En juin le musée des Arts et Métiers accueillait un atelier Hacklab animé par le Hacker Space parisien /tmp/lab (lien http://www.tmplab.org/). L’informatique et particulièrement les aspects sécurité y étaient présentés de manière simple et claire, illustrée par des démonstrations. Ces ateliers se voulaient ouverts à tout public et simples d’accès, pari réussi semble t il, même si beaucoup de visiteurs semblaient être connaisseurs.
Les différents ateliers présentaient certaines thématiques abordées au sein du /tmp/lab : hacking, réseaux GSM et Wi-Fi, arts sous les aspects musicaux et visuels, environnement…
L’atelier “Hacking” et intrusion réseau proposait de découvrir deux aspects des tests de sécurité, le test distant (intrusion) et le second, plus particulier, consistant à découvrir les failles d’un logiciel local, à partir de techniques dites de fuzzing. Le fuzzing implique d’injecter des informations aléatoires au logiciel et d’observer son comportement. Un plantage était souvent synonyme d’une erreur de programmation qui peut être exploitable par un attaquant malveillant. Pour le test d’intrusion les visiteurs étaient guidés afin d’attaquer un serveur proposant des services standards. Le but étant de découvrir les failles présentes sur les sites ou les services et de les exploiter.
Un autre atelier proposait de découvrir le prototypage rapide, plus connu sous comme les « Imprimante 3D ». Une imprimante 3D réalisée au sein du /tmp/lab y était présentée en fonctionnement. Son principe est de faire fondre du plastique sur un plateau mobile. La pièce à imprimer est ainsi imprimée couche par couche, de bas en haut.
Un autre atelier a retenu la curiosité de nombreux visiteurs car il présentait certains aspects de la sécurité des utilisateurs de « GSM ». Il montrait deux méthodes permettant d’observer ce qui est échangé sur les réseaux GSM. La première basée sur l’utilisation d’un cable de debug (F-Bus) et d’un ancien téléphone (Nokia 3310 de type DCT3) permet d’observer ce qui est échangé entre le téléphone et l’antenne relai (BTS) sur laquelle est enregistré le téléphone. Cette méthode ne permet que de voir le trafic destiné au téléphone, et non aux autres utilisateurs. Mais elle permet une première approche de cette technologie à bas coût (cable : ~20 euros). La seconde méthode proposait de découvrir le concept des radios logicielles (Software Defined Radio). Cette solution nécessite l’achat d’un boitier USRP (www.ettus.com) ainsi que de cartes d’extension adaptées aux fréquences utilisées par le GSM qui représente un budget de près de 1500 euros. Par contre cette méthode d’écoute permet d’observer l’ensemble des échanges passés sur une fréquence, c’est-à-dire entre différents terminaux mobiles et une antenne relai (BTS). Ainsi, l’auteur a pu montrer via des captures réalisées auparavant que certains échanges notamment le rechargement de crédit ou l’envoi de SMS peut être écouté car il circule en clair.
L’ensemble de ces opérations peuvent être réalisées à l’aide de logiciels libres (quelques liens : wireshark, airprobe, gnuRadio, OsmocomBB). Ces attaques ne permettent néanmoins pas d’écouter les conversations téléphoniques en France, celles-ci étant chiffrées. Certains pays n’utilisent cependant pas le chiffrement à cause de restrictions imposées par les états. Dans ces pays, l’écoute des conversations via la SDR est possible et cet atelier sensibilisait à ces aspects. En France, l’écoute et le rejeu de SMS ou de commandes peuvent être des pistes de recherche pour trouver des failles dans les mécanismes mis en place.
Les derniers ateliers, « VJ et visualisation temps réel » et « Wi-Fi Mesh » présentaient des aspects plus artistiques autours de la génération de graphisme en temps réel et de création de réseaux Wi-Fi permettant de capter les sons et de les diffuser dans d’autres points du réseau sans fil.
Ce hacklab présentait donc au public quelques thèmes de recherche et d’expérimentation autours de l’informatique et des techniques associées. La sécurité y avait une place importante et cela a permis de faire découvrir ces aspects au public et de le sensibiliser sans le matraquer par des messages alarmistes comme le font les médias. Il est dommage que le hacklab ait été présenté à l’écart du musée et du réel passage des visiteurs, mais cela reste une initiative intéressante et à suivre dans le futur (via www.tmplab.org).
Plus d’informations sur http://www.tmplab.org/2010/05/28/ateliers-hacklab-au-cnam-paris-20-juin/
(9 votes)
Loading ...