Remoticon 2021 // Hash Salehi surpasse son compteur intelligent

Les compteurs intelligents forment des réseaux maillés entre eux et transmettent vos données d’utilisation partout. Certains d’entre eux permettent même à la compagnie d’électricité de couper votre alimentation à distance, via le maillage. Vous voudrez peut-être savoir si l’une de ces informations est sensible, ou si le système d’arrêt de l’alimentation présente des failles de sécurité flagrantes et que des personnes aléatoires pourraient simplement éteindre votre maison. Hash Salehi a entrepris de pénétrer à l’intérieur de ces compteurs, et heureusement pour le reste d’entre nous, il a eu la gentillesse de partager ses découvertes dans Remoticon 2021. C’est un voyage rempli de merveilleuses informations sur GNU Radio, les appareils intégrés et l’exécution de votre propre compagnie d’électricité à l’intérieur d’une cage de Faraday.

Le compteur intelligent en question est déployé par une compagnie d’électricité connue sous le nom d’Oncor dans la région de Dallas, au Texas. Ces compteurs particuliers forment un vaste réseau maillé utilisant un module ZigBee intégré qui leur permet de transmettre des messages entre eux qui finissent par se diriger vers un collecteur ou un agrégateur pour être téléchargés vers un emplacement plus central. Hash a obtenu ses pièces via la maison d’enchères en ligne préférée de tous et a été surpris de voir combien de pièces étaient disponibles. Puis, avec les pièces en main, il a commencé toutes les astuces habituelles de rétro-ingénierie : SDR, cages de Faraday, lecteurs de puces flash et recréation du schéma.

Pour continuer plus loin dans le terrier du lapin, Hash a adopté une approche à deux volets et a commencé à se pencher sur le micrologiciel (plus de 300 Ko) et à tenter de capturer le trafic dans sa région. Commençant par juste écouter sur un canal, il s’est étendu pour écouter sur tous les 240-260 canaux, mais a constaté que l’écoute sur chaque canal séparément consommait toute la puissance de calcul qu’il lui lançait. Une conférence de GNU Radio con lui a donné l’inspiration nécessaire pour utiliser une approche de saut de fréquence qui lui a permis de décoder tous les paquets. Une promenade sur une autoroute avec une antenne dans sa voiture lui a permis de capturer des graphiques fascinants montrant les compteurs de la zone et leur durée de disponibilité.

Cependant, le véritable test de compréhension du protocole ne consiste pas seulement à recevoir. Il aimerait aussi envoyer des paquets. Mais, bien sûr, les compagnies d’électricité ne seraient pas trop ravies d’acteurs voyous sur leur réseau, quelles que soient leurs intentions. Hash avait donc besoin de son propre réseau, démarrant effectivement une compagnie d’électricité qui ne fournit aucune électricité.

Il avait déjà acheté un collecteur et trouvé un processeur Intel complet à l’intérieur exécutant Windows 7 Embedded. Le programme principal était .Net, ce qui le rend trivial à modifier. Maintenant qu’il avait un récepteur, il était temps de fabriquer un émetteur qu’il pouvait contrôler. Il travaille toujours là-dessus, mais tout est ouvert sur GitHub et d’autres endroits. L’astuce la plus cool ici est sa solution de contournement sur le programme de sauts de fréquence auquel les récepteurs s’attendent : il diffuse simplement les 240 chaînes à la fois ! Faut aimer les SDR.

Ce n’est clairement pas un projet de week-end, et nous avons déjà eu un Hack Chat avec Hash sur les compteurs intelligents si cela vous intéresse. Nous attendons avec impatience ce qu’il découvrira d’autre.