object.title
Un appareil réseau de poche pour les tests de pénétration simplifiés

Dans le monde en constante évolution de la cybersécurité, la nécessité d'outils efficaces et portables est plus pressante que jamais. Lors d’une conférence au Hack 2024, un dispositif innovant basé sur un routeur Glinet a été présenté, répondant parfaitement à ce besoin. Ce petit appareil, capable de tenir dans une poche, promet de révolutionner les tests de pénétration, les opérations Red Team et les intrusions physiques en offrant puissance et versatilité dans un format ultra-compact.

Le conférencier Clovis Carlier, plus connu sous le pseudo Joytide, est un expert en cybersécurité avec plusieurs années d'expérience. Il a captivé son audience en montrant comment son dispositif peut surmonter des défis environnementaux et logistiques complexes. Actuellement, il travaille chez Cogiceo, une entreprise spécialisée dans les audits de sécurité.

 

Le besoin d'appareils réseau portables

Contexte et enjeux 

Les professionnels de la cybersécurité, notamment les pentesters, sont souvent confrontés à des situations où des appareils volumineux et encombrants ne sont tout simplement pas pratiques. Les environnements variés et parfois hostiles où ils doivent opérer nécessitent des outils capables de s'adapter facilement sans compromettre la performance. La discrétion est souvent essentielle, ce qui rend les appareils de grande taille peu désirables, par exemple lors de test d’intrusion.

De plus, la possibilité d’éviter le déplacement d’appareils volumineux, voir fragiles, est un atout, tant sur le plan financier qu’écologique.

Une des grosses contraintes pour les tests d’intrusions informatiques, est qu’il est très souvent obligatoire d’être physiquement sur site (où alors éventuellement monter un VPN avec le client, ce qui peut très vite être extrêmement compliqué, tant sur le plan logistique, qu’au niveau des délais). La solution est donc de déplacer une personne directement sur site, ce qui n’est ni écologique (selon le mode de transport), ni rentable (perte de temps pour la personne), en plus d’être souvent compliqué d’un point de vue logistique (site hors de ville, enchainement des modes de transports, difficultés de logement, restauration…).

Il faut donc avoir un boitier le plus compact possible, qui s’envoie par colis, capable d’être autonome en accès WAN, afin de monter un VPN entre le boitier et l’auditeur, pour réaliser l’audit à distance.

D’un point de vue sécurité des données du client, l’implant ne devra contenir aucune donnée, afin d’éviter une fuite de celles-ci en cas de perte ou d’interception du colis.

La solution devra être « clé en main » pour le client de l’audit, car il n’y a pas forcément de personnel compétant en informatique sur tous les sites à auditer.

Exemples d'utilisations courantes 

J’ai évoqué précédemment les tests d’intrusion. Le point fort d’un boitier de la taille d’un smartphone, est de pouvoir se cacher facilement une fois installé, mais aussi de permettre à l’auditeur de se déplacer dans les locaux avec l’implant, sans éveiller les soupçons. 

De plus, envoyer un boitier autonome sur le plan réseau et configuration, permet par exemple d’envoyer l’implant dans une usine, ou une agence, ce qui permet à n’importe quelle personne non IT de pouvoir connecter l’implant au réseau de l’entreprise.

 

Présentation du dispositif basé sur le routeur Glinet 

Présentation technique de l'implant 

L’implant miniature est basé sur un routeur 4G GLiNET XE300. Un routeur 4G, de la taille d’un smartphone, petit, silencieux et peu coûteux. Ses 2 ports RJ45 requis vont permettre de réaliser du contournement de NAC (Network Access Control).

Il est sous OpenWRT (base linux), un OS de routeur libre qui propose de grandes possibilités de développement de plugins, et certains outils sont déjà intégrés comme des serveurs VPN.

Le routeur dispose d’une batterie intégrée qui lui permet, coupler à la 4G, d’être totalement autonome.

Il va pouvoir porter des outils qui ne seront pas utilisables au travers du tunnel VPN (limitation de bande passante, limite de données mensuelles, couverture mobile) comme Responder, NMAP, etc.

Sa mise en place et son acheminement logistique sont donc très simples.

Sécurisation de l’implant 

L’implant étant acheminé par voie postale, et pouvant être installé en zone non sécurisée, il est impératif de faire un état des lieux de la sécurisation de l’implant.

D’un point de vue stockage, la mémoire interne et la carte microSD sont chiffrées.
Le firmware du routeur a été customisé, rendant la rétro-ingénierie plus compliquée (Serial TTY sécurisé, firewall local, hardening du linux).
Il reste à sécuriser physiquement le routeur, comme les plots de débug physique (permettant un accès local au système), en mettant par exemple de la Super Glue par exemple.

Scénarios pratiques

L’implant peut aisément, par exemple, être utilisé dans un audit dans une usine lointaine de ville (évitant un auditeur de perdre du temps pour se rendre sur site pour quelques heures d’audit, et possiblement lui évitant des nuits d’hôtel), et branché sur une prise réseau classique ou dans une baie informatique.

Un autre scénario serait de rentrer dans les locaux d’une entreprise (dans le cadre d’un audit), et de connecter l’implant discret entre une prise et un équipement (PC/Imprimante) par exemple, et ainsi réaliser un contournement du NAC;

Limitations de l’implant et contournements des limitations

La principale limitation du routeur est ses 128MB de RAM, limitant l’usage de certains outils gourmant en ressources (par exemple SCAPY, outil permettant notamment de manipuler et intercepter ou générer des paquets réseaux).

Comment faire sans SCAPY ? Utilisation de IPTABLES/NFTABLES (avec l’option tee ou dup) ? Impossible, il faut impérativement déclarer la target du paquet (que l’on ne connaît pas quand on écoute le réseau notamment lors de la phase du bypass du NAC).

Un outil a donc été développé par Clovis et Cogiceo afin de palier à l’absence de SCAPY, l’outil se nomme AAN. Il consiste à réaliser un pont transparent entre les 2 interfaces RJ45 du routeur et récupérer au passage des informations du supplicant.

La 4G est dépendante de la couverture des différents opérateurs (zones blanches…) ainsi que des limites de bande passante réelle (catégorie 4G 4 et 6 permettant théoriquement 300mbits de débit, mais en réalité on observe des débits plus proches de 30mbits), pouvant être contourné en connectant le routeur en Wifi chez le client ou directement sur une connexion, non NAC etc.

 

Fonctionnalité de contournement de 802.1X 

Explication du protocole 802.1X 

Le protocole 802.1X est un protocole réseau, qui permet d’authentifier les différents équipements sur le réseau. Il est utilisé aussi bien sur des réseaux câblés que WLAN (sans fil).

Pour authentifier les équipements, le 802.1X peut s’appuyer, selon les configurations, sur les élèvements suivants : adresse MAC, utilisateur, certificat …

Le fonctionnement du 802.1X est composé des 3 acteurs suivants :

  • Le supplicant : l’équipement (ordinateur, imprimante, smartphone ... ou autre) qui cherche à se connecter au réseau et qu’il faut authentifier.
    Il s’agit de l’initiateur du processus d’authentification.
  • L’authentificateur : il s’agit de l’équipement réseau sur lequel le supplicant est connecté. (Par exemple un switch pour du filaire ou une borne d’accès pour du WLAN).

Il joue le rôle d’intermédiaire avec le serveur d’authentification.

  • Le serveur d’authentification : Il s’agit bien souvent d’un serveur RADIUS.
    Son rôle est de vérifier les informations du supplicant envoyé par l’authentificateur.
    Il détermine ensuite si le supplicant est autorisé ou non à se connecter au réseau.

Processus d’authentification en 802.1X :

  • Lorsque l’équipement (supplicant) se connecte sur le réseau (aussi bien en filaire que WLAN), le port de l’équipement, passe état « non authentifié », c’est-à-dire que le port n’est plus down, mais n’accède pas au réseau, donc pas d’adresse IP distribuée si un DHCP est présent.
  • Le supplicant va échanger via l’authentificateur qui va faire son rôle d’intermédiaire, avec le protocole EAPOL (Extensible Authentication Protocol over LAN).
    Le premier message est envoyé par le supplicant, qui envoie un message EAPOL-Start afin d’initier l’échange. L’authentificateur lui répond avec un message EAP-Request afin de lui demander ses informations d’authentification.
  • Une fois l’échange entre le supplicant et le serveur d’authentification terminé, ce dernier va envoyer à l’authentificateur (switch ou points d’accès par ex), un message « Success » ou « Failure » selon l’acceptation ou non de l’authentification du client.
  • Si le message EAP-Success est envoyé, le port passe en état « authentifié », et l’accès réseau lui est permis, sinon le port reste en état « non authentifié », qui ne permet pas l’accès au réseau.

Les échanges entre l’authentificateur et le serveur d’authentification se font avec une clé pré-partagée, souvent en PSK, rendant les échanges entre ces derniers plus complexes à intercepter et/ou modifier.

Pour résumé, le protocole 802.1X est essentiel, afin de vérifier si un équipement est bien légitime à se connecter au réseau de l’entreprise.

Principaux vecteurs d’attaques du 802.1X

Plusieurs vecteurs d’attaques sont très utilisés pour contourner le 802.1X, on peut notamment citer l’attaque suivante qui a pour but de contourner le service d’authentification : Man-In-The-Middle. Il y a aussi des attaques qui vont faire tomber le service d’authentification comme des attaques DDoS (Dénis de service).

L’attaque par Man-In-The-Middle (MITM) consiste à espionner le réseau en plaçant souvent un dispositif espion, en général, ce dispositif est placé entre un équipement légitime et un équipement réseau, dans le but d’écouter tout le trafic réseau entre ces deux équipements.
Une fois le trafic réseau écouté, et analysé, il est possible de récupérer un certain nombre d’informations intéressantes dans le but de s’authentifier sur le réseau : adresse MAC, nom d’utilisateur et son hash, certificat de l’équipement légitime …

Il est maintenant possible de réaliser un ARP spoofing, en utilisant l’adresse MAC de l’équipement légitime, afin de se faire passer pour ce dernier, et donc obtenir l’accès au réseau.

Il est également possible de réaliser le même type d’attaque en utilisant le certificat ou la combinaison login/hash obtenus lors des phases d’écoutes.

Avec une attaque MITM, il est aussi possible de réaliser une attaque de détournement de session EAPOL (protocole utilisé dans le cadre de l’authentification), il faut que l’implant manipule les messages EAPOL lorsque le supplicant légitime s’authentifie, afin d’obtenir un accès au réseau.

L’attaque DDOS, attaque par dénis de service, consiste, elle, à rendre indisponible le service pour les utilisateurs légitimes. Cette attaque, peux se réaliser par différents biais : attaque des serveurs d’authentification (envoi d’un grand nombre de requêtes EAPOL-Start non désirables afin de surcharger le serveur, envoi d’un grand nombre de EAPOL-Logoff afin de dé-loguer les user légitimes du réseau).

D’autres attaques (que nous n’aborderons pas), telles que l’utilisation des vulnérabilités sur les serveurs radius et équipements réseaux sont aussi possible afin de s’authentifier ou alors sniffer le trafic réseau.

Outil de contournement utiliser sur l’implant routeur

L’implant, grâce à ses deux interfaces réseaux, permet de réaliser des attaques MITM : une interface connectée du côté supplicant et une côté équipement réseau.
L’auditeur, connecté via la 4G et son tunnel VPN, peut donc sniffer le trafic réseau et récupérer des informations dans le but de s’authentifier.

Cette attaque est très efficace car difficilement identifiable sur les serveurs d’authentification (sous conditions que l’implant réplique le trafic exact du supplicant et n’envoie pas son propre trafic, comme son adresse MAC. Il faut qu’il agisse comme un pont transparent).

Cet outil peut être utilisé lors d’une intrusion dans les locaux d’une entreprise, il suffit de connecter l’implant sur un port réseau connecté à un équipement légitime, souvent pas surveillé et placé dans un espace commun (par exemple, une imprimante, une TV … ou encore un téléphone IP), le mieux étant de réussir à connecter l’implant entre un PC utilisateur et un équipement réseau dans le but d’obtenir ses identifiants réseau.

À la vue de la taille de l’implant, cette manœuvre peut être assez facile à réaliser.

 

Conclusion 

Résumé des points clés

Les gros avantages de l’implant sont sa taille (taille d’un smartphone) et son autonomie (batterie et WAN 4G).

Ces deux avantages simplifient énormément les opérations logistiques, que ce soit pour l’acheminement du matériel, que la nécessité d’avoir physiquement un auditeur sur site.

L’implant peux également permettre de réaliser plusieurs audits en simultané sur plusieurs sites différents.

Le dernier avantage est le coût réduit de l’implant ce qui permet d’avoir plusieurs implants.

Importance pour l'avenir de la cybersécurité

Ces implants, de taille réduite au minimum, sont à la fois une aide précieuse pour les auditeurs ou les tests légitimes ... que pour les pirates. En effet, vu la simplicité de transport ou de mise en œuvre de ces derniers, ainsi que le cout faible, les pirates n’auront ni mal à s’en procurer, ni à les mettre en œuvre.
C’est pourquoi il faut impérativement ajouter des couches de sécurité supplémentaires sur l’authentification réseau et l’accès aux locaux (sécurité physique). On peut également penser à des systèmes anti déconnection sur les prises non surveillées telles que celles des imprimantes, en plus du cloisonnement du réseau de ces dernières.

 

Thomas ESKENAZI
Consultant Cybersécurité