PaperGeek, actu geek et high tech

Actu geek

Accueil / Sécurité / Raspberry Pi Zero : piratez n’importe quel ordinateur en quelques secondes

Raspberry Pi Zero : piratez n’importe quel ordinateur en quelques secondes

Par le

Vous avez un Raspberry Pi Zero à 5 dollars sous la main ? Le chercheur en sécurité Samy Kamkar vous propose d’exploiter une vulnérabilité qui est là depuis longtemps et qui permet d’installer une backdoor permanente sur n’importe quel ordinateur. Pour cela, il suffit d’un accès physique à la machine, et de brancher votre RaspBerry Pi. Evidemment, l’idée est de pousser Apple et Microsoft et les développeurs Linux à corriger cette faille au plus vite. 

Raspberry Pi Zero : piratez n'importe quel ordinateur en quelques secondes

La technique utilisée permet d’aspirer les cookies et les mots de passe de la victime, ainsi que de laisser un backdoor de manière permanente sur l’ordinateur. Et cela fonctionne même lorsque la session est verrouillée. Là vous vous dites : mais que font les dévs chez Windows, Linux et macOS ? La faille de sécurité est en effet là depuis longtemps, mais le fait que cela requière un accès physique à la machine a poussé, semble-t-il, tout le monde au laxisme.

Il n’empêche, comme le montre Samy Kamkar, un accès physique à une machine, même bref, peut causer de gros dégâts. L’astuce, c’est que le Raspberry Pi, en bootant, se fait passer pour un adaptateur ethernet. Il reroute alors tout le traffic, et, en se mettant au milieu, fait une attaque de type MiTM qui lui permet d’injecter du code à chaque fois qu’une page se recharge dans le navigateur ouvert, ou qu’un script envoie une requête.

Une faille de sécurité qui profite du laxisme des OS envers les adaptateurs internet

Autant dire qu’avec la propension de la plupart des internautes à laisser leur navigateur web ouvert en permanence, il suffit de brancher la clé quelques secondes pour faire entrer le loup dans la ferme. La clé siphonne alors tous vos cookies et sessions, expose le routeur interne à l’attaquant pour que ce dernier puisse contrôler l’ordinateur. Il installe un backdoor HTTP qui va ensuite lui permettre de contrôler l’ordinateur.

Tout cela n’arriverait pas si les OS n’acceptaient pas les adaptateurs réseau non signés. Vous pouvez voir la démonstration du système, dont la distribution compatible Raspberry Pi Zero est disponible au téléchargement sur GitHub :

Newsletter

Abonnez-vous et recevez nos dernières actus & bons plans directement dans votre boite email.

Derniers articles
  • Raspberry Pi 400 : le nouveau « clavier-ordinateur » à la framboise coûte 75 €
    Vous souhaitez faire un gain de place conséquent sur votre bureau ? Pourquoi ne pas opter pour le nouveau Raspberry Pi 400, un ordinateur embarqué dans… un simple clavier. Présentation.…

    Hardware

  • Asus Tinker Board : l’alternative 4K au Raspberry Pi 3 est disponible !
    Le Tinker Board d’Asus est enfin disponible ! Cette alternative 4K au Raspberry Pi 3 ne coute qu’une vingtaine d’euros de plus, et dispose d’arguments solides. Avec ses 2 Go…

    Hardware

  • Raspberry Pi : Asus sort son alternative puissante 4K ready, le Tinker Board
    Les Raspberry Pi sont déjà géniaux pour faire toute une ribambelle de projets DIY, mais peuvent parfois manquer de patate. Asus Tinker Board est justement là pour pallier ce manque…

    Hardware

  • Raspberry Pi lance Pixel, l’OS parfait pour votre vieux PC ou Mac
    La fondation Raspberry Pi annonce lancer son OS Pixel sur Mac et PC pour en faire profiter le plus grand nombre et permettre, entre autres, de donner un second souffle…

    Apps et Logiciels