Des Raspberry Pi impliquées dans des attaques informatiques

Une fuite de données concernant la NASA a été rendue publique récemment. Les attaquants ont utilisé la présence d'une Raspberry Pi sur le réseau interne pour réaliser l'attaque.

Ces ordinateurs miniatures et économiques qui tiennent dans la main peuvent aussi bien être utilisés dans des projets éducatifs que dans des attaques informatiques complexes.

Le rapport explique qu'une Raspberry Pi était branchée sur le réseau mais n'était pas déclarée ni présente dans aucun inventaire d'équipements du SI. Elle a servi de point d'entrée pour les attaquants. A l'aide d'identifiants compromis et d'une mauvaise segmentation réseau, ils ont ensuite pu rebondir sur le réseau interne sur une période de plusieurs mois et récupérer environ 500 mégaoctets de données confidentielles. L'incident a été découvert en Avril 2018 et a été rapporté publiquement ce mois-ci.

Ce genre de matériel, par sa taille réduite, peut effectivement servir de point d'entrée discret sur des réseaux internes d'entreprises mais aussi à réaliser des attaques dans des lieux publics, comme par exemple de l'interception réseau.

Un attaquant pourrait utiliser une Raspberry Pi avec une antenne Wifi, pour créer un point d'accès Internet public qu'il placerait dans un lieu fréquenté. En donnant un nom particulier à ce réseau, par exemple un nom courant pour ce genre de points ouverts dans des gares ou des cafés,  l'attaquant peut espérer attirer des utilisateurs potentiels.

 Le but ici est d'attirer des utilisateurs sur ce réseau malveillant et d'obtenir une position d'homme du milieu, afin de pouvoir ensuite réaliser des attaques sur le trafic internet des utilisateurs.

L'attaquant peut mettre en place une simple écoute réseau, qui permet d'espionner le contenu des échanges des utilisateurs. Toutefois, avec la grande popularité des flux chiffrés comme le HTTPS, il est peu probable qu'il puisse directement récupérer des informations confidentielles par ce biais.

 La position d'homme du milieu acquise permet à l'attaquant de mettre en place des scénarios élaborés, comme par exemple une attaque appelée "SSLStrip". Cette attaque consiste à rediriger le flux chiffré vers un flux non chiffré (HTTP) depuis un équipement en position de proxy. La Raspberry Pi en position de point d'accès peut réaliser cette attaque, qui consiste à intercepter les connexions chiffrées vers les services que la victime souhaite accéder (un réseau social, ou le site d'une banque) mais qui va les déchiffrer entre la victime et le point d'accès. Ainsi, du point de vue du service la connexion est chiffrée normalement, mais ce n'est pas avec l'utilisateur que la connexion est sécurisée mais avec le point d'accès. Le trafic entre la Raspberry Pi et la victime n'est pas chiffré et l'attaquant peut écouter et récupérer le contenu des flux échangés, comme par exemple des identifiants de connexion.

 Il existe des moyens pour se prémunir: un utilisateur attentif pourra se rendre compte du caractère non chiffré de la connexion et ne pas rentrer d'informations confidentielles, ou bien ne pas utiliser des points d'accès Internet publics auxquels il n'accorde pas confiance. Les serveurs webs peuvent aussi tenter de protéger leurs utilisateurs, en utilisant notamment l'entête de sécurité "HSTS", qui indique aux navigateurs des utilisateurs que le site ne doit être accédé que depuis un flux chiffré.