[FICHE DE VULNÉRABILITÉ] Armatix iP1, quand votre arme à feu ne vous obéit plus

  Depuis plusieurs années déjà, l’industrie de l’armement tente de s’aventurer sur le terrain des objets connectés, utilisant les technologies sans fil comme moyen de précision, surveillance mais également de sécurité. Jusqu’alors, seuls des concepts ont été présentés mais aucun n’a vu le jour dans le commerce. Armatix est la première société à avoir franchi le pas avec l’iP1.

Dans l’ère du temps, les constructeurs ont eu l’idée de joindre technologie et armes à feu. Mais pourquoi faire me direz-vous ? L’idée est d’intégrer dans l’objet un mécanisme de sécurité avancé : l’arme ne peut tirer que s’il est utilisé par son propriétaire grâce à un anneau RFID, la reconnaissance digitale ou encore des magnets. Armatix de son côté, a opté pour la technologie NFC/RF en couplant l’arme avec une montre dédiée. Si la montre n’est pas déverrouillée et dans un périmètre à moins de 25 cm du pistolet, ce dernier ne peut pas faire feu. A la DEFCON 25, un hacker, connu sous le pseudonyme de Plore, cherche à démontrer que ces nouvelles caractéristiques high-tech ne sont pas infaillibles.

Faire communiquer les deux équipements à plus de 25 cm d’écart

  Premier défi de Plore, contourner la restriction de distance entre la montre et le pistolet. En temps normal, le pistolet communique avec la montre avec un signal NFC de 5,35 kHz. Seulement les limites de la physique obligent les deux appareils à être relativement proches l’un de l’autre. Plore a alors l’idée d’utiliser un système de relais en utilisant un signal RF de 916,5 MHz, beaucoup plus rapide. Pour la modeste somme de 20$, il se fabrique deux antennes à l’aide de deux modules nRF24, deux PCB et deux microcontrôleurs. Ainsi, le pistolet pourra communiquer à une distance de 3 mètres selon le schéma suivant :

Schéma de la communication entre le pistolet la smart watch grâce à des antennes relais (source : DEF CON)

Le déni de service pour empêcher de tirer

  Le pirate s’est ensuite penché sur la désactivation de l’arme par un tiers. Le principal problème du NFC est sa grande sensibilité aux faux signaux. La communication entre la montre et le pistolet, elle, se fait via radiofréquence (900 MHz). Seulement, énormément d’appareils aujourd’hui utilisent cette fréquence. « Il serait dommage que le pistolet ne puisse pas tirer simplement parce qu’une grand-mère est en train de bavarder sur son téléphone portable à ce moment-là ! » imagine en s’amusant le hacker. Le pirate a fabriqué un transmetteur 900 MHz pour relativement la même somme afin de créer des interférences avec le pistolet et empêcher la transmission du signal d’autorisation à tirer de la montre. Cette technique semble fonctionner à 100% jusqu’à 3 mètres et parfois jusqu’à 10 mètres en fonction de l’orientation du pistolet.

Plus besoin de montre pour faire fonctionner l’arme

  Pour finir, le hacker s’est attaqué à l’utilisation de l’arme à feu sans l’autorisation de son propriétaire ou bien sans avoir besoin de la montre. Le blocage de l’arme à feu se fait grâce à un système d’électro-aimant. Un élément ferreux bloque le percuteur du pistolet lorsqu’il n’est pas en fonctionnement. Lorsque la montre envoie son signal d’autorisation, l’électro-aimant est activé et attire l’élément ferreux vers le bas, ce qui débloque le percuteur.

Mécanisme de blocage  du perctueur par électro-aimant (source : DEF CON)

Pour des raisons de sécurité, il est parfois préférable de séparer la montre du pistolet, dans le cas où des enfants seraient dans la maison. Seulement, il est possible là aussi de détourner cette protection en utilisant un aimant assez puissant (le pirate utilise 3 aimants N52 neodymium) sur le pistolet. L’aimant maintiendra alors l’éléctro-aimant en position de tire autorisé et le tour est joué. L’inconvénient de cette méthode est qu’elle peut également dérégler la gâchette qui ne se remet pas en position initiale.

L’avis des experts

Les CERTs confèrent à ces vulnérabilités un score CVSS de 10 selon les critères suivants :

Pour la vulnérabilité consistant à déployer des antennes relais :

– Vecteur d’attaque : réseau

– Complexité d’accès : moyen

– Authentification : non

– Confidentialité : aucun

– Intégrité : aucun

– Disponibilité : complet

Pour la vulnérabilité permettant de perpétrer un déni de service sur l’arme :

– Vecteur d’attaque : réseau

– Complexité d’accès : moyen

– Authentification : non

– Confidentialité : aucun

– Intégrité : aucun

– Disponibilité : complet

Pour la vulnérabilité permettant de faire fonctionner l’arme grâce à un électro-aimant :

– Vecteur d’attaque : locale

– Complexité d’accès : faible

– Authentification : non

– Confidentialité : aucun

– Intégrité : aucun

– Disponibilité : complet