Dès qu’un type de terminal est en vogue, il devient assurément un vecteur d’attaque. Un chercheur en sécurité pointe ainsi un défaut d’authentification dans le protocole des Chromecast et Google Home, permettant à un attaquant de collecter les données des réseaux WiFi à portée et de connaître la position précise de sa victime. Google annonce un patch pour juillet.
Grâce à un Google Home ou à une Chromecast, un attaquant peut parvenir à connaître votre géolocalisation exacte. C’est la conclusion à laquelle est parvenu Craig Young, un chercheur en sécurité pour Tripwire. Celui-ci s’est livré à une petite expérience. Certaines commandes de ces deux appareils, régler le nom de l’appareil ou la connexion WiFi par exemple, sont effectuées par le biais d’un serveur http local et sont envoyées directement à l’appareil « sans aucune forme d’authentification au niveau du protocole », note le chercheur.
A l’aide d’un programme de « DNS rebinding » et d’une page web « infectée », il a été en mesure d’extraire via cette faille « les données extraites des appareils pour déterminer leur emplacement physique avec une précision étonnante ». Les données en question : les réseaux WiFi à proximité de la Chromecast ou du Home et la puissance de leur signal. Une minute de recherche et quelques triangulations plus tard, Craig Young était en mesure de « regarder sa maison sur Google Maps ».
L’authentification en cause
Cette méthode est bien plus fastidieuse que la classique géolocalisation de l’adresse IP, mais à l’avantage d’être bien plus précise : de plusieurs kilomètres pour l’IP à une dizaine de mètres pour la triangulation des points d’accès WiFi. « Ce tour de magie apparent est rendu possible en analysant les puissances du signal pour les réseaux WiFi environnants, puis en triangulant une position à l'aide de cartes de points d'accès Wi-Fi collectées par les millions de téléphones ayant activés les services de localisation améliorés de Google ».
[embed]https://youtube.com/watch?v=ESS_D6P26zQ[/embed]
Le chercheur signale que cette technique peut servir dans des « escroqueries courantes », un levier de social engineering de plus. Prévenu en mai, Google a finalement annoncé que la faille sera comblée dans un patch livré en juillet. Mais Craig Young rappelle que les Home et Chromecast ne sont pas les seuls terminaux touchés par ce manque d’authentification. « Au cours des années où j'ai audité des périphériques embarqués, ce n'est pas la première fois que je vois un périphérique fournissant des données des réseaux WiFi ou d'autres détails de périphériques uniques comme des numéros de série » souligne-t-il, citant en exemple les Smart TV.