Du haut de ce billet, 40 siècles de retard technologique vous contemplent

Note de Bruno : Cet après-midi j’ai reçu un commentaire pour mon billet précédent… par email sous la forme de document Word de 5 pages ! J’ai donc, après avoir recontacté l’auteur puis obtenu son accord, décidé de publier son commentaire sous la forme d’un billet à part entière, j’ai juste rajouté quelques liens didactiques (+ 1 Easter Egg) vers la Wikipedia pour les novices, et mis les liens originaux de l’auteur en gras pour les différencier des miens.

C’est parti pour le commentaire-billet de MArcO le bidouilleur fou :


Du haut de ce billet, 40 siècles de retard technologique vous contemplent

(titre humoristico-ironique et dénuée de méchanceté, j’insiste)

Ou :

Comment j’ai appris à pirater le GSM et les CPL en écoutant France Inter International et en lisant le blog de Bruno

Bruno pose les bases de ce que je pense être le socle du plus vaste problème sécurité des 20 prochaines années. Et çà, à cause d’un tout petit bout de câble. Ou plus exactement de l’absence de ce petit bout de câble. Car en quoi consiste le câble en question ?

  • Dans le cas décrit par notre CSO helvético-breton, il s’agit d’une interface qui convertit un signal basse fréquence analogique en signaux carrés (trigger de Schmidt) et qui les expédie sur un port qui ne comprend que ce genre de langage (Centronics). Ce qui entre donc dans l’ordinateur peut être considéré comme un signal pratiquement démodulé, du moins déjà remis en forme… le reste n’est qu’une histoire de transcodage simplounet, limite Turbopascal.

  • De nos jours, on aurait préféré abandonner JVFax au profit de MultiPSK, qui est à la réception d’émissions codées de que OpenOffice est à la bureautique : un hyper intégré. Et le subtile bricoleur qu’est Bruno aurait alors sans coup férir directement injecté le signal dans son ordinateur. Dans la carte audio, entrée « CD-Rom » plus exactement, à l’aide d’un simple fil, sans le moindre ampli-op ou interface quelconque. De cette manière, l’on possède le « jus original », non déformé par le trigger de Schmidt. Avantage premier, il est possible de traiter des signaux large bande (192 KHz de bande passante) et non plus des bégaiements numériques à moins de 5 KHz. Plus de bande passante, et possibilité de s’attaquer non plus seulement aux émissions codées, mais en outre aux signaux « large bande » (ainsi la modulation DRM, Digitale Radio Mondiale) et aux informations analogiques (AM, FM, FM large, BLU, modulation de phase ou par impulsions codées, double bande latérale à porteuse supprimée, etc etc).

Cette technique et cette approche impliquent que la partie «radio », qui injecte le signal dans la carte audio, soit d’un genre légèrement particulier. On emploie en général un mélangeur qui se débrouille pour délivrer un signal basse fréquence possédant deux composantes identiques mais décalées en quadrature de phase. Je n’insisterais pas sur la partie électronique et développement, les plus curieux peuvent se pencher sur l’article en 4 volets publié par l’ARRL intitulé « Software defined radio for the masses » … et suivants.

Ca, c’est l’approche empirique. Mais prenons un peu de recul.

Le récepteur de Bruno utilise une technologie dépassée depuis plus de 20 ans. C’est un « superhétérodyne » qui fonctionne selon le principe simple du changement de fréquence : F in moins F oscillateur=F intermédiaire, amplification, re-mélange avec un autre oscillateur local, seconde fréquence intermédiaire, démodulation, amplification BF, et hop, on écoute Britney ou un peu de Tektonik. Cette succession de transformations limite la bande passante du signal reçu. En outre, la façon de fabriquer les oscillateurs locaux a longtemps limité la « couverture » générale des récepteurs. C’est amplement suffisant pour Britney.

Avec un récepteur moderne, l’on peut bénéficier des merveilles de la science. A commencer par des oscillateurs à base de DDS (générateurs à synthèse directe) qui couvrent en une seule « bande » les fréquences comprises entre 0 et 1 000 MHz. F d’entrée moins F dds = fréquence directement injectable dans la carte son de notre ordinateur (ou, dans les récepteurs plus performants, on remplace la carte son par des FPGA considérablement plus efficaces qu’un chipset audio)

Moins de composants, plus le moindre étage intermédiaire limitant la bande passante du signal reçu, et surtout, absente totale d’électronique dédiée à la démodulation du signal. Oubliés, les discriminateurs de Foster-Seeley, aux oubliettes les démodulateurs équilibrés, à la poubelle les diodes de détection AM… tout se fait par soft. Avec moins de 100 euros de composants, un poil de C (Nooon ! restons poli ! je parle du langage !) et deux grammes de Java, l’on peut concevoir un récepteur aussi performant qu’une usine à gaz « multimodes » qui coûtait 20 000 francs il y a 20 ans. (note de Bruno : c’est ex-cel-lent !!!! Merci pour le lien, Marc.)

étonnant, non ? prix du récepteur : 40 euros par bande à tout casser. (Note de Bruno : vu la tête de leurs montages, je dirais plutôt 2$ par bande, allez-voir la photo du bricolage infâme !)

On appelle ces petites merveilles des « Software Defined Radio » (SDR), ou Radio « définies » par logiciel. Le « défini » signifie que le soft définit ce que décodera la radio. Il la modélise selon les désirs du programme utilisé. C’est, pour ceux qui n’auraient pas saisi, le même principe que ces abominables « winmodems », interfaces téléphoniques minimalistes qui laissaient à la CPU la totalité du traitement du signal, à la haute époque des transmissions en 9600 pbs sur RTC. Les SDR, c’est « presque » la même chose. Mais en considérablement plus puissant.

Quel rapport avec le hacking et le pentesting ?

Prenons un SDR. Pas une électronique conçue pour fonctionner avec une carte son, mais un système plus haut de gamme, utilisant un processeur de traitement audio dédié. Un FPGA.

  • Ozymandias, par exemple.
  • ou bien l’USRP de Matt Ettus (qui accuse déjà plus de 12 ans d’ancienneté).
  • Ou la toute dernière production de Phil Covington, le QuickSilver QS1R.

Tous sont « FPGA powered »… et surtout, tous sont compatibles GNU Radio.

Résumons :

  • une base matérielle capable de recevoir n’importe quoi, de 0 à 4 GHz ET EMETTRE n’importe quoi sur ces mêmes fréquences,

(ainsi l’USRP, ce sera également le cas des prochaines productions Covington)

  • Un socle logiciel qui permet de démoduler (de décoder) absolument tout ce qui est émis (j’insiste sur le mot décoder, et non déchiffrer… c’est important). Pour les procédés de modulation exotiques, il suffit de chercher et de développer le bon algo. La dernière Defcon sur l’écoute distante des dialogues RFID et la remise en forme des signaux en est un exemple remarquable.

  • Le mélange des deux donne un outil susceptible d’écouter TOUT ce qui utilise la voie des ondes. Une sorte d’enfant hybride qui combinerait, dans le domaine sans fil, les charmes de Wireshark, la mémoire de Nessus et le flair de Snort.

  • Avec en prime quelque chose d’un poil plus préoccupant : une SDR est totalement réversible. Une fois que l’on a modélisé la partie démodulation du signal, il est simple de « retourner » l’électronique et d’émettre avec le même procédé, puisque la modulation est également le fruit d’un développement logiciel. Eavedroping d’un coté, injection de l’autre… Rogue & roll !

Pour l’heure, les rares personnes qui se sont intéressées à l’usage des SDR dans le domaine du pentesting n’ont pas véritablement saisi l’universalité de son mode de fonctionnement. On l’utilise pour hacker du RFID (voir la précédente Defcon), ou spécifiquement du GSM (THC The Hacker’s Choice), plus rarement pour se lancer dans l’eavesdroping Bluetooth (Errata Security, Dave Maynor). C’est là une pure question d’éducation : un protocole, une interface, et à chaque jour suffit sa peine.

La base matérielle est universelle et large bande. Est-il si compliqué de combiner, en une sorte de Metasploit GNU-Radio, un kit de pentesting à usage général, capable de s’adapter à toutes les situations ? (ceci est une fausse question, les extensions wireless de Metasploit sont trop « verticalisées », mais il faudrait peu de chose pour les marier entre elles dans un framework différent)

Et maintenant, la question fondamentale : Pourquoi ?

Pourquoi éprouver un spectre de modes de transmission plutôt que d’en analyser les constituants pièce après pièce (l’approche de Christophe Devine, que j’admire profondément). J’entends déjà un barbu équipé d’un sac à dos me dire qu’il est plus simple d’établir une méthode pour vérifier la manière dont on serre les boulons d’un bateau plutôt que de vérifier un à un tous les boulons du bateau. Iso ! Seulement voilà, y’a Mitola.

Joseph Mitola, du Mitre, est un monsieur qui a dit la chose suivante : En vérité, je vous le dit, un jour, tous les réseaux radios s’enfileront comme des tuyaux de poêle et donneront naissance à un énooooooorme –paf !- réseau hybride. Le Wifi acheminera ce qui vient du GSM, le Bluetooth embrassera Wimax, et la 3G s’embringuera avec les réseaux Tetra. Babel sur les ondes. Il a tellement raison, Monsieur Mitola, avec son idée de « réseaux cognitifs », que les militaires planchent sur sa théorie et tentent de la mettre en pratique depuis déjà près de 5 ans. Les opérateurs dépensent sans compter les sous des fonds de recherche de la Communauté Européenne pour parvenir au même résultat (ou pour tenter de le bloquer… certains vendeurs historiques de minute de télécom ne sont pas franchement favorables à cette vision). Le réseau « cognitif », c’est l’art de router un flux indépendamment de sa couche de transport, en fonction de diverses considérations : coût (least cost routing) QoS, SLA du chargé de transport (ou acceptation de concession de la part de l’usager)… je pars en Wifi, je « jump » en GPRS, je retombe en Wimax, je transite par les CPL (qui, comme chacun sait, est un réseau sans fil) avant de finir sur la ligne Dect de mon correspondant. Et ce, quelque soit le flux : streaming, audio, data en paquets… cela n’a rien à voir avec de l’encapsulation.

D’un point de vue sécurité, soit l’on bétonne le truc de bout en bout avec un VPN ou un machin « dur » -et on perd tout ce qu’on veut en terme d’optimisation de bande passante-, soit on n’utilise qu’un seul protocole maitrisé que l’on encapsule à chaque saut de puce (encore pire que la solution précédente en terme de QoS), soit on « transcode » les niveaux de sécurité, on adapte les chiffrements, on bidouille les négociations sur chaque passerelle, qui devient du coup un point de vulnérabilité. Bref, on se prépare des réveils difficiles et des nervoussses brèkdone. IP sur X25 ou IP dans ATM ne donne qu’une très vague approche des paquet d’em… pardon, des sommes phénoménales de hiatus et d’impondérables…

Tout çà pour dire qu’il y a des compétences qui se perdent.

La subtilité analytique du redoutable couple News0ft/Ivanlef0u, l’approche universaliste –et électronique- d’un Kerouanton, la sapience du fuzzing d’un Matthieu Suiche et d’un Jérôme Athias (the metasploit’ boy), l’œil wireless d’un Sid.. si on agite le tout et que l’on sert chaud, crédié, ca fera jaser CanSecWest pendant au moins 10 berges.

Enfin, moi, c’que j’en dis…

12 Comments »

Bruno Kerouanton on septembre 15th 2008 in General

12 Responses to “Du haut de ce billet, 40 siècles de retard technologique vous contemplent”

  1. Bruno Kerouanton responded on 15 Sep 2008 at 13:20 #

    Houps… j’avais oublié d’activer la fonction commentaires sur ce billet. Chose réparée, désolé. A vot’ bon coeur messieurs-dames.

  2. Sid responded on 15 Sep 2008 at 18:27 #

    Je m’étonne de l’absence de mention au projet HPSDR:

    http://hpsdr.org/

    Même si ce n’est pas une boîte off-the-shelf, il y a pleins d’idées par là-bas.

  3. ITI responded on 16 Sep 2008 at 9:22 #

    Du grand MArcO, ça …… 😀

    Attention néanmoins à ce qu on pense triballer inpunément dans son sac a dos…. entre le coup du « Anatomy of a subway hack » ou les blocages lors du dernier DefCon avec les cartes usrp. Déjà qu on ne peut plus passer les douanes tranquillement avec un portable ou une clef usb sans déclencher une crise de parano chez les gabelous…. :^$

  4. Bacchus responded on 16 Sep 2008 at 17:44 #

    J’ai pas tout compris mais cela m’a fait rire! Le cryptage de la data dans tout cela? Je dois sans doute passer pour une chèvre?

  5. Bruno Kerouanton responded on 16 Sep 2008 at 21:58 #

    @sid : merci pour le lien`, ça m’a l’air sympa en effet… Marc j’en suis certain a certainement juste oublié d’en parler 😉

    N’empèche que c’est un sujet passionnant, je trouve… enfin s’ j’avais le temps (il est presque 22h, et je suis encore au boulot en train de recompiler des ggrr*?xmmbl de sources qui nécessitent des patches… et qui réclament moult librairies qui elles aussi sont à recompiler avec leurs patches. Vive le monde libre !!!!).

  6. marc responded on 17 Sep 2008 at 16:52 #

    Comment ? l’impasse sur le HPSDR, le premier projet utilisant un Cyclon II ? Voir l’ancre sur le mot Ozymandias.
    Je n’ai effectivement pas insisté sur ce projet pour un raison très simple : pour commencer à jouer, il faut nécessairement posséder un four à refusion (ou posséder une dextérité dans la manipulation du fer à air chaud). Pas à la portée de tout le monde. En revanche, certains modules qui gravitent autour d’Ozie et de Janus, le cœur du HPSDR, peuvent être adaptés sur le récepteur (et bientôt émetteur-récepteur) de Phil Covington. Logique, direz vous, puisque Covington et également chef de projet dans l’aventure HPSDR. Je n’ai pas eu l’occasion de tester Ozie et Janus autrement que sur des transmissions « bande étroite ». Les résultats sont remarquables. Les extensions embarquées (projets satellites) sont particulièrement passionnantes, mais très éloignées du cahier des charges d’un « super outils de hacking » wireless.
    Ceux qui sont intéressés par ce petit bijou peuvent se reporter sur le blog de M0KHZ (http://www.m0khz.com/?cat=5), qui en a fait une intégration très personnelle. Je préfère l’approche mécanique de Pandora.
    En considérablement plus cher et bien moins efficace, il y a Flexradio. Bon soft, reposant sur le fameux mélangeur de Tayloe, mais décodage avec une carte son… 5000 $ pour finir à 192 KHz, c’est du gâchis (http://www.flex-radio.com/Intro.aspx?topic=intro)

  7. ITI responded on 18 Sep 2008 at 9:35 #

    C’est vrai qu’au niveau soudure, j’ai encore du mal à imaginer ça : http://www.m0khz.com/wp-content/uploads/2008/08/memo0005.jpg

    Mais bon, un bon article d’un bon OM (michelin ? 😀 ) sur le sujet, ça peut inciter à réviser son jugement, hein Marc ??? 😉

  8. marc responded on 18 Sep 2008 at 12:54 #

    J’ai pondu, à l’attention de ceux qui s’intéressent à ce genre de « détail technique », un petit pdf intitulé « du p’tit dèj à la tartine de composants ».

    Papier placé lui aussi sous « licence IV », Envoi contre remboursement d’un pot au « paradis du fruit » 🙂 j’apporte la tomme.

  9. marc responded on 18 Sep 2008 at 13:41 #

    Je viens de recevoir le mail intrigué d’un prince de l’exploration de datagrammes IP… qui m’interroge sur le rapport qu’il y a entre les SDR et les réseaux cognitifs…
    J’avoue, cette réponse à Bruno était rédigée en dépit du bon sens, et m’a fait oublier de préciser un tout petit détail dans la transition SDR/Réseaux cognitifs. Tout petit mais d’une importance cruciale.
    La théorie de Mitola repose essentiellement sur l’hypothèse d’un usage généralisé de « passerelles radio à définition logicielle ». Le téléphone de demain, tout comme bon nombre de « gateway » sans fil, seront des SDR : une interface radio simplifiée à l’extrême, et un firmware omnipotent. Dans moins de 5 ans, le technico-commercial Cisco ou le tenancier d’une boutique Phone House nous dira, en nous tendant l’appareil (ou le rack 1U) « et avec çà, qu’est-ce que je vous sers ? Une fonction GSM, une sortie WiFi, du Bluetooth, la TV sur IP… p’tèt’ un poil de PMR pour écouter les talky-walky des enfants ? et qu’est-ce que vous diriez d’une compatibilité Dect ? bien sur, j’ajoute la réception de la bande FM… j’ai aussi l’émission-réception dans la bande aviation si vous possédez une licence … et cette semaine, en promo, pour toute souscription à l’abonnement groupé WiFi- Wimax +, on vous offre 6 mois de réception des clichés satellite météo NOAA et 30% de réduction sur le kit « écoute des radars routiers » . Utilisation réservée à nos clients Belges, Allemands et Luxembourgeois »
    L’on n’achètera donc non plus le terminal d’abonné ou un appareil dédié de commutation Ethernet Radio, mais l’on souscrira des « abonnements de démodulation » sur mesure. Seul problème, le paramétrage personnalisé du routage des communications en « least cost routing » (va falloir surveiller ses factures)
    Au niveau des infrastructures, encore des SDR. Du moins sur les interfaces du « last mile » pour commencer. Des frontaux de réception compatibles avec une bonne centaine de protocoles et types de modulation. Pour faire plaisir aux abonnés, afin qu’ils ne payent plus les « coms » ? Non. Pour que l’infrastructure soit adaptable en fonction de la demande. Plutôt que de dépenser des mille et des cent dans le déploiement d’une infrastructure BLR (boucle locale radio), on télécharge les protocoles BLR. Si le modèle économique se casse la figure, on formate la mémoire des passerelles, transpondeurs, relais et cellules, et on passe à autre chose. Au Wimax par exemple. Et l’on profite au passage pour étendre la couverture GPRS qui laissait à désirer sur un secteur particulier. Et puis, pendant qu’on y est, on ajoute un réseau de diffusion de France Culture dans une zone d’ombre qui n’était pas desservie par les réémetteurs de TDF.
    Bien entendu, du jour au lendemain, sur simple réquisition du Préfet de région et en cas de plan Orsec , on réduit la couverture GSM et on reconfigure tout le réseau à la norme TetraPol (et en cas de conflit, avec un machin compatible Rita et proches cousins).
    Pour prouver à mon correspondant que je n’ai abusé ni d’alcool, ni de substances stupéfiantes, je le renvoie à cet antique projet Européen baptisé E2R, comme End-to-End Reconfigurability (http://e2r2.motlabs.com/).

    Bon, toujours pas convaincu de l’utilité d’un groupe de travail français sur la sécurité des réseaux radio « en général » ?

  10. Matthieu responded on 19 Sep 2008 at 21:05 #

    Je ne suis pas un fuzzeur!!!

  11. marc responded on 22 Sep 2008 at 12:55 #

    J’ai traité personne de fuzzeur… j’ai simplement dit que certains avaient la sapience. 🙂

  12. Bruno Kerouanton » Le SSTIC, et autres sujets de recherche responded on 25 Mai 2009 at 13:20 #

    […] commencent à voir le jour. Je vous invite d’ailleurs à cet effet à relire l’excellent billet de Marc Olanié sur mon blog, et surtout à (ré)ssayer un tel récepteur directement via Internet ! Vive le […]

Trackback URI | Comments RSS

Laisser un commentaire