Il existe une vulnérabilité dans les cadenas de marque Master Lock qui permet à quiconque d’apprendre la combinaison en huit essais ou moins, un processus qui nécessite moins de deux minutes et un minimum de compétences à réaliser.
L’exploit consiste à soulever une manille verrouillée d’une main tout en tournant le cadran combiné dans le sens antihoraire en commençant par le chiffre 0 avec l’autre. Avant que le cadran n’atteigne 11, il y aura trois points où le cadran résistera à être tourné. L’un d’eux sera ignoré car il se trouve exactement entre deux chiffres entiers sur le cadran. Les deux emplacements restants représentent des positions verrouillées. Ensuite, un attaquant soulève à nouveau la manille verrouillée, cette fois avec moins de force, tout en tournant le cadran dans le sens des aiguilles d’une montre. À un moment donné avant qu’une révolution complète ne soit terminée, le cadran résistera à être tourné. (Un attaquant peut toujours le traverser mais ressentira physiquement la résistance.) Cet emplacement représente l’emplacement de la résistance. Les deux positions verrouillées et la position de résistance sont ensuite enregistrées sur une page Web qui rationalise l’exploit.
La page répond avec le premier chiffre de la combinaison et deux chiffres possibles pour le dernier chiffre. En testant lequel des derniers chiffres possibles a le plus de « donner », un attaquant peut rapidement déterminer lequel est correct. En éliminant le faux chiffre du formulaire Web, la page remplira automatiquement les huit chiffres possibles pour le deuxième chiffre de la combinaison.
Maintenant que l’attaquant connaît les premier et dernier chiffres et sait que le deuxième chiffre est l’un des huit nombres possibles, le hack consiste simplement à essayer chaque combinaison possible jusqu’à ce que la bonne ouvre le verrou. La vidéo suivante fournit un tutoriel simple.
La technique a été conçue par Samy Kamkar, un pirate informatique en série qui a tout créé, des chargeurs USB furtifs qui volent des touches aux applications de harceleur qui ont miné Google Streetview. En 2005, il a déclenché le ver Samy, un exploit de script inter-sites qui a mis MySpace hors service lorsqu’il a ajouté plus d’un million d’amis MySpace au compte de Kamkar.
Kamkar a dit à Ars que son exploit Master Lock a commencé avec une vulnérabilité bien connue qui permet de craquer des combinaisons Master Lock en 100 essais ou moins. Il a ensuite cassé physiquement une serrure à combinaison et a remarqué que la résistance qu’il observait était causée par deux pièces de serrure qui se touchaient d’une manière qui révélait des indices importants sur la combinaison. (Il a comparé la conception de la serrure principale à un canal latéral dans les dispositifs cryptographiques qui peuvent être exploités pour obtenir la clé secrète.) Kamkar a ensuite fait une troisième observation qui a joué un rôle déterminant dans son exploit Master Lock: le premier et le troisième chiffre de la combinaison, lorsqu’ils sont divisés par quatre, renvoient toujours le même reste. En combinant les idées des trois faiblesses, il a conçu l’attaque présentée dans la vidéo.
Ce n’est en aucun cas le seul moyen de briser la sécurité d’un cadenas populaire. Cela survient quelques années après que les ingénieurs de Master Lock ont développé de nouveaux cadenas qui résistaient à une forme populaire d’attaques à l’aide de cales fabriquées à partir de canettes de boissons gazeuses. Kamkar a déclaré qu’il avait tenté son exploit sur plus d’une douzaine de serrures à combinaison Master Lock, et jusqu’à présent, cela a fonctionné sur toutes ces serrures. Dans les semaines à venir, il prévoit de dévoiler plus de détails, notamment un robot basé sur Arduino qui rationalise l’exploit.
Post mis à jour pour changer « tout » dans le titre en « plusieurs. »
Regardez les employés de l’Ars mettre le hack à l’épreuve.