Notre arsenal Red team - Episode 2 : Le copieur de badge

Sécurité de l'information
Notre arsenal Red team - Episode 2 : Le copieur de badge

Etes-vous sûr que le badge que vous avez prêté à votre installateur pour pouvoir entrer et sortir le temps de configurer la nouvelle imprimante n’a pas été transmis à quelqu’un d’autre ? Savez-vous si les badges que vous fournissez aux techniciens de surface n’ont jamais été copiés ? Etes-vous certain que ces personnes n’ont jamais posé temporairement sans surveillance leur badge quelque part ?

Nous ne reviendrons pas sur les détails des attaques liées aux cartes Mifare Classic qui ont déjà été fortement documentées sur le web, à savoir : des clefs de chiffrement par défaut et rarement changées par les installateurs, et surtout un défaut de conception permettant de récupérer les clefs.

Nous retrouvons cependant encore très régulièrement cette technologie lors de nos missions Red Team lorsque l’on souhaite s’introduire dans les bâtiments et que nous avons à notre disposition un badge original durant quelques minutes.

Nous utilisons donc depuis plusieurs années un outil développé par nos soins : le copieur de badge Mifare Classic.

Ce dispositif portable est basé sur un raspberry avec écran intégré, une batterie type « powerbank », un lecteur RFID USB et des badges vierges (badges avec UID réinscriptible). Il est totalement autonome et ne requiert pas d’être connecté à un ordinateur. Ce dispositif remplace un équipement type Proxmark qui permet de faire les mêmes attaques mais qui demanderait plus d’interactions et de matériel plus voyant dans le cadre d’une mission Red Team.

Celui-ci nous permet de copier tout badge Mifare Classic que nous arrivons à emprunter, et ce dans un temps réduit.

Il peut être démarré à la demande et a une autonomie de plusieurs heures. Toute personne malveillante ayant réussi à s’introduire dans les locaux peut alors avoir ce type d’équipement sur lui. Sans pour autant alerter les personnes qui pourraient découvrir ce boitier, telles que l’éventuelle équipe sécurité à l’entrée des bâtiments sensibles.

L’étape 0 consiste à vérifier que nous arrivons à lire l’identifiant du badge :

Les étapes de récupération de duplication des clés et des données du badge sont automatisées : L’étape 1 consiste à tester des dizaines de clefs connues, répertoriées sur internet et récurrentes sur les installations de badgeuses. L’étape 2 est effectuée lorsque les clés ne sont pas connues, et consiste à les casser via les défauts de conception documentés :

L’ensemble de la procédure peut prendre entre quelques secondes à quelques minutes au maximum, en fonction de la puissance du raspberry (ou équivalent) utilisé (ici un raspberry modèle B version 1) et de la clef utilisée pour écrire sur le badge.

Une fois ces étapes effectuées, il nous suffit de réécrire un badge vierge spécial (trouvable assez facilement sur le web) qui permet de réécrire le secteur 0 contenant l’identifiant unique UID. En appuyant sur le bouton dédié, cette dernière étape prenant environ 2 secondes.

Nous obtenons alors une copie identique ayant le même identifiant que l’original, et pouvons alors usurper l’identité du badge original pour ouvrir la porte ciblée.

Comment peut-on s’en protéger ?

Etant donné la petite taille du dispositif et les possibilités de réduire encore celle-ci en utilisant par exemple un téléphone adapté avec lecteur NFC, les seuls moyens d’agir se trouvent du côté du badge et de son propriétaire :

  • Ne pas utiliser des technologies avec des défauts connus, le système MIFARE Classic ayant été démontré  vulnérable depuis 2007 (plus de 10ans !)
  • Chaque badge doit avoir un identifiant unique et clairement attribué à un collaborateur ou à une société prestataire
  • Toute personne ayant en sa possession un badge doit être sensibilisé à l’importance de garder celui-ci en lieu sûr, inaccessible aux autres collaborateurs et aux personnes extérieures à la société
  • En cas de départ de la société, de réattribution ou de vol d’un badge, le responsable sécurité doit être immédiatement alerté afin de désactiver l’identifiant associé et attribuer un nouveau badge avec un nouvel identifiant, ce qui rendra toute copie illégitime inutilisable
Jérémy L, Auditeur Sécurité, Advens