Vous êtes sur le site public du Cert-IST
Vulnérabilité des pilotes WIFI

Date :31 Août 2006

Publication: Article

Ce mois-ci, deux événements ont impacté le monde du Wifi :

  • lors de la conférence "BlackHat" (USA), il a été fait une démonstration de compromission d'un système Mac OS X via une faiblesse des pilotes ("drivers") Wifi.
  • la veille de cette conférence, Intel a publié des correctifs pour une vulnérabilité des pilotes Wifi des plates-formes Centrino (pilotes pour les systèmes d'exploitation Microsoft Windows).

Malgré la coïncidence des dates, il n'existe pas de lien démontré entre ces deux événements.

 

Vulnérabilité des pilotes Wifi sur Mac OS X

Cet événement a été largement médiatisé, et la présentation réalisée sur ce sujet à la conférence "BlackHat", a généré depuis une large polémique, qui va jusqu'à la remise en question de la véracité de la démonstration faite ce jour là.

La présentation de David Maynor à "BlackHat" était dédiée aux vulnérabilités des pilotes de périphériques, et plus particulièrement à la vulnérabilité des pilotes Wifi. Elle a été conclue par une vidéo qui montre qu'il est possible de prendre à distance le contrôle d'un MacBook (sous MacOS X) en utilisant une faille du pilote Wifi. Il est clairement mentionné par l'éditeur Apple, que la vulnérabilité utilisée ne concerne pas les cartes Wifi d'Apple installées par défaut dans les MacBook de l'éditeur (cartes de la gamme "Airport"), mais plutôt une carte Wifi USB tierce (de marque non précisée) qui a été ajoutée sur le MacBook.

Aucune explication technique n'a été donnée par Maynor sur la vulnérabilité WIFI qu'il a utilisée.


Certaines analyses sur Internet vont cependant plus loin dans les explications et proposent plusieurs hypothèses :

- Il existerait dans les dernières versions des produits Apple "MacBook Pro" et "Intel Mac mini", disponibles depuis le début de l'année 2006, une vulnérabilité "connue" dans la version du pilote "Atheros" des cartes Wifi. D'autres sources mentionnent que cette vulnérabilité, plus générique vis-à-vis des systèmes Mac OS X impactés, est présente dans le pilote réseau générique des systèmes Mac OS X ("ndiswrapper"), pilote utilisé uniquement avec des cartes réseau (filaires ou sans-fil) tierces.

- Le système Mac OS X étant dérivé du système FreeBSD, cette vulnérabilité serait celle connue depuis quelques mois sous FreeBSD, et décrite dans l'avis CERT-IST/AV-2006.030 ("Vulnérabilité WIFI sous FreeBSD 6.0"). Cependant, lors de la démonstration de "BlackHat", ce n'est pas cette dernière qui aurait été utilisée car elle se serait avérée trop difficile (impossible ?) à exploiter.

- La vulnérabilité exploitée pourrait se trouver dans une faiblesse des pilotes USB. Ceci peut expliquer l'utilisation d'une carte Wifi USB tierce lors de la démonstration. L'aspect intéressant cette fois est que les failles des pilotes USB exploitables localement peuvent avec les cartes Wifi devenir exploitables à distance. David Maynor avait d'ailleurs déjà présenté cette problématique de la sécurité des pilotes USB lors de la conférence CanSecWest 2005.

 

Et si tout était faux ?


Une analyse pointue de la vidéo présentant la démonstration de "BlackHat" mettrait en évidence des incohérences notoires dans la démonstration proposée.
Certains arrivent même à la conclusion que la démonstration aurait été montée de toute pièce : elle serait simplement une simulation de ce que pourrait faire un programme d'exploitation, si celui-ci existait.


Ce que l'on en retient

Le problème soulevé ne concerne pas les cartes Wifi standards des MacBook. Cet aspect a d'ailleurs été clairement indiqué par les représentants d'Apple :

http://www.macworld.com/news/2006/08/17/wirelesshack/index.php

 
La démonstration d'attaque a probablement été (au moins) un peu truquée pour être plus spectaculaire. Ceci nous fait penser que la vulnérabilité découverte par Maynor sur les pilotes Wifi (ou USB) est difficile à exploiter (ou ne permet de réaliser que des actions limitées).

Elle a cependant l'intérêt d'avoir attiré l'attention sur les vulnérabilités potentielles des pilotes de périphériques. Nous ne doutons pas que ce type de vulnérabilité existe (cf. la vulnérabilité Centrino décrite ci-dessous) :

  • quand le périphérique est une clef USB, une carte PCMCIA ou une prise FireWire, une telle vulnérabilité peut permettre une attaque physique de l'ordinateur, au moment où l'on branche un équipement malicieux.
  • quand il s'agit d'un pilote WIFI ou ETHERNET, elle rend possible des attaques à distance.

 

Vulnérabilité des pilotes Wifi des plates-formes Intel Centrino

Concernant les plates-formes Centrino, Intel a publié au début du mois d'août une nouvelle version des pilotes pour les cartes Wifi intégrées à ces plates-formes. Il s'agit de pilotes pour les systèmes fonctionnant sous Microsoft Windows. Ils sont présents sur tous les ordinateurs portables utilisant la technologie Centrino.

Ces nouvelles versions corrigent trois vulnérabilités, dont la plus grave peut permettre à un attaquant distant de prendre le contrôle d'un ordinateur vulnérable. Ces vulnérabilités ont donné lieu à l'avis CERT-IST/AV-2006.305.

Après diffusion de ces correctifs, il a été observé par certains utilisateurs, une consommation anormalement élevée de mémoire et de CPU par le processus "S24EvMON.exe" (un des processus lancés par le service "Intel(R) PROSet/Wireless Service"). Ce comportement est dû à un défaut dans le correctif d'Intel, non pas dans le pilote de la carte lui-même, mais dans un des programmes de gestion de la carte qui est fourni avec ces pilotes (l'ensemble "pilote" et "programmes de gestion" est téléchargé en un seul composant dénommé par Intel : "Intel PROSet/Wireless Software").

Intel a émis à la fin du mois d'août une nouvelle version de son logiciel pour corriger ce problème. Reportez vous à l'avis du Cert-IST pour les obtenir les détails de ces correctifs.


Pour plus d'information