1140

Moi non plus. Ceci dit, je vois plusieurs grosses failles dans leur design :
- utiliser un MCU non sécurisé dans un contexte sécuritaire (rien que ça, ça doit être suffisant pour que ce soit game over)
- pas de chiffrement de la communication entre les deux MCU
- pas d'authentification forte du MCU non sécurisé (il est connu que la méthode "demander d'envoyer le contenu complet de la mémoire" n'est pas un preuve fiable si le contenu est compressible)
- possibilité de flasher du code arbitraire dans le MCU non sécurisé

À noter que s'ils avaient utilisé un moyen hardware de vérifier le contenu du MCU non sécurisé (par exemple, le freezer au démarrage et lire la mémoire Flash via JTAG), l'attaque n'aurait pas marché.

squalyl a sûrement des commentaires sur le sujet smile
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1141

Oui mais le CSO (je n’avais encore jamais entendu parler d’un Chief Security Officer) a dit que c’était infaillible et inviolable donc c’est que c’est bon embarrassed

(Je veux être un CUO!!! Cheif Unicorn Officier!!)
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1142

Une nouvelle fois, c'est bien, les fuzzers:
avatar
Membre de la TI-Chess Team.
Co-mainteneur de GCC4TI (documentation en ligne de GCC4TI), TIEmu et TILP.
Co-admin de TI-Planet.

1143

mcu non sécurisé oui et non, le coeur du truc est quand même dans un ST31... c'est secure. mais seulement lui... le reste du système est une semi passoire, alors qu'il est par conception dans l'environnement sécurisé du système. du coup, c'est mort.

le chiffrement de la comm ne change rien puisque le canal sécurisé aboutit dans un cpu non secure, donc la clé est trouvable.

A la réflexion, l'envoi du code mcu au SE pour vérification n'est pas si con, puisque t'envoies justement pas le hash mais le code, et il faut l'envoyer complètement... donc avoir soit un cpu plus gros, soit le transmettre depuis un canal externe, et ca peut justement être détecté par timing (c'est une des contremesures implémentées)
il y a des techniques pour rendre le code non compressible, genre remplir les zones non utilisées par du random, et inclure toute la mémoire dans la vérif, pas juste le firmware utile.
une autre contre mesure implémentée (lisez le rapport original, pas le bullshit media autour) consiste a eviter d'avoir de la duplication de routines entre l'OS et le bootloader... technique qui a permis de faker la vérification du code non secure, en envoyant des bouts de code du bootloader, et en patchant les endroits correspondants dans le firmware.

lire la mem du stm32 par jtag depuis le cpu secure n'est pas possible: celui ci n'a a sa disposition qu'une simple UART. rien d'autre. c'est justement ce qui les a forcés a utiliser un cpu proxy non secure pour gérer bouton et écran... et que ca pète tout le modèle. les pcb n'ont même pas d'anti tampering sur le cpu insecure.

edit: bon l'article est précis et complet... mais ne fait que repomper le rapport!

1144

Merci smile

squalyl (./1143) :
lire la mem du stm32 par jtag depuis le cpu secure n'est pas possible: celui ci n'a a sa disposition qu'une simple UART. rien d'autre. c'est justement ce qui les a forcés a utiliser un cpu proxy non secure pour gérer bouton et écran... et que ca pète tout le modèle.
Genre y'a même pas quelques GPIO sur le CPU securisé ? Ça suffit pour faire du JTAG en soft. Je sais bien que c'est ST, mais quand même grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1145

c'est une smart card le st31... donc iSO7816 -> VCC GND CLK IO RST.

Quand on la package en SOIC8 ca se fait appeler secure element pour faire plaiz aux marketeux mais... ca reste pareil!

Je suis d'ailleurs particulièrement étonné que ST ait autorisé ce développement... c'est la première fois que j'entends parler de code natif chargé pendant la vie de la carte. Certes leur OS est en mode superviseur et le code chargé s'exécute en user et doit faire des syscalls pour faire des machins lies au hard... mais c'est un comportement totalement incroyable, pour moi c'est monstrueux.

1146

(j'ai pas encore lu le rapport)

Huh ?! Pourquoi ils ont été chercher un composant de carte à puce au lieu de prendre un MPU "classique" sécurisé ? Ça n'a aucun sens grin
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1147

ca n'a rien a voir DU TOUT.

un cpu smart card est sécurisé avec des contre mesures hardware, c'est certifié EAL5+ (y compris son stockage, pour les clés toussa). sur un cpu standard, MPU c'est comme MMU, ca protege les acces memoires, rien de plus.

1148

Je pense pas que par MPU il voulais parler de Memory Protection Unit
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1149

Non non, je voulais dire "microcontrôleur sécurisé".

En cherchant 30 secondes sur le site de ST, on trouve des µP certifiés EAL5+ avec SPI et GPIO :
http://www.st.com/content/st_com/en/products/secure-mcus/secure-hardware-platforms/st33-arm-sc300.html?querycriteria=productId=SC1282
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1150

c'est du SPI slave, qui réutilise les pins ISO. gpio je crois que leur nombre dépasse pas 1 ou 2. c'est déja ca ouais... mais bof.

1151

sinon ouais, les concernés... mettez a jour sans tarder:

1152

Les dangers de la feature "les points dans le nom de l'utilisateur sont ignorés" de GMail :
https://jameshfisher.com/2018/04/07/the-dots-do-matter-how-to-scam-a-gmail-user
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1153

Je ne suis pas trop d'accord avec lui, le scam ici repose surtout sur le fait que Netflix ne vérifie pas l'appartenance de l'adresse e-mail lors de l'inscription, donc on peut s'inscrire avec l'adresse de quelqu'un d'autre. Comme il le dit d'ailleurs lui-même, si Gmail n'avait pas cette feature on aurait pu faire pareil en ajoutant "+machin" à l'adresse (je suis sûr que ni Netflix ni beaucoup d'autres sites gèrent le cas de "+truc" et l'ignorent en vérifiant l'unicité des adresses e-mail).
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1154

Je trouve aussi qu'il y a une négligence de la part de Netflix (ça me semble étonnant d'ailleurs, je pensais que la totalité des sites un peu sérieux demandaient de confirmer l'inscription via un lien d'activation dans le mail de bienvenue).
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1155

ca doit empêcher certains de se gaver de vidéos, alors autant ne pas le faire!

1156

Dans un autre genre, encore une raison d'utiliser du HTTPS : ça empêche les FAI de bidouiller vos pages web :
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1157

1158

Et ce n'est pas la première fois qu'un FAI mobile s'amuse à ce genre de choses.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

1159

1160

Zeph (./1153) :
Je ne suis pas trop d'accord avec lui, le scam ici repose surtout sur le fait que Netflix ne vérifie pas l'appartenance de l'adresse e-mail lors de l'inscription, donc on peut s'inscrire avec l'adresse de quelqu'un d'autre. Comme il le dit d'ailleurs lui-même, si Gmail n'avait pas cette feature on aurait pu faire pareil en ajoutant "+machin" à l'adresse (je suis sûr que ni Netflix ni beaucoup d'autres sites gèrent le cas de "+truc" et l'ignorent en vérifiant l'unicité des adresses e-mail).
Ou même plus simplement avec en ajoutant des redirections mail côté serveur
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1161

"plus simplement" ? grin
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1162

Ouais, c'est un peu ce que j'ai pensé cheeky
avatar

1163

suffit de choper le mot de passe du gestionnaire de DNS #modui#

1164

Chez nous, chaque membre de la DSI connaît un morceau du mot de passe pour la gestion du DNS afin d'éviter tout problème embarrassed

(Non, je rigole, hein, le mot de passe est dans un post-it sur le mur)

(Je rigole là encore, hein embarrassed)
avatar

1165

tongue

Oui, je voulais dire « sans utiliser un quelconque truc spécifique à Google »
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

1166

avatar
De nouveaux jeux pour vos vieilles consoles ? En 2024 ?
https://yastuna-games.com

1167

un #pointsqualyl# grin
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

1168

flanker (./1165) :
Oui, je voulais dire « sans utiliser un quelconque truc spécifique à Google »
Justement c'est tout l'intérêt de "flanker+spam@provider.com" : c'est standard dans le protocole SMTP, tous les serveurs gèrent ça nativement smile
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

1169

Je ne connaissait pas cheeky

1170

Oui enfin c'est juste un caractere valide, au meme titre que le point.


Si j'envois un email a toto+spam@iamlost.com, le compte "toto" ne vas pas le recevoir, mais "toto+spam"
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.