Un chercheur en s�curit� a d�cortiqu� la technologie LoRaWAN, soutenue notamment par Orange et Bouygues T�l�com. Il a trouv� une multitude de failles � tous les niveaux : protocolaires, logicielles, mat�rielles.

Promis � un bel avenir, l'Internet des objets de demain s'appuiera notamment sur des communications radio bas d�bit, permettant d'interconnecter une multitude de capteurs � une distance de plusieurs kilom�tres tout en limitant au maximum la d�pense �nerg�tique. Deux technologies se concurrencent aujourd'hui: celle de l'entreprise fran�aise Sigfox et celle du consortium LoRa (Long Range), dont les membres sont notamment Orange et Bouygues T�l�com. Mais ces technologies sont-elles vraiment s�curis�es ?
En f�vrier dernier, Renaud Lifchitz, chercheur en s�curit� chez Digital Security, s��tait pench� sur Sigfox, d�couvrant au passage tout un ensemble de failles plus ou moins critiques comme l�interception des messages ou l�usurpation d�identit�. A l�occasion de la conf�rence Hardwear.io, qui s�est d�roul�e le 20 et 21 septembre � La Haye, le chercheur a pr�sent� une seconde �tude, focalis�e cette fois-ci sur les r�seaux LoRaWAN, qui s'appuient sur la technique de modulation LoRa.
Voir l'image sur Twitter



Suivre
hardwear.io @hardwear_io

Renaud Lifchitz discussing Attacks on LoRaWAN encryption
15:06 - 22 Sept 2016








Cette analyse montre, une fois de plus, que l�on est encore loin d�un niveau de s�curit� satisfaisant dans l�internet des objets, en tous les cas pour certains usages. Comme avec Sigfox, il est possible d�intercepter des messages et d�usurper l�identit� des �quipements qui constituent un r�seau LoRaWAN.
Sur le papier, pourtant, l�histoire commen�ait bien. La technologie LoRaWAN, en effet, prend soin de chiffrer par d�faut tous les messages de bout en bout, depuis l�objet connect� au serveur applicatif. Tous les messages sont par ailleurs sign�s entre l�objet connect� et les serveurs du r�seau LoRaWAN. Ces op�rations s�appuient sur deux cl�s diff�rentes : AppSKey pour le chiffrement, et NwkSKey pour la signature.
Malheureusement, la mani�re dont ce chiffrement est r�alis� n�est pas optimale et ouvre la porte � des attaques de d�chiffrement partiel ou total. Contrairement � ce que l�on pourrait croire en lisant certains documents de pr�sentation du consortium, les messages ne sont pas chiffr�s en AES 128 bits. Cet algorithme est utilis� pour g�n�rer une succession de cl�s (� keystream �). Celles-ci vont, ensuite, coder chaque bloc du message en XOR (� ou exclusif �), qui est une op�ration math�matique ultra-classique.
Un simple codage en XOR

Premi�re cons�quence : le message chiffr� a exactement la m�me taille que le message non chiffr�. � Il est donc possible de distinguer les messages en fonction de leur longueur, ce qui peut se r�v�ler utile si les messages sont assez r�p�titifs �, explique Renaud Lifchitz.
A chaque fois que l�objet se connecte au r�seau, ce keystream est non seulement r�initialis�, mais en plus il est possible de le rendre identique � celui d�une session de communication pr�c�dente. � On peut alors rejouer des messages qui avaient d�j� �t� envoy�s �, poursuit le chercheur. Mais il y a mieux. Si l�on capture deux messages xor�s suivant le m�me keystream et qu�on les xore entre eux, on arrive � les d�chiffrer partiellement (on obtient leur diff�rence en clair).
Autre vecteur d�attaque : si l�on conna�t le contenu d�un message, il est possible de r�cup�rer un keystream. Et en rejouant ce keystream, on peut alors d�chiffrer les messages ult�rieurs. Tout ceci est assez fastidieux, mais peut se r�v�ler tr�s utile pour un attaquant d�termin�.
Usurpation et dumps de m�moire

Au-del� de ces faiblesses protocolaires - qui sont importantes car difficiles � corriger - le chercheur a �galement d�couvert des failles dans des impl�mentations logicielles et mat�rielles. Ainsi, certaines passerelles ne sont pas authentifi�es et il est assez facile d�usurper leur identit�. � Chaque passerelle envoie r�guli�rement vers les serveurs un num�ro d�identifiant appel� Gateway EUI qu�il est assez facile de conna�tre. Il suffit d�avoir une passerelle qui envoie le m�me num�ro mais de mani�re plus fr�quente pour se substituer � la vraie passerelle �, souligne Renaud Lifchitz.
Certains serveurs r�seau mis en place par des op�rateurs sont �galement directement accessibles sur Internet. Pour s�en rendre compte, il suffit de faire une recherche sur Shodan, le moteur de recherche des hackers.
C�t� objets connect�s, Renaud Lifchitz estime qu�environ 50 % des appareils ont des puces LoRa dont la m�moire n�est pas prot�g�e. � Il suffit de se connecter sur le port s�rie ou sur un port de d�bogage pour r�cup�rer toute la m�moire, y compris les cl�s de chiffrement �, explique-t-il. Et si ces ports ne sont pas disponibles, il est souvent possible d'extraire les cl�s en mesurant les variations de consommation du microcontr�leur qui se trouve � c�t� de la puce LoRa. � Il s�agit souvent de plateformes compatibles Arduino o� le chiffrement AES est impl�ment� de fa�on un peu na�ve, permettant de r�aliser des calculs de corr�lation. Mais cela demande quand m�me des comp�tences math�matiques �, souligne le chercheur.
Pour limiter les risques, il existe heureusement des solutions : envoyer syst�matiquement des messages de taille fixe et en binaire, utiliser des plateformes mat�rielles inviolables (Secure Elements) pour stocker et prot�ger les cl�s de chiffrement sur les objets connect�s, plafonner l�usage du spectre, choisir des cl�s diff�rentes pour chaque objet, etc. Il faut esp�rer que les fournisseurs appliqueront ces bonnes recommandations avant que le r�seau LoRaWAN ne se g�n�ralise aupr�s du grand public.

**Hidden Content: Thanks to see the content**