e commentaire de Kevin à mon précédent billet sur la piètre qualité de certains logiciels commerciaux m'a fait penser à une histoire qui date du tout début de l'année. Là, pas de malware à la livraison ni de gros bug logiciel malheureux, mais une faille conceptuelle majeure. C'est Casey Halverson de Seattle Wireless qui décrit la chose sur son blog.
Son cadre photo sans-fil Kodak Easyshare arrive avec un compte FrameChannel, lequel permet à son propriétaire de lui pousser sous forme de flux RSS tout un tas de contenus soit déposés par lui, soit récupérés en ligne. Or, il se trouve que l'accès à ce contenu privé, possiblement assez personnel, n'est conditionné que par la fourniture de... l'adresse MAC du cadre photo...
Oui, oui, vous avez bien lu. C'est l'adresse MAC de votre cadre qui permet de s'authentifier au service. Chez FrameChannel, si on a bien intégré comme beaucoup de gens que l'adresse MAC d'un équipement peut être considérée comme unique dans la plupart des cas[1], l'unicité, même parfaite, ne constitue pas une qualité suffisante pour en faire un élément d'authentification. Même si ce genre d'erreur d'appréciation se montre relativement commune, dans le cas de l'adresse MAC, on se retrouve devoir faire face à une prédicitivité relativement forte essentiellement due à l'attribution des trois premiers octets aux constructeurs, lesquels les distribuent parfois spécifiquement à des séries de produit.
Du coup, on imagine bien qu'en jouant sur les trois derniers octets, on tombe rapidement sur des accès configurés et on fait vite moisson d'un nombre de fils assez impressionnants. Et de constater qu'on pouvait apparemment se livrer à quelques autres actions sympathiques. Par exemple, si par malheur vous arriviez sur un compte pas encore activé, vous pouviez procéder vous-même à son enregistrement et à commencer à uploader un peu de contenu. Certains seraient même parvenu à réinitialiser des comptes arbitraires...
Les fuites d'information ne sont évidemment pas en reste, sans même s'étendre sur les images qu'on récupère ainsi. Par exemple, l'affichage de la météo est un contenu populaire qui semble se retrouver assez souvent dans les fils utilisateur... Ce dernier vous indique directement dans quelle ville se trouve le cadre photo dont vous êtes en train de regarder le fil. Pour peu que le nom du compte soit suffisamment explicite[2], vous pourriez presque vous lancer dans les pages blanches pour récupérer l'adresse exacte.
Vous l'avez compris, cette indiscrétion ne touche pas le cadre Kodak en lui-même, mais le service FrameChannel. Et par effet boule de neige, tous les produits qui l'utilisent. Évidemment, chez FrameChannel, on a bien compris l'ampleur du problème. Alors on est très vite passé à l'action pour protéger la vie privée de ses utilisateurs. Ainsi, ils ont verrouillé l'accès en ajoutant une vérification du... User-Agent. Champ infalsifiable s'il en est, et dont personne n'est à même de deviner le contenu de toute manière...
Bref, un bon double fail des familles sur toute la ligne, comme on en croise régulièrement sur les équipements "internetisés" à la va-vite. On part d'un postulat assez faux mais bien ancré dans les esprits, on fait un raccourci massif derrière et pour finir, on se retrouve à faire reposer une bonne partie de la sécurité d'un service sur du vent.
Les esprits joueur regretteront peut-être que ces cadres ne soient pas également des points d'accès. Auquel cas ils auraient également pu s'amuser à les retrouver en soumettant leur BSSID à quelque service de geolocalisation ;)
Et pour finir sur un autre échec, cette clé USB à code que Bruce Schneier nous recommande vivement vaut carrément le détour...
Notes
[1] Ceci dit, j'ai déjà eu affaire deux fois à des conflits d'adresse MAC sur des cartes réseau...
[2] Genre "prénom.nom" ou "initiale.nom".