateformes Arduino et PIC pour de petits projets. Celles-ci utilisent des processeurs 8 bits qui nécessitent des astuces de programmation pour réaliser des calculs mathématiques impliquant des nombres supérieurs à 256. Une idée intéressante pourrait être de se servir d'une carte SD en guise de coprocesseurcoprocesseur pour les calculs mathématiques.
Comparatifs et bons plans
Tech
Tech
Comment choisir un bon extracteur audio ?
Tech
Tech
Comment fonctionne un microphone à condensateur ?
Tech
Tech
Soldes d'hiver Amazon : les 10 meilleures offres à saisir à l'occasion de la 3ème démarque
Tech
disque dur SSD
Nouveaux disques durs SSD ? Notre choix 2022
Tech
SSD 1To
SSD 1To – nos gagnants 2022
Tech
carte micro SD
Les meilleures cartes micro SD pour un choix simple
Tech
red by sfr
Profitez des meilleurs forfaits mobiles Red By SFR
par Marc Zaffagni
le 8 janvier 2014
Comparatifs et bons plans
Tech
Tech
Comment choisir un bon extracteur audio ?
Tech
Tech
Comment fonctionne un microphone à condensateur ?
Tech
Tech
Soldes d'hiver Amazon : les 10 meilleures offres à saisir à l'occasion de la 3ème démarque
Tech
disque dur SSD
Nouveaux disques durs SSD ? Notre choix 2022
Tech
SSD 1To
SSD 1To – nos gagnants 2022
Tech
carte micro SD
Les meilleures cartes micro SD pour un choix simple
Tech
red by sfr
Profitez des meilleurs forfaits mobiles Red By SFR
La sélection de la
Rédaction
Tech
Internet
Voici comment savoir si vos données personnelles sur Internet ont été piratées
Article
Tech
Internet
Les intelligences artificielles à l’heure de la protection des données personnelles
Article
Tech
Internet
L'UFC-Que Choisir vous aide à protéger et à effacer vos données personnelles
Article
Tech
ChatGPT
ChatGPT fonce droit dans le mur de la connaissance !
Article
Tech
Internet
Combien d’euros gagne-t-on en moyenne au cours d’une vie ?
Article
Tech
Voiture électrique
Mais qu’est-ce qu’il a de particulier le nouveau pare-brise du Cybertruck de Tesla ?
Article
Tech
Intelligence artificielle
Et voici les pulls anti-reconnaissance faciale
Article
Tech
Intelligence artificielle
On a testé ChatGPT sur l'actualité scientifique
Article
Transmettre la culture
est le plus vieux métier du monde
Inscrivez-vous à la lettre d'information La quotidienne pour recevoir toutes nos dernières Actualités une fois par jour.
Nos articles
à lire aussi
Tech
Sécurité
Des webcams activées à l’insu des utilisateurs
actualité
24/12/2013
Tech
Informatique
En bref : SlotMusic, des albums sur cartes MicroSD
actualité
23/09/2008
Tech
Internet
Utilisez les connexions sans fil à Internet de vos voisins !
actualité
11/05/2006
Tech
Technologie
Une étiquette électronique pour surveiller la chaîne du froid
actualité
01/11/2013
Tech
Technologie
La photo numérique : du capteur à l'image
dossier
09/05/2017
Tech
Informatique
Comment fonctionne un ordinateur ?
question réponse
06/01/2018
Tech
Smartphone
La sécurité des smartphones
dossier
05/03/2018
Tech
Optimisation
Mémoire vive : quel type de RAM choisir ?
question réponse
01/03/2011
Liens externes
À voir aussi
memoire informatique
carte memoire iphone
grossesse memoire
memoire de homme
memoire magnetique
memoire spi
memoire bts fee
memoire i2c
memoire tpe
lt8 memoire
Mots Clés
Carte mémoire SD
Chaos computer club
Hacking
Sean Cross
MicroSD
MMC
INAND
EMMC
SSD
Intel 8051

source

Catégorisé:

maison intelligente