Qu'il s'agisse de votre clé de voiture ou de la télécommande ouvrant l'accès au garage, nombreux sont aujourd'hui les conducteurs équipés d'un petit boîtier destiné à actionner à distance portes ou serrures. Depuis leur avènement, il y a une dizaine d'années, ces petites télécommandes se sont enrichies de quelques protections de façon à assurer une certaine de forme de sécurité. Las, il semblerait que les modèles les plus répandus se révèlent vulnérables face à un attaquant armé de quelques compétences en électronique, trente dollars de composants et... un peu de patience.
Samy Kankar est un hacker bien connu dans l'univers de la sécurité pour ses travaux autour des protections « physiques ». Début août, il a fait sensation lors de la conférence Defcon, en expliquant comment il avait réussi à compromettre la sécurité de ces télécommandes sans fil à l'aide d'un petit appareil de son cru, surnommé RollJam. Celui-ci saurait actionner à distance les portières d'automobiles d'une dizaine de grandes marques (allant de Chrysler à Volvo en passant par Toyota, Daewoo, Volkswagen ou Jaguar), mais aussi les mécanismes de portes de garage automatisées des principaux acteurs du secteur.
Tous ces dispositifs fonctionnent à peu près de la même façon, selon le principe dit du code tournant (rolling code). L'émetteur et le récepteur partagent un code unique, stocké dans leur mémoire interne, qui leur permet de vérifier l'intégrité d'un second code, transmis via radio. Un code à usage unique, est normalement généré, transmis et contrôlé, à chaque pression sur la télécommande. De ce fait, celui qui intercepterait le signal pour tenter de le réutiliser à son compte se retrouverait au final avec un code obsolète puisque déjà « validé ». Le système a été jugé suffisamment solide pour devenir un quasi standard en matière de botîers plip. Il n'a cependant rien d'infaillible.
Intercepter le signal... mais pas seulement
Comment fonctionne le RollJam ? Comme souvent, le contournement ne tient pas tant à la puissance des moyens déployés qu'à l'ingéniosité du hacker : il suffit ici de quelques circuits intégrés et de deux ou trois émetteurs radio pour construire un RollJam.Caché à proximité de sa cible, le boîtier ne se contente pas d'intercepter le code envoyé par la télécommande : il sait aussi brouiller la transmission, de façon à ce que le signal n'atteigne pas le récepteur. Le code, stocké dans la mémoire de l'appareil, reste donc valable. De son côté, l'utilisateur vient d'actionner sa télécommande, sans résultat : pensant à un dysfonctionnement ponctuel, il va vraisemblablement recommencer. Ce second code sera lui aussi bloqué et capturé, avant que le RollJam ne renvoie le premier code, toujours valide, vers le récepteur.
Après deux pressions sur la télécommande, l'utilisateur a bien ouvert ou fermé sa porte, mais il a aussi fourni au RollJam un code valable, qui restera fonctionnel tant qu'une nouvelle commande n'est pas envoyée.
Il manque en effet aux serrures vulnérables une forme de délai d'expiration qui rendrait le code inutilisable après quelques secondes. Samy Kankar, estime qu'il s'agit là d'une erreur manifeste, dans la mesure où cette logique de code qui périme dans le temps est connue de longue date dans l'univers de la sécurité informatique.
Au catalogue des fournisseurs qui équipent ces serrures télécommandées, on trouve aujourd'hui des mécanismes munis d'un timer qui équipent, on l'espère, les équipements les plus récents. Pour Kankar, il y aurait des « millions » de serrures vulnérables en circulation.