« PoisonTap », un appareil créé par un hacker : branché en USB, il est capable de récupérer les identifiants des comptes web d’un utilisateur, même si ce dernier a verrouillé sa session.

Verrouiller une session avant de quitter son poste n'est pas suffisant pour protéger son ordinateur contre un pirate disposant  d'un accès physique à la machine.

Samy Kamkar vient de montrer qu'il suffisait de brancher en USB un nano-ordinateur de type Raspberry Pi Zero (5 dollars) sur l’ordinateur pour y récupérer un grand nombre de cookies d'authentification avec lesquels le pirate pourra ensuite se connecter sur les divers sites fréquentés.

« PoisonTap »: cet appareil pourra même installer sur l'ordinateur une backdoor qui permettra au pirate d'exécuter du code à distance par la suite.

Samy Kamkar s'est inspiré d'une attaque réalisée en septembre par le chercheur Rob Fuller, qui avait réussi à voler les identifiants Windows d'un PC verrouillé en branchant une clé USB programmable.

Cette attaque déjoue l’antivirus installé : elle repose en effet uniquement sur des faiblesses intrinsèques de la plupart des systèmes d'exploitation actuels.

PoisonTap fait croire à l'ordinateur qu'il est un adaptateur Ethernet connecté au réseau local.

Grâce à un serveur DHCP embarqué (1), l'appareil va pouvoir intercepter les requêtes web qu'une page web ouverte envoie de manière automatique, même sans action).

PoisonTap va injecter sur cette page des milliers de sous-pages cachées (sous la forme d'iframes), chacune simulant une connexion vers un site réel (un service bancaire ou un compte de stockage cloud par exemple).

Le navigateur, va ainsi automatiquement renvoyer le cookie d'authentification s'il y en a un pour ces différents domaines.

Selon Samy Kamkar, avec un tel cookie, le pirate pourra directement se connecter sur le site avec l'identité de la victime, même si celle-ci utilise un système d'authentification à double facteur.

Cette attaque fonctionne avec tous les sites web non chiffrés (ceux qui sont simplement en HTTP) 

ð Mais même les sites sécurisés en HTTPS peuvent en être la victime, s'ils autorisent l'envoi de cookies par un canal non chiffré.

Comme les iframes contiennent non seulement du HTML, mais aussi du Javascript, elles permettent d’initialiser des canaux de communication appelés WebSocket que le pirate peut réactiver, même si le PoisonTap est débranché.

ð Le pirate pourra ainsi exécuter à distance du code dans le navigateur de la victime, et cela aussi longtemps que celle-ci n'effacera pas son cache.

En cas de doute :fermer à chaque fois son navigateur quand l’on quitte son poste

Pour se protéger, l'utilisateur peut fermer à chaque fois son navigateur quand il quitte son poste, ce qui n’est pas évident.

ð La seule protection réelle est un ordinateur qui chiffre sa mémoire lorsqu'il se met en veille.

C'est le cas, du  Mac avec le chiffrement FileVault2 activé :

« Dans ce cas, le navigateur ne peut plus faire de requêtes », souligne Samy Kamkar dans sa note de blog.

Côté serveur, il y a, par contre,  une solution simple : utiliser uniquement des connexions HTTPS, activer le SecureFlag pour les cookies et vérifier l’intégrité des requêtes Javascript. 

De ce point de vue, les sites de Google et de Facebook sont bien sécurisés !

(1)           Dynamic Host Configuration Protocol : un protocole TCP/IP qui permet de distribuer automatiquement une configuration IP aux équipements du réseau, lors de chaque mise en service.

Le serveur DHCP est souvent couplé aux routeurs, pour masquer le plan d'adressage du réseau interne.

   (2)      Les IFRAME permettent d'insérer une page html dans une  autre     page Html sans avoir besoin de Frameset, permettant de diviser une page HTML en plusieurs fenêtres.