Dans le monde de la sécurité informatique, il existe trois types de failles : L’exploit connu de tous, généralement rapidement corrigé par un patch. L’exploit de type 0-day, très peu de gens en ont connaissance — qui sera peut-être corrigé un jour — Et enfin les vulnérabilités dues a la conception d’un système/protocole et qui ne pourrons pas être, c’est le cas de par exemple du protocole de routage BGP (sur lequel j’ai fait un billet précédemment) ou encore de l’ « Address Resolution Protocol » aka ARP. Et tout bon sysadmin se doit de les connaitre pour savoir où et comment surveiller son réseau et se prémunir de ces attaques qui ne pardonnent pas.
Ce protocole et les attaques qu’il permet sur un LAN sont plutôt bien connus. Néanmoins, les conséquences de ces attaques sont rarement appréhendées à leur juste mesure. La technique que nous allons voir ici se nomme ARP Spoofing (ou ARP Cache poisoning). C’est une technique de spoofing très efficace bien que facilement détectable et – comme je le disais plus haut, parfaitement incurable, car lié directement a sa conception. . Nous étudierons trois possibilités de sont utilisation : Denial of Service, Man in the middle et MAC Flooding. Mais tout d’abord, commençons par une piqûre de rappel.

MAJ 6 Mai 2009: Correction de quelques fautes.

• 1. Modèle OSI
• 2. L’adresse MAC
• 3. Le protocole ARP
• 4. L’ARP Spoofing
• 5. Faiblesses
• 5.1 Denial of Service
• 5.2 Man in the middle
• 5.3 MAC Flooding
• 6. Solutions
• 6.1 Pour les petits réseaux
• 6.2 Pour les grands réseaux
• 6.3 Pour tous le monde

1. Modèle OSI

L’OSI (Open Systems Interconnection) est un modèle de communications entre machines proposé par l’ISO (Organisation internationale de normalisation). Il décrit les fonctionnalités nécessaires à la communication et l’organisation de ces fonctions.
Dans sa forme la plus simple, il divise le réseau en sept couches que nous ne détaillerons pas ici. La numérotation des couches commence par le bas, c’est à dire par le matériel (matériel en bas, logiciel d’application en haut. Nous nous intéressons uniquement à certaines couches dites basses :

• La couche physique (niveau 1) : La couche physique est chargée de la transmission effective des signaux électriques ou optiques entre les interlocuteurs (100BASE-TX, ADSL, Firewire, USB, RS-232…).
• la couche liaison (niveau 2) est le lien entre la carte réseau et la couche réseau (Ethernet, Token ring, WiFi, PPPoE)
• la couche réseau (niveau 3) gère l’adressage logique et le routage (IPv4, IPv6, ICMP).

Exemples :

- Un hub est un matériel de niveau 1 : il permet de relier plusieurs machines à une même branche du réseau. Il se contente de faire circuler les signaux dans les deux sens, sans traitement.
- Un routeur est un matériel de niveau 3, c’est-à-dire qu’il intervient aux niveaux 1 à 3. C’est le dispositif de base des réseaux. Il lit l’adresse IP des paquets qu’il reçoit et les re-expédie où il faut depuis les données contenues dans sa table de routage et son cache ARP. Cette dernière est mise à jour régulièrement, en fonction des données que le routeur reçoit des routeurs et des ordinateurs voisins.

2. L’adresse MAC

L’adresse MAC (Media Access Control) est un identifiant physique constitué de 6 octets, elle est attribuée par le constructeur de l’équipement et « hard codé » sur la carte (il est possible de la changer, mais ce n’est pas le but de cet article.) Elle consiste en six nombres hexadécimaux séparés par des « – » ou des « : », il existe potentiellement 248 (environ 281 000 milliards) d’adresses MAC possible, il est donc quasiment impossible de se retrouver avec un doublon sur le réseau. Notez que l’adresse de broadcast est: FF:FF:FF:FF:FF:FF, les données seront envoyées à l’ensemble du réseau local.
Nota : L’IEEE a donné des préfixes de 24 bits sur les 48 bits aux fabricants, c’est l ‘OUI (organizationally unique identifier). Ce qui permet facilement d’identifier une carte de destination, ex :

00-00-0C(hex) Pour Cisco ou encore 00-00-7D(hex) pour Sun – (clin d’œil a touff’.. si tu me lis ;)

Vous pouvez y avoir accès, sous Linux avec la commande ifconfig :

En savoir plus : http://www.iana.org/assignments/ieee-802-numbers

3. Le Protocole ARP

Ce protocole est vraiment très simple : Il sert à mettre en corrélation l’adresse IP avec l’adresse MAC pour savoir qui sont les machines sur le réseau et donc savoir ou router les paquets. Ce protocole est totalement séparé de TCP/IP puisqu’il n’opère qu’entre les niveaux 2 et 3 de la couche réseau. Nous pourrions le comparer aux DNS sauf qu’au lieu de convertir les noms de domaines en IP, il convertit les IPs en Adresse MAC.
Les équipements réseaux communiquent en échangeant des trames Ethernet (dans le cas d’un réseau Ethernet bien sûr) au niveau de la couche liaison de données, toute machine connectée a un réseau possède un cache ARP de toutes les adresses IP/MAC rencontrés, ce qui permet de ne pas encombrer les réseaux en renouvelant les requêtes pour communiquer avec les machines contactées précédemment.

Il comprend quatre messages de base :

Aller plus loin : http://tools.ietf.org/html/rfc826

4. L’ARP Spoofing

Bien, assez de tous ces rappels ennuyeux, passons aux choses amusantes : la vulnérabilité de ce protocole. Pour améliorer le temps de réponse et limiter l’utilisation du réseau la plupart des systèmes mettent a jour leur cache ARP a chaque fois qu’ils reçoivent une réponse, même s’ils ne l’on pas demandé : ce qui veut dire qu’un « pirate » envoyant un message ARP a l’ordinateur B disant « l’ordinateur C a mon Adresse MAC » recevra ensuite tous les messages qui devraient normalement être délivrés a cet ordinateur C.
petite mise en situation :

(J’ai simplifié les adresses MAC pour une meilleure lisibilité)
A. Le serveur, 00:00:00:00:00:01 – 192.168.0.10
B. Un utilisateur, 00:00:00:00:00:02 – 192.168.0.20
C. Le pirate, 00:00:00:00:00:03 – 192.168.0.30

C annonce à B “192.168.0.10” est a l’adresse MAC: 00:00:00:00:00:03.
C annonce à A “192.168.0.20” est a l’adresse MAC: 00:00:00:00:00:03.

Comment ? avec des solutions comme ARPSpoof ou Némésis, très simplement :

Maintenant toutes les communications de l’utilisateur vers le serveur (ou inversement) seront routées vers le pirate… qui pourra par exemple récupérer les login/mot de passe.

5. Faiblesses

Comme je viens de le dire, il n’y a aucun système d’authentification. ARP est basé sur la confiance : il considère tous les messages reçus comme authentiques, qu’il provienne de la machine légitime ou pas et il n’intègre aucun moyen de vérification. Je pense que les concepteurs de ces protocoles ont sûrement simplifié les communications pour que les réseaux fonctionnent de manière optimale, les débits étaient très peu élevés à cette époque et un système d’authentification aurait été beaucoup plus lourd.
La possibilité d’associer n’importe quelle adresse IP avec une @MAC permet à un pirate plusieurs vecteurs d’attaques, je vais maintenant en détailler 3 : Denial of Service, Man in the Middle et MAC Flooding.

5.1 Denial of Service (DoS)

Comme nous l’avons vu précédemment, un pirate peut facilement associer une adresse IP a une fausse adresse MAC. Par exemple, un pirate peut envoyer une réponse ARP associant l’adresse de vôtre routeur avec une adresse MAC qui n’existe pas. Votre ordinateur pense donc connaître réellement la passerelle par défaut, mais en fait ils envoient leurs paquets a une destination qui n’existe pas. Le pirate vous a isolé du réseau.
Nous pourrions tout aussi bien projeter – sur un réseau plus grand – une attaque de type DDoS (Distributed Denial of Service) en signalant a toutes les machines qu’une seule adresse MAC correspond a toutes les adresses IP. Ce qui risque de submerger la machine sous des requêtes en tout genre. (Voir aussi MAC Flooding).

5.2 Man in the Middle

Une autre utilisation intéressante de cette faille est de rester dans l’ombre et d’ « écouter » le trafic (sniffing) pour récupérer des informations comme les logins et mot de passe… ce qui est particulièrement dévastateur, car le pirate peut rapidement avoir accès a des informations qui lui permettront de s’infiltrer plus profond dans vôtre réseau.
Mise en œuvre : Dans le cadre d’un ARP Poisoning simple, les machines n’arrivent plus a joindre leur destinataire légitime, l’attaque est donc très facilement repérable. Mais le pirate peut facilement mettre en place ce qu’on appelle l’IP Forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward), celles-ci enverront donc leurs trames Ethernet à la machine pirate tout en croyant communiquer avec la cible, et ce de façon transparente pour les switches. De son côté, la machine pirate stocke le trafic et le renvoie à la vraie machine en forgeant des trames Ethernet comportant la vraie adresse MAC (indépendamment de l’adresse IP) pour cela il suffit en fait d’envoyer régulièrement des paquets ARPReply en broadcast, contenant l’adresse IP cible (mettons, un serveur) et la fausse adresse MAC. Cela a pour effet de modifier les tables dynamiques de toutes les machines du réseau. Ce qui permet à la machine du pirate d’écouter toutes les informations qui transitent par son ordinateur et il peu – facilement – avoir accès a vos mots de passe non chiffrés (entre autres).

5.3 MAC Flooding

Le MAC Flooding est un ARP Cache poisoning visant les routeurs et les switches. Certains matériels réseaux actifs – lorsqu’ils sont surchargés – basculent dans un mode moins gourmand en ressources, pour sauvegarder leurs liens : ils deviennent de simples hubs et donc broadcastent tout le trafic réseau sur tous leurs ports (et donc tous les ordinateurs qui y sont connectés. (Et en floodant la table ARP d’un switch avec énormément de données on peut facilement le surcharger..) ce qui permet ensuite au pirate d’écouter facilement tout ce qui transite sur le réseau.

6. Solutions

Certaines solutions que je vous propose ci-dessous sont simples, mais n’hésitez pas à les mettre en place – car si vous vous pensez à l’abri c’est là que vous êtes le plus vulnérable. Notez tout de même que l’ «ARP Poisoning» ne peut être utilisé qu’en local. Il doit contrôler une machine sur votre réseau, ce qui veut dire que le pirate aurait déjà accès à ce réseau… Parce que cette faille est inhérente au protocole requis par TCP/IP vous ne pourrez le patcher, cependant il existe des solutions pour le surveiller/détecter.

6.1 Pour les petits réseaux

Si vous êtes administrateur d’un petit réseau, vous avez plusieurs méthodes imparables pour vous prémunir de ces attaques : Utiliser des Adresses IP fixes / Tables ARP statiques. (arp –s pour définir les @MAC/IP de tous vos périphériques) ils ne changeront donc jamais, quels que soient les messages reçus. Si vous avez mis en place un contrôleur de domaine, il est possible de définir un script de démarrage dans lequel vous spécifieriez ces adresses.
Gardez tout de même a l’esprit que maintenir une liste de ces adresses est possible seulement si vous possédez un petit réseau. S’il devait s’agrandir vous seriez rapidement submergé par le temps demandé a maintenir cette liste, car il vous faudrait ajouter chaque machine a ce script avant qu’elle ne puisse dialoguer avec les autres (quid de la taille du fichier script ?).

6.2 Pour les grands réseaux

Si vous êtes administrateur d’un réseau informatique assez étendu vous devriez être équipé de switch qui propose des options « port security » (par exemple Cisco) cette option permet de définir une seule adresse MAC par ports et qui – si cette adresse change – verrouille le port. Cela permet de limiter la plupart des attaques ARP comme le Man-in-the-middle.

6.3 Pour tous le monde

La meilleure protection contre l’ARP Poisoning est la surveillance de votre réseau, en effet, avec les outils appropriés, cette attaque ne peut pas passer inaperçue. Par exemple, il existe un outil nommé ARPwatch qui permet – en autres – d’envoyer une alerte quand messages ARP anormaux apparaissent (j’écrirais un billet sur l’envoi d’alertes par SMS via des API bientôt).

Je vais vous expliquer, ici comment « patcher » votre Wii pour pouvoir y installer des programmes tiers et pouvoir jouer à des jeux gravés (sauvegardes…).

Mise à jour du tutoriel le: Samedi 28 avril 09′

Une modification du système votre Wii peut, potentiellement, l’endommager. Je décline toutes responsabilités si le fait d’essayer cette méthode causait des problèmes à votre console. De plus, vous n’avez le droit de copier un logiciel ou jeux que si vous possédez l’original (création d’une copie de sauvegarde). Par le non-respect de ce texte et des lois qui en résultent (disponibles dessous) vous vous rendez coupable de violation du code de la propriété intellectuelle. Crashdump.fr ne peut être tenu responsable des utilisations illicites (actes de piratage) exercé par l’un de ses lecteurs.

DIRECTIVE EUROPEENE 91/250 DU 10-05-1991:
- Article 5 (extrait) Une personne ayant le droit d’utiliser le programme d’ordinateur ne peut être empêchée par contrat d’en faire une copie de sauvegarde dans la mesure où celle-ci est nécessaire pour cette utilisation.
- Liste des textes relatifs aux copies de sauvegarde (cette liste n’est pas exhaustive et les cas de jurisprudence n’y sont pas évoqués) : A122-4, 122-5, 122-6, 122-6-1, 122-6-2, 122-7, 131-3, R335-1 , R335-2 du code de la propriété intellectuelle. Directive Européenne 91/250 du 10/05/91 et 92/100 du 19/11/92.

Retrouvez toutes les photos du Hack ici

- Une Wii,
- Le jeu « Zelda: Twilight Princess » (Version wii uniquement),
- Une carte SD (attention aux cartes SD de plus de 2Go/SDHC.. elles peuvent poser problème),
- Un moyen de lire/ecrire sur votre carte SD via un ordinateur,
- Une manette gamecube,
- Une connexion internet sur votre Wii,
- Le pack de logiciels (disponible ci-dessous).

Trois packs sont disponibles ici, pour trois situations différentes. En effet, suivant le firmware de votre Wii la procédure change un petit peu !
MAJ: Nouvelle version des packs (v2), mise à jour: du Twilight Hack et du Homebrew channel. Les anciens packs sont toujours disponibles au cas où…
Pour une Wii v3.2E: WiiPatchPack3.2Ev2.zip – (Pack v1 disponible ici)
Pour une Wii v3.3E: WiiPatchPack3.3Ev2.zip – (Pack v1 disponible ici)
Pour une Wii v3.4E: WiiPatchPack3.4Ev2.zip – (Pack v1 disponible ici)

Si votre Wii utilise un firmware antérieur au 3.x faites une mise à jours en 3.4 avant de commencer. (Si vous faites cette mise à jours en ligne, attention à l’évolution des firmwares Nintendo.. il n’est pas dit que nous puissions toujours exploiter les mêmes bugs sur un hypothétique Firmware > 3.5.)

- Homebrew Channel 10.1,
- Channel File Manager 2.0 beta 2,
- cIOS Rev7,
- cIOS Uninstaller,
- Backup Creator,
- cIOS Downgrader,
- ImgBurn,
- Chaine Backup Launcher 0.3 Gamma Autoboot,
- Starfall,
- Sauvegarde Twlight Hack.

Tout d’abord, il faut savoir quel firmware est installé sur votre wii:

• A partir du menu de lancement, cliquer sur « wii », puis « parametres wii »,
• En haut a droite, vous verrez la version du firmware installé (3.3 E, 3.2 E …),
• Selon la version, dezippez le contenu du pack correspondant sur votre carte SD.

• Mettez votre carte SD dans votre Wii,
• Allumez votre wii puis allez dans : « (Wii) » (En bas à gauche) –> « Gestion des données » –> « Données de sauvegarde » –> « Carte SD » –> Copiez la sauvegarde « Twilight Hack » (eur, jap, usa, selon la provenance de votre console),
  

• Insérez le jeu « Zelda : Twilight Princess » dans votre Wii et lancez le par la chaîne disque,
  

• Après avoir appuyez sur « A+B » choisissez la sauvegarde nommée « Twilight Hack« ,
  

• Une fois dans le jeu , reculez de quelques pas, ou allez parler à la personne en face de vous,
  

• Votre écran devient noir avec plusieurs phrases en blanche,
  

• suivez les instructions ;
  

• votre Wii redémarre et vous avez une nouvelle chaine sur votre menu Wii qui se nomme  »the homebrew channel« ,
  

• La chaîne est désormais installée.
  

• Lancez la chaîne « the homebrew channel«  (La chaîne va chercher une mise à jour, n’hésitez pas à l’appliquer),
  

• Lancez « Wad Manager v1.3« ,
  

• installez « IOS16-64-v257-prod.wad » avec la touche « +« ,
  

• Revenez à la chaîne « the homebrew channel« , lancez « Wad Manager IOS 16 » et installez « CIOS Fix »,
  

• Revenez à la chaîne « the homebrew channel« , lancez « Cios-Downgrader » pour downgrader votre Wii en 3.2E (le E est très important, il signifie Européen),
  

• Revenez à la chaîne  »the homebrew channel » et enfin, lancez « IOS Downgrader V1« .

• Lancez la chaîne « the homebrew channel« , lançez « cIOS Rev7« ,
  

• Choisissez « wad installation » (ou « network » pour avoir la dernière mise à jours, si vous êtes connecté en wifi), suivez les indications, en sachant que le bouton 1 de la wiimote correspond à « accept », le 2 à « cancel »,
  

• Sélectionnez le firmware 3.2E et installez le (la liste continue vers le bas, il suffit de descendre…),
  

• Une fois terminée , revenez sur la chaîne the homebrew channel, lancez « Channel File Manager 2.0 beta 2« ,
  

• Suivez les instructions et installez le fichier « [Chaîne] Backup Launcher 0.3 Gamma Autoboot« ,
  

• Vous avez désormais une nouvelle chaîne sur votre menu Wii , celle-ci permet de lancer les backups sur votre Wii, vous pouvez relancer la « channel file manager » pour installer toutes les applications wad dont vous aurez besoin (ex: dans le pack, il y a un lecteur audio/video, « Mplayer »).

(Optionnelle , uniquement pour les Wii en 3.2E , empêche les mises à jours automatique de Nintendo)

• Allez dans la chaîne « the homebrew channel », lancez « Starfall »,
  

• appuyez simultanément sur « B+1″ et pas « B+2″ (C’est une erreur de programmeur),
  
  
• Un nouveau menu apparait, sélectionnez les 3 dernières options et appuyez sur avec « A » avec chacune d’elle pour que ça affiche « Install »,
  
  
• Une fois que les 3 dernières options ont été appliquées , appuyez sur « 2″,
  
  
• Éteignez votre Wii, Branchez votre manette Gamecube,
  
  
• Allumez votre Wii en maintenant appuyer le bouton « Y » de la manette, Un écran noir s’affiche indiquant « 3.2E »,
  
  
• L’installation de la protection contre le brick de votre Wii est terminée.

Utilisez la fonction ‘graver l’image’ de votre logiciel préfère (pas de problème avec imgburn ou nero). Lancez la gravure a la vitesse la plus basse possible, et uniquement sur des DVD -R2. Comment jouer à mes backups ?
- Lancez la chaîne « Backup Channel »,
- Faîtes « Demarrer ».

- Utilisez les packs disponibles ici, ils sont cohérent, si vous en utilisez d’autres je ne pourrais sûrement pas vous aider.
- Vérifiez que vôtre carte SD est bien formatée en FAT32 (voir FAT16).
- Si vôtre carte SD fait plus de 2Go ou qu’elle est SDHC, cela peu poser des problèmes.. essayez avec une autre.

- Mettez votre carte SD dans votre Wii,
- Lancez la chaîne « the homebrew channel »,
- Lancez « Channel File Manager 2.0 beta 2″,
- Suivez les instructions pour désinstaller le fichier « [Chaine] Backup Launcher 0.3 Gamma Autoboot ».
- Revenez à la chaîne « the homebrew channel »,
- Lancez « cIOS Uninstaller »,
- Revenez au menu Wii,
- Allez dans : « (Wii) » [En bas à gauche] –> « Gestion des données » –> « Données de sauvegarde » –> « Wii » –> Supprimez la sauvegarde ‘Twilight Hack’,
- Allez dans : « (Wii) » [En bas à gauche] –> « Gestion des données » –> « Chaînes » –> Supprimez la chaîne « the homebrew channel »,
- Faites un formatage de votre Wii,
- Votre wii est comme neuve.

- Mettez la carte SD dans votre Wii,
- Éteignez votre Wii,
- Branchez votre manette Gamecube,
- Allumez votre wii en maintenant le bouton « Y » appuyé,
- Lancez la sauvegarde « Twilight Hack »,
- Parlez à la personne en face de vous,
- Suivez les instructions,
- Downgradez ou Upgradez votre console en la version désiré mais en version « E »,
- Votre Wii est désormais réparée.

Le code que je vous propose ci dessous n’est pas complet, il a été modifié depuis l’une des premières version de l’exploit pour Safari sur Mac. Il suffit de se rendre sur la page contenant le code malicieux avec votre iPhone pour qu’il le verrouille.

Le code que je met a votre disposition ici l’est juste a titre d’exemple (de même pour la page de test..), je ne serais donc pas responsable – quoi qu’il se passe – de ce qu’il pourrais arriver si vous ouvrez la page. Si vous voulez quand même tenter l’aventure, gardez a l’esprit que l’iPhone va complètement se verrouiller et vous perdrez donc toutes les données des applications lancées a ce moment là.

La vulnérabilité a été testée sur un firmware 1.1.4, mais elle est surement exploitable sur des versions antérieures (Laissez moi donc un commentaire si vous l’avez testé !).

Malheureusement les firmwares ne sont mis a jours que très rarement sur l’iPhone et même si l’exploit a déjà été fixé sur les autres plateformes, il faudra surement attendre la « version 2″ (surement cet été) pour pouvoir en profiter ! Je vous conseille donc de désactiver le Javascript.

Voici le lien pour télécharger le code au format texte.
Qu’importe les risques, vous voulez tenter l’aventure ? Cliquez ici ! (Attention, le simple fait de charger la page va exécuter le code malicieux !)

Même si la faille a été corrigée sur les dernières version de Safari disponibles au téléchargement, la version iPhone est toujours vulnérable.. on espère donc une mise a jours rapide de notre navigateur mobile préféré !

Voici un exemple d’utilisation :

… voila qui est plutôt grave, mettez donc a jour vos kernel:

De plus, on pourrais imaginer une utilisation de cet exploit via des scripts cgi, php,.. Mal programmé – En exploitant une faille include – Et la je vous laisse imaginer le drame !

Un petit conseil donc: Mettez votre système à jour régulièrement !