ACTUALITES

La question de la sécurité de la technologie RFID ne s'était jamais réellement posée en termes de codes malicieux. Après tout, une telle puce ne fait que s'éveiller lorsqu'elle passe à proximité d'un lecteur ad-hoc et renvoyer un identifiant quelconque. Ce dernier est alors transmis à un middleware tout aussi quelconque, puis inséré dans une base de données et la vie continue. Mais une poignée de chercheurs de l'université de Vrije, à Amsterdam, a démontré le contraire. En bon hackers, le principe de pouvoir décider arbitrairement de ce qui sera passé à une base de données inconnue leur a donné des idées... d'injection de code, bien sûr ! Et voilà nos chercheurs qui expérimentent le détournement de puces RFID. Leur faible capacité de stockage ne permet pas de se lancer dans l'écriture de codes très ambitieux. En revanche, les informations stockées dans une puce peuvent tout à fait être modifiées d'une manière inattendue afin de perturber le système de lecture. Et c'est bien là le fond de commerce historique des hackers en tout genre : susciter l'imprévu afin de déstabiliser une application un peu trop rigide.

Première méthode d'attaque : présumer que le contenu de la puce RFID sera utilisé sans validation. À commencer par une requête SQL. On retombe ici dans une attaque d'injection SQL très classique : en ajoutant une seconde requête à celle attendue, il devient possible de se livrer à toutes sortes de jeux dangereux, de l'exécution de code grâce à la procédure stockée xp_cmdshell de SQL Server, jusqu'à l'effacement de la base de données si les droits y sont mal gérés. Mais au delà du SQL, toutes sortes d'injections sont possibles, surtout si le système de gestion offre une interface web. Les chercheurs proposent des exemples qui permettent de référencer une image WMF piégée, qui serait stockée sur un serveur distant, ou d'appeler du code exécutable via une directive SSI ou encore par une connexion TFTP (disponible par défaut sous Windows, par exemple). Tout ça en quelques centaines d'octets.

Bien entendu, les exemples cités jusqu'à présent tiennent plus du cheval de Troie que du virus ou du ver car il n'y a pas de reproduction. Qu'à cela ne tienne : nos chercheurs détaillent l'utilisation de techniques d'écriture du code source par le code lui-même ("Quines"). Il devient alors possible de créer une requête SQL capable d'écrire de nouvelles requêtes... et ainsi de se répliquer ! Par ailleurs, les méthodes de téléchargement du code via tftp sont déjà utilisées par de nombreux vers sur Internet et donc parfaitement maîtrisées par les auteurs de code malicieux.

Enfin, loin de n'être qu'une vue de l'esprit, les universitaires offrent plusieurs exemples de code quasi-fonctionnels, notamment en ce qui concerne l'auto-réplication à l'aide de requêtes SQL croisées. De quoi réveiller les fournisseurs d'applications basées sur RFID ! Bien sûr, toutes les attaques démontrées ici sont parfaitement connues dans le monde du web et l'on sait parfaitement s'en protéger. La nouveauté est simplement leur application aux puces RFID, que personne, jusqu'à présent, n'avait considérées comme le vecteur potentiel de données "sales". Un peu à la manière de ces développeurs web qui oublient qu'un cookie aussi permet de fournir des contenus arbitraires à son application.

Plus d'informations : Le détail des travaux publiés par les deux chercheurs (en anglais).