En novembre 2022, les chercheurs d’universités américaines et canadiennes ont montré le fonctionnement d’une méthode qui permet de localiser un dispositif Wi-Fi en utilisant du matériel bon marché et facile à trouver. La preuve de concept de l’attaque a été nommée Wi-Peep puisqu’elle peut être utilisée pour espionner (peep en anglais) les dispositifs de communication via le Wi-Fi. Cette étude apporte de nouvelles connaissances sur certaines fonctionnalités des réseaux Wi-Fi et sur les risques potentiels de la localisation du dispositif. Il convient de souligner que les risques ne sont pas trop importants, et que cette attaque est digne d’un film de James Bond. Tout cela ne rend pas l’étude moins intéressante.
Les caractéristiques de l’attaque Wi-Peep
Avant d’analyser le rapport en détail, prenons l’exemple d’une attaque réelle. Les cybercriminels ont fait voler un mini-quadrirotor avec le microordinateur le plus cher à bord autour du bâtiment pris pour cible tout en collectant des données afin d’obtenir un plan des dispositifs sans fil installés à l’intérieur avec une précision assez correcte (à plus ou moins 1,5 mètre dans des conditions idéales). Pourquoi ? Imaginez que ce soit une banque ou un laboratoire secret dont les systèmes de sécurité sont équipés de modules Wi-Fi… Vous avez la réponse à la question : savoir où ils se trouvent pourrait fortement intéresser les cybercriminels afin de planifier une intrusion physique.
Comment les chercheurs ont-ils pu reproduire une telle situation ?…
L’attaque Wi-Peep exploite deux caractéristiques importantes de n’importe quel dispositif Wi-Fi, qu’il s’agisse des anciens modules sans fil d’il y a 20 ans ou des modems les plus modernes. Le mécanisme d’économie d’énergie des dispositifs Wi-Fi est le premier point. Le module Wi-Fi, d’un smartphone par exemple, peut économiser la batterie en éteignant le récepteur sans fil pendant des courtes périodes. Un point d’accès sans fil a besoin de prendre en compte ce mode de fonctionnement : votre routeur peut accumuler des paquets de données pour un dispositif en particulier puis les transmettre d’un coup lorsque le signal est à nouveau prêt à recevoir une transmission.
Pour qu’une attaque soit réussie, l’espion a besoin de la liste des adresses MAC, c’est-à-dire des identifiants uniques attribués à chaque périphérique réseau dont les emplacements sont déterminés plus tard. Les dispositifs qui se trouvent dans le même domicile, bureau ou hôtel sont généralement connectés à un réseau Wi-Fi partagé, dont le nom n’est pas confidentiel. Il s’est avéré qu’il est possible d’envoyer un faux paquet de données, apparemment depuis ce réseau sans fil partagé, en informant tous les dispositifs connectés que le tampon du point d’accès a accumulé certaines données qui leur sont destinées. Pour répondre à ce signal, les dispositifs envoient des réponses qui, après analyse, révèlent presque instantanément les adresses MAC uniques de tous les appareils du réseau. Il y a une méthode encore plus simple : écouter le trafic radio sans fil. Pourtant, cette technique prend plus de temps. Selon les chercheurs, vous devez accumuler des données en mode passif pendant 12 heures.
La seconde caractéristique exploitable d’échange sans fil de données a temporairement été nommée Wi-Fi Polite. Ce nom a été choisi par les auteurs d’une étude qui remonte à 2020. Voici en quelques mots l’essence de cette attaque : un dispositif sans fil répond toujours à la requête d’adresse d’un autre dispositif, même s’il n’est pas connecté au même réseau Wi-Fi partagé et même si la demande n’est pas chiffrée ou est malformée. En retour, le module Wi-Fi envoie une simple confirmation (« Vos données ont été reçues »), mais il s’avère qu’elle suffit à déterminer la distance qu’il y a avec l’appareil qui répond. Le temps de réponse pour confirmer la réception d’un paquet de ce genre est strictement réglementé et est de 10 microsecondes. Un cybercriminel peut chronométrer le temps écoulé entre l’envoi de la requête et la réception de la réponse puis soustraire les 10 microsecondes réglementaires afin de savoir en cambien de temps le signal radio a atteint le dispositif.
Quelles informations sont fournies ? En nous déplaçant autour d’un dispositif sans fil stationnaire, nous pouvons déterminer ses coordonnées avec un degré de précision assez élevé, puisque nous connaissons notre emplacement et la distance qui nous sépare de l’objet en question. Grande partie de l’étude se concentre sur comment surmonter les nombreuses difficultés de cette méthode. Le signal du transmetteur radio Wi-Fi est constamment réfléchi par les murs et autres obstacles, ce qui rend plus difficile le calcul de la distance. En réalité, le temps de réponse réglementaire devrait être de 10 microsecondes, mais il s’avère qu’il varie d’un dispositif à l’autre, et oscille entre 8 et 13 microsecondes. La précision de la géolocalisation du module Wi-Fi des cybercriminels a aussi un impact : il s’avère que même la précision des systèmes de géolocalisation (GPS, GLONASS ; etc.) n’est pas suffisante. Même si les données obtenues ont beaucoup de bruit, si assez de mesures sont faites, on peut obtenir une précision relativement importante. Cela signifie que si vous effectuez des dizaines de milliers de lectures, vous obtenez une précision de positionnement avec une marge d’erreur comprise entre 1,26 mètre et 2,30 mètres, sur le plan horizontal. Quant au plan vertical, les chercheurs ont pu déterminer le bon étage dans 91 % des cas, mais rien de plus.
Une attaque sophistiquée à moindre coût
Même si le système qui permet de déterminer les coordonnées des dispositifs sans fil s’est avéré ne pas être très précis, il reste intéressant, et pas seulement parce que le matériel utilisé par les chercheurs est économique. En théorie, l’attaque peut être effectuée par n’importe quel espion en personne, tout simplement en marchant lentement autour de l’objet pris pour cible. Pour plus de commodité, les chercheurs ont utilisé un quadrirotor bon marché et l’ont équipé d’un microordinateur basé sur la puce-système ESP32 et un module sans fil. Le coût total de ce kit de reconnaissance (prix du quadrirotor exclus) est inférieur à 20 euros ! De plus, l’attaque est virtuellement impossible à suivre sur le dispositif de la victime puisqu’elle utilise les capacités normales des modules Wi-Fi et qu’il est impossible de les désactiver ou du moins de les modifier en termes de comportement. Si la communication entre le dispositif de la victime et le microordinateur des cybercriminels est possible en principe, l’attaque fonctionnera. La portée de la transmission des données en Wi-Fi est de plusieurs dizaines de mètres, ce qui est suffisant dans la plupart des cas.
Des conséquences vagues
Si nous partons du principe que l’attaque est réalisable dans la vie réelle, les données obtenues sont-elles utiles ? Les chercheurs proposent plusieurs scénarios. Tout d’abord, si on connaît l’adresse MAC du smartphone d’une personne en particulier, on peut à peu près suivre ses déplacements dans les espaces publics. Cela est possible même si le smartphone n’est pas connecté à un réseau sans fil au moment de l’attaque. Ensuite, la création d’un plan des dispositifs sans fil d’un bâtiment sécurisé (le siège d’un concurrent, les installations d’une banque) pour mettre en place une attaque physique est un scénario parfaitement réaliste. Par exemple, les escrocs peuvent déterminer l’emplacement approximatif des caméras de vidéosurveillance si elles utilisent le Wi-Fi pour transmettre les données.
La collecte de ces données à d’autres avantages moins évidents. Vous pouvez, par exemple, recueillir les informations relatives au nombre d’appareils Wi-Fi d’un hôtel afin d’estimer combien il y a de personnes. Ces renseignements peuvent intéresser la concurrence. Savoir combien d’appareils sans fil sont connectés peut également permettre de vérifier si les victimes sont à leur domicile. Même les adresse MAC, sans les coordonnés, peuvent être utiles : obtenir des statistiques à propos de l’utilisation du smartphone dans les lieux publics. En plus de l’espionnage et du vol, ces méthodes menacent la vie privée des gens.
Pourtant, le risque immédiat du déploiement d’une méthode de ce genre est assez bas. Cela s’applique à toutes les attaques potentielles et aux méthodes de collecte de données pour lesquelles l’escroc doit se trouver à proximité de l’objet pris pour cible. D’une part, cela demande beaucoup de travail, ce qui implique que peu de cybercriminels pourraient le faire à grande échelle, et d’autre part, il existe d’autres méthodes plus efficaces pour les attaques ciblées. Cette étude permet de comprendre comment les fonctionnalités simples de technologies complexes peuvent être exploitées à des fins malveillantes. Les chercheurs ont constaté que ce travail ne sera utile que si ce risque minime de sécurité et de confidentialité est éliminé dans les futures versions des technologies sans fil de transmission des données.
Pour le moment, nous vous conseillons d’utiliser un système anti-drone. Il ne va pas vous protéger contre la technique Wi-Peep, mais il évitera qu’on ne vous espionne depuis les airs.