Capture d'empreinte « digitale » de pirate sans fil
Comment reconnaître une « bonne » station sans-fil connectée à un réseau d'une autre, nettement moins légitime ? Trois chercheurs canadiens, Michel Barbeau, Jyanthi Hall,et Evangelos Kranakis de la Carleton University d'Ottawa, répondent en substance « un peu à la manière d'un mélomane qui différencie Theresa Berganza d'Edda Moser, Edda Moser de Kiri Te Kanawa, Kanawa de la Callas et la Callas de la Caballé : au timbre »*.
Mais la « voix » d'une carte réseau, autrement dit l'empreinte de la couche de transport radio (la porteuse) dégagée de toute surcharge liée aux données acheminées, ne peut être entendue que durant un bref instant, au tout début d'une émission de trame. Durant un laps de temps assez fugitif, il est donc possible d'analyser le signal, et d'en stocker les caractéristiques dans une base. Bien entendu, cette signature, tout comme une empreinte vocale, varie sensiblement dans le temps (propagation, prépondérance du plancher de bruit, température intrinsèque du composant d'émission, environnement HF, variations du niveau d'injection dans les mélangeurs, variations mêmes du récepteur chargé de l'écoute et de l'analyse...). La signature d'une carte Xircom un jour ne sera pas strictement la même le lendemain, voir quelques secondes plus tard. Même la Callas peut être parfois enrouée dans Lucia di Lamermore. Mais même dans ces conditions, impossible de la confondre avec Cathleen Ferrier dans les Kindertotenlieder. Il suffira ensuite de comparer les signatures des différents émetteurs stockés dans la base pour déterminer un « air de ressemblance » avec l'original. Le filtre d'interprétation le mieux adapté pour ce genre de recherche, c'est l'algorithme Bayesien, sous une forme proche de celle utilisée par les antispam. En se reposant sur cette comparaison des traits les plus représentatifs, l'administrateur - y compris le non mélomane- détectera immédiatement la présence d'un intrus au sein de son réseau, et ce même si l'intrus en question a pris le costume de scène de l'utilisateur légitime : adresse IP et MAC, comportement, clef WEP ou WPA, login niveau 7 etc : sous l'uniforme de Chérubin, la Walkyrie se fait remarquer.
Précisons que le taux de reconnaissance frise, jurent les trois scientifiques, les 95%. Est-il nécessaire d'ajouter qu'il est impossible d'imiter ladite signature ? Elle est liée aux disparités physiques de l'émetteur. Des disparités qui dépendent de la manière dont a été diffusé le transistor de l'étage final, d'une légère fuite d'un blindage interne, d'un circuit imprimé un peu « hors spécifications » côté constante diélectrique, de l'épaisseur du dépôt d'or ou d'argent sur les lignes d'accord, du bruit de phase du synthétiseur... bref, d'un nombre infini d'inconnues qu'il est illusoire d'espérer maîtriser.... D'autant plus que certaines d'entre elles sont liées à la structure moléculaire des cristaux semi-conducteurs.
Comme la recette est bonne, les trois savants l'on adapté à toutes les sauces. En premier lieu au secteur des réseaux WiFi, aux piconets Bluetooth, aux infrastructures radio du genre GPRS et proches cousins... les chercheurs et les curieux ont donc pas mal de lecture à se mettre sous la dent : Enhancing intrusion detection in wireless networks using radio frequency fingerprinting (extended abstract) , une version plus complète sous le titre Radio Frequency Fingerprinting for Intrusion Detection in Wireless Networks , et enfin Detecting rogue devices in Bluetooth networks using titre Radio Frequency Fingerprinting . Comme le trio semble passer son temps à composer des odes à l'intrusion par « rogue station », il serait injuste de laisser dans l'ombre Detecting Impersonation Attacks in Future Wireless and Mobile Networks , sorte de discours introductif aux précédents ouvrages, qui passe en revue les diverses méthodes d'usurpation d'identité dans le cadre d'une infrastructure sans fil. Il est important de noter que les trois chercheurs ne sont pas les « inventeurs » de l'empreinte de porteuse, technique fort ancienne déjà. L'originalité de leur travail se situe surtout dans l'utilisation de cette technique appliquée aux réseaux, d'une part, et dans l'association de cette technique avec les filtres bayesiens dans le but de corroborer l'authenticité d'un émetteur d'autre part.
Il est tout aussi important de noter que cette approche n'est en aucun cas capable de détecter une attaque en tunneling ayant déjà compromis une station « officielle et légale » du réseau (la voix détectée sera celle de la machine zombifiée), ne permet pas d'éviter une attaque en déni de service de la couche de transport au niveau PHY, et reste inapplicable dans le cadre d'un réseau public.
*SHDLC Saute d'Humeur De La Correctrice : Berganza et Moser, à la rigueur dans les rôles de soubrette... la Berganza est mezzo -Callas également-, la Moser Soprane, ce qui prouve que l'auteur est sourd comme un pot. Ceci dit, Voi che Sapete par la première et le grand air de la Reine de la Nuit par la seconde, ça vous retourne les tripes autant qu'un Bas Armagnac millésimé.
