Un virus dans les puces RFID

Par Jerome Saiz, le 17 mars 2006 à 12:41:00.

Inoffensives, les puces RFID ? Pas si sûr : selon des chercheurs des Pays-Bas, elles peuvent facilement être détournées afin de propager des codes malicieux. Du cheval de Troie au ver autonome, les attaques sont multiples et les conséquences sérieuses pour les systèmes de gestion. Effacement de la base de données, infection de l'application métier : les micro-menaces peuvent faire de maxi-dégâts.

La question de la sécurité de la technologie RFID ne s'était jamais réellement posée en terme de codes malicieux. Après tout, une telle puce ne fait que s'éveiller lorsqu'elle passe à proximité d'un lecteur ad-hoc et renvoyer un identifiant quelconque. Ce dernier est alors transmis à un middleware tout aussi quelconque, puis inséré dans une base de données et la vie continue.

Mais pas pour une poignée de chercheurs de l'université de Vrije, à Amsterdam. En bon hackers, être en mesure de décider arbitrairement de ce qui sera passé à une base de données inconnue leur a donné des idées... d'injection de code, bien sûr !
Et voilà nos chercheurs partis pour expérimenter avec des puces RFID. Leur faible capacité de stockage ne permet pas, bien sûr, de se lancer dans l'écriture de codes très ambitieux. En revanche, les informations stockées dans une puce peuvent tout à fait être modifiées d'une manière inattendue afin de perturber le système de lecture. Et c'est bien là le fond de commerce historique des hackers en tout genre : susciter l'imprévu afin de déstabiliser une application un peut trop rigide.

Injection SQL et Cross Site Scripting

Première méthode d'attaque : présumer que le contenu de la puce RFID sera utilisé sans validation. A commencer par une requête SQL. On retombe ici dans une attaque d'injection SQL très classique : en ajoutant une seconde requête à celle attendue, il devient possible de se livrer à toute sorte de jeux dangereux, de l'exécution de code grâce à la procédure stockée xp_cmdshell de SQL Server, jusqu'à l'effacement de la base de données si les droits y sont mal gérés.
Mais au delà du SQL, toute sorte d'injections sont possibles, surtout si le système de gestion offre une interface web. Les chercheurs proposent des exemples qui permettent de référencer une image WMF piégée stockée sur un serveur distant ou d'appeler du code exécutable via une directive SSI ou par une connexion tftp (disponible par défaut sous Windows, par exemple). Tout ça en quelques centaines d'octets.

Propagation de code malicieux

Bien entendu, les exemples cités jusqu'à présent tiennent plus du cheval de Troie que du virus ou du ver, car il n'y a pas de reproduction. Qu'à cela ne tienne : nos chercheurs détaillent l'utilisation de techniques d'écriture du code source par le code lui-même ("Quines"). Il devient alors possible de créer une requête SQL capable d'écrire de nouvelles requêtes... et ainsi de se répliquer !
Par ailleurs, les méthodes de téléchargement du code via tftp sont déjà utilisées par de nombreux vers sur Internet et donc parfaitement maîtrisées par les auteurs de code malicieux.

Enfin, loin de n'être qu'une vue de l'esprit, les universitaires offrent plusieurs exemples de code quasi-fonctionnels, notamment en ce qui concerne l'auto-réplication à l'aide de requêtes SQL croisées. De quoi réveiller les fournisseurs d'applications basées sur RFID !
Bien sûr, toutes les attaques démontrées ici sont parfaitement connues dans le monde du web, et l'on sait parfaitement s'en protéger. La nouveauté est simplement leur application à une puce RFID, que personne jusqu'à présent n'avait considérée comme le vecteur potentiel de données "sales".
Un peu à la manière de ces développeurs web qui oublient qu'un cookie, aussi, permet de fournir des contenus arbitraires à son application.

Plus d'information

• Le détail des travaux publiés par les deux chercheurs (en anglais).