Vulnérabilité des pilotes WIFI
Date : 31 Août 2006
Ce mois-ci, deux événements ont impacté le monde du Wifi :
- lors de la conférence "BlackHat" (USA), il a été fait une démonstration de compromission d'un système Mac OS X via une faiblesse des pilotes ("drivers") Wifi.
- la veille de cette conférence, Intel a publié des correctifs pour une vulnérabilité des pilotes Wifi des plates-formes Centrino (pilotes pour les systèmes d'exploitation Microsoft Windows).
Malgré la coïncidence des dates, il n'existe pas de lien démontré entre ces deux événements.
Vulnérabilité des
pilotes Wifi sur Mac OS X
Cet événement a été largement médiatisé, et la présentation réalisée sur ce sujet à la conférence "BlackHat", a généré depuis une large polémique, qui va jusqu'à la remise en question de la véracité de la démonstration faite ce jour là.
La présentation de David Maynor à "BlackHat" était dédiée aux vulnérabilités des pilotes de périphériques, et plus particulièrement à la vulnérabilité des pilotes Wifi. Elle a été conclue par une vidéo qui montre qu'il est possible de prendre à distance le contrôle d'un MacBook (sous MacOS X) en utilisant une faille du pilote Wifi. Il est clairement mentionné par l'éditeur Apple, que la vulnérabilité utilisée ne concerne pas les cartes Wifi d'Apple installées par défaut dans les MacBook de l'éditeur (cartes de la gamme "Airport"), mais plutôt une carte Wifi USB tierce (de marque non précisée) qui a été ajoutée sur le MacBook.
Aucune explication technique n'a été donnée par Maynor sur
Certaines analyses sur Internet vont cependant plus loin
dans les explications et proposent plusieurs hypothèses :
- Il existerait dans les dernières versions des produits Apple "MacBook Pro" et "Intel Mac mini", disponibles depuis le début de l'année 2006, une vulnérabilité "connue" dans la version du pilote "Atheros" des cartes Wifi. D'autres sources mentionnent que cette vulnérabilité, plus générique vis-à-vis des systèmes Mac OS X impactés, est présente dans le pilote réseau générique des systèmes Mac OS X ("ndiswrapper"), pilote utilisé uniquement avec des cartes réseau (filaires ou sans-fil) tierces.
- Le système Mac OS X étant dérivé du système FreeBSD, cette vulnérabilité serait celle connue depuis quelques mois sous FreeBSD, et décrite dans l'avis CERT-IST/AV-2006.030 ("Vulnérabilité WIFI sous FreeBSD 6.0"). Cependant, lors de la démonstration de "BlackHat", ce n'est pas cette dernière qui aurait été utilisée car elle se serait avérée trop difficile (impossible ?) à exploiter.
- La vulnérabilité exploitée pourrait se trouver dans une
faiblesse des pilotes USB. Ceci peut expliquer l'utilisation d'une carte Wifi
USB tierce lors de
Et si tout était faux ?
Une analyse pointue de la vidéo présentant la démonstration
de "BlackHat" mettrait en évidence des incohérences notoires dans la
démonstration proposée.
Certains arrivent même à la conclusion que la démonstration
aurait été montée de toute pièce : elle serait simplement une simulation de ce
que pourrait faire un programme d'exploitation, si celui-ci existait.
Ce que l'on en retient
Le problème soulevé ne concerne pas les cartes Wifi standards
des MacBook. Cet aspect a d'ailleurs été clairement indiqué par les
représentants d'Apple :
http://www.macworld.com/news/2006/08/17/wirelesshack/index.php
La démonstration d'attaque a probablement été (au moins) un
peu truquée pour être plus spectaculaire. Ceci nous fait penser que la
vulnérabilité découverte par Maynor sur les pilotes Wifi (ou USB) est difficile
à exploiter (ou ne permet de réaliser que des actions limitées).
Elle a cependant l'intérêt d'avoir attiré l'attention sur
les vulnérabilités potentielles des pilotes de périphériques. Nous ne doutons
pas que ce type de vulnérabilité existe (cf.
- quand le périphérique est une clef USB, une carte PCMCIA ou une prise FireWire, une telle vulnérabilité peut permettre une attaque physique de l'ordinateur, au moment où l'on branche un équipement malicieux.
- quand il s'agit d'un pilote WIFI ou ETHERNET, elle rend possible des attaques à distance.
Vulnérabilité des pilotes Wifi des plates-formes Intel Centrino
Concernant les plates-formes Centrino, Intel a publié au
début du mois d'août une nouvelle version des pilotes pour les cartes Wifi
intégrées à ces plates-formes. Il s'agit de pilotes pour les systèmes
fonctionnant sous Microsoft Windows. Ils sont présents sur tous les ordinateurs
portables utilisant
Ces nouvelles versions corrigent trois vulnérabilités, dont la plus grave peut permettre à un attaquant distant de prendre le contrôle d'un ordinateur vulnérable. Ces vulnérabilités ont donné lieu à l'avis CERT-IST/AV-2006.305.
Après diffusion de ces correctifs, il a été observé par certains utilisateurs, une consommation anormalement élevée de mémoire et de CPU par le processus "S24EvMON.exe" (un des processus lancés par le service "Intel(R) PROSet/Wireless Service"). Ce comportement est dû à un défaut dans le correctif d'Intel, non pas dans le pilote de la carte lui-même, mais dans un des programmes de gestion de la carte qui est fourni avec ces pilotes (l'ensemble "pilote" et "programmes de gestion" est téléchargé en un seul composant dénommé par Intel : "Intel PROSet/Wireless Software").
Intel a émis à la fin du mois d'août une nouvelle version de son logiciel pour corriger ce problème. Reportez vous à l'avis du Cert-IST pour les obtenir les détails de ces correctifs.
Pour plus d'information
- Présentation sur la vulnérabilité dans les pilotes de
périphérique à "BlackHat" -USA-2006 :
http://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Cache.pdf - Analyse des "faiblesses" de la démonstration faite
lors de la conférence "BlackHat" : http://sid.rstack.org/blog/index.php/2006/08/26/113-du-lard-du-cochon-ou-juste-du-flan
- Analyse détaillée et hypothèses sur la démonstration de
"Black Hat" :
http://www.smallworks.com/archives/00000465.htm
- Fuite mémoire sur les pilotes Wifi Centrino :
http://www.pcinpact.com/actu/news/30899-Possible-fuite-de-memoire-pour-les-pilotes-W.htm - Technologie Centrino d'Intel : http://www.intel.com/cd/products/services/EMEA/FRA/notebook/centrino/196073.htm