{"id":16975,"date":"2021-05-26T15:43:16","date_gmt":"2021-05-26T13:43:16","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16975"},"modified":"2021-05-26T15:43:16","modified_gmt":"2021-05-26T13:43:16","slug":"rsa2021-tv-remote-listening-device","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/rsa2021-tv-remote-listening-device\/16975\/","title":{"rendered":"T\u00e9l\u00e9commande t\u00e9l\u00e9 utilis\u00e9e comme dispositif d’\u00e9coute"},"content":{"rendered":"

La plupart des gens ne se m\u00e9fient pas des objets du quotidien. Prenez par exemple une t\u00e9l\u00e9commande\u00a0: il est difficile d\u2019imaginer que quelqu\u2019un puisse espionner nos conversations, mais les chercheurs en cybers\u00e9curit\u00e9 J. J. Lehman et Ofri Ziv de l\u2019entreprise isra\u00e9lienne Guardicore ont d\u00e9montr\u00e9 que c\u2019\u00e9tait possible. Ils ont fait part de leur d\u00e9couverte lors de la RSA Conference 2021<\/a>.<\/p>\n

Comment des chercheurs ont pirat\u00e9 une t\u00e9l\u00e9commande<\/h2>\n

L\u2019objet de recherche<\/a> de Lehman et Ziv a port\u00e9 sur la t\u00e9l\u00e9commande du d\u00e9codeur Comcast Xfinity X1, tr\u00e8s populaire aux \u00c9tats-Unis (plus de 10 millions d\u2019utilisateurs selon les chercheurs). La t\u00e9l\u00e9commande poss\u00e8de l\u2019option de commande vocale avec un tr\u00e8s bon processeur, et par cons\u00e9quent, un microphone est aussi int\u00e9gr\u00e9.<\/p>\n

Elle est \u00e9galement \u00e9quip\u00e9e de deux technologies de transfert de donn\u00e9es. Pour changer de cha\u00eene et faire d\u2019autres actions ordinaires, un \u00e9metteur infrarouge standard est utilis\u00e9. Cela permet de consommer tr\u00e8s peu d\u2019\u00e9nergie\u00a0afin de charger la batterie le moins possible. La t\u00e9l\u00e9commande peut ainsi fonctionner avec une batterie ordinaire pour une dur\u00e9e de vie plus longue.<\/p>\n

Mais si on veut utiliser le mode de transfert de donn\u00e9es rapide, la t\u00e9l\u00e9commande fait appel \u00e0 une interface radio ce qui lui permet d\u2019envoyer les donn\u00e9es au d\u00e9codeur, mais aussi d\u2019en recevoir.<\/p>\n

Comme beaucoup de dispositifs modernes, ce type de t\u00e9l\u00e9commande fonctionne comme un ordinateur connect\u00e9, et peut donc \u00eatre pirat\u00e9.<\/p>\n

Apr\u00e8s avoir analys\u00e9 le microgiciel de la t\u00e9l\u00e9commande (qui se trouve dans le disque dur du d\u00e9codeur), les chercheurs ont pu d\u00e9terminer les modifications \u00e0 faire pour que le microgiciel contr\u00f4le la t\u00e9l\u00e9commande, active le micro et transmette le son via le canal radio\u00e9lectrique.<\/p>\n

Cependant, modifier le microgiciel n\u2019\u00e9tait pas suffisant\u00a0: il fallait qu\u2019ils trouvent un moyen pour l\u2019installer sur la t\u00e9l\u00e9commande et de pr\u00e9f\u00e9rence \u00e0 distance. Pour ce faire, Lehman et Ziv ont analys\u00e9 le fonctionnement de la t\u00e9l\u00e9commande et comment le d\u00e9codeur communique avec celle-ci et fait les mises \u00e0 jour.<\/p>\n

Ils ont d\u00e9couvert que c\u2019est la t\u00e9l\u00e9commande qui doit lancer le processus de mise \u00e0 jour. Toutes les 24h, cette derni\u00e8re envoie une requ\u00eate au d\u00e9codeur et re\u00e7oit par la suite soit une r\u00e9ponse n\u00e9gative soit une requ\u00eate pour installer la nouvelle version du logiciel que le d\u00e9codeur a t\u00e9l\u00e9charg\u00e9e.<\/p>\n

Les chercheurs ont \u00e9galement trouv\u00e9 de grandes failles dans le m\u00e9canisme de communication entre la t\u00e9l\u00e9commande et le d\u00e9codeur Xfinity. Premi\u00e8rement, la t\u00e9l\u00e9commande ne v\u00e9rifie pas l\u2019authenticit\u00e9 du microgiciel, et peut donc t\u00e9l\u00e9charger et installer n\u2019importe quel microgiciel que le d\u00e9codeur (ou l\u2019ordinateur du pirate informatique) proposera.<\/p>\n

Deuxi\u00e8mement, bien que le d\u00e9codeur et la t\u00e9l\u00e9commande \u00e9changent des messages chiffr\u00e9s, le cryptage n\u2019est pas au point. La t\u00e9l\u00e9commande accepte (et ex\u00e9cute) les requ\u00eates envoy\u00e9es en texte brut et qui indiquent : \u00ab\u00a0chiffrement d\u00e9sactiv\u00e9\u00a0\u00bb. Les requ\u00eates \u00e9mises par la t\u00e9l\u00e9commande sont toujours chiffr\u00e9es et ne peuvent donc pas \u00eatre d\u00e9crypt\u00e9es, mais si on sait comment fonctionne la communication entre ces deux outils, il est possible de deviner ce que demande la t\u00e9l\u00e9commande et de donner la r\u00e9ponse appropri\u00e9e.<\/p>\n

Cela fonctionne \u00e0 peu pr\u00e8s comme ceci\u00a0:<\/p>\n

\u00ab\u00a0YdvJhd8w@a&hW*wy5TOxn3B*El06%D7 ?\u00a0\u00bb<\/p>\n

\u00ab\u00a0Oui, il y a une mise \u00e0 jour de microgiciel disponible que vous pouvez t\u00e9l\u00e9charger\u00a0\u00ab\u00a0.<\/p>\n

\u00ab\u00a0Cj@EDkjGL01L^NgW@Fryp1unc1GTZIYM.\u00a0\u00bb<\/p>\n

\u00ab\u00a0Envoi du fichier\u00a0; accepter le fichier.\u00a0\u00a0\u00bb<\/p>\n

Troisi\u00e8mement, c\u2019est plut\u00f4t facile de d\u00e9clencher une erreur dans le module du microgiciel qui g\u00e8re la communication avec la t\u00e9l\u00e9commande, ce qui provoque ainsi le red\u00e9marrage du module. Cela laisse le champ libre aux pirates informatiques pour prendre le contr\u00f4le de la t\u00e9l\u00e9commande.<\/p>\n

Par cons\u00e9quent, pour pirater la t\u00e9l\u00e9commande, il faut\u00a0:<\/p>\n