Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, 14 Banques Populaires, 1ère Banque des PM.
Je vais commencer avec une petite question.
C'est est-ce que vous avez un Google Home ?
Euh... Non.
Pas de Google Home ? Toi ? Pas du tout. Pas chez vous ?
Pourquoi ? Est-ce que c'est parce que ça vous sert à rien ou...
J'en ai eu, hein, et puis je m'en suive, je ne savais pas trop du coup.
Ok. Pareil, j'ai pas eu de solidité, perso.
Ok. Donc c'est pas parce que vous avez peur d'être écouté.
Peut-être que je sais que parmi ceux qui écoutent,
il y en a qui ont actuellement un Google Home,
juste à un mètre, à côté d'eux.
D'ailleurs, je vais essayer de ne pas dire la phrase qui déclenche l'eau.
Euh... Si je le fais, je suis désolé.
Évidemment, donc avec l'apparition des enceintes connectées et des assistants vocaux en tout genre,
on sait tous déjà poser cette question, c'est
est-ce que mon Google Home ou Alexa peuvent m'écouter en permanence ?
Et la réponse est souvent un peu en souris de fantasmes
et de floues, plus ou moins entretenues par les marques en mode.
Alors c'est nécessaire pour détecter le Hey Google,
mais voilà, promis, on ne vous écoute jamais à un autre moment, promis promis.
Et bien, un chercheur en cybersecurity a trouvé la réponse pour nous.
Il est effectivement possible de se faire écouter quand on possède un Google Home,
sans même avoir besoin de la complique...
de la... je vais le dire, sans même avoir besoin de la complique...
Oh la la !
Tu peux le faire sans même avoir besoin de la complicité de Google.
Seulement un attaquant, vous allez voir, c'est fou.
En gros, Google n'avait pas du tout prévu ça, quoi.
Non, ils n'avaient pas prévu ça du tout.
Euh, j'ai vous expliqué comment il a fait pour trouver cette technique de ouf
et comment cette trouvaille lui a fait gagner 100 000 dollars.
Waouh !
Pas mal, pas mal.
Alors, il s'appelle Matt Kunze, c'est un hacker éthique,
comme toi, Ronny, il fait le même job,
et donc son travail, c'est de chercher des trucs.
Donc Matt, il possède un Google Home mini.
Et comme il est curieux, il aimerait bien en savoir un peu plus sur comment il fonctionne.
Donc il va commencer à l'utiliser comme n'importe qui.
Il ouvre l'appli, il va regarder les paramètres, les fonctions,
comprendre un petit peu comment ce truc marche.
Et il va faire une première observation,
c'est qu'un Google Home peut avoir plusieurs comptes utilisateurs.
Ajoutez dessus.
Donc ils peuvent le piloter avec notamment une détection personnalisée
de la voix de chaque utilisateur.
Et il est assez surpris du nombre de trucs que un compte utilisateur permet de faire.
Genre, c'est vraiment très, très permissif.
T'inquiète.
Et donc, il aimerait en apprendre un petit peu plus sur
comment, qu'est-ce que c'est que ça marche ?
D'ajouter un utilisateur, comment le processus d'ajout du utilisateur fonctionne.
Dans ce genre de situation, vous êtes Matt, vous faites du hacking,
vous avez en général plusieurs possibilités pour investiguer,
soit essayer de récupérer une image du système installée sur la machine du Google Home,
ou alors regarder ce qui se passe sur le réseau.
Par exemple, quels sont les requêtes qui sont échangées
entre l'appareil et des services de votre maison.
Le premier cas est assez galère dans le cas d'un Google Home,
parce qu'il n'y a pas vraiment de système pour retirer le firmware.
Je passe.
L'autre option était vachement plus simple, donc il commence par ça.
C'est ce qu'on appelle un man in the middle,
ce qui veut dire qu'il peut observer tout le trafic qui sort du Google Home.
Il va faire des observations comme ça.
Il prend son appli home et il appuie sur des boutons,
il regarde qu'est-ce qui se passe sur le réseau.
Il va par exemple comme ça, découvrir que pour redémarrer un Google Home,
il faut envoyer une requête à l'adresse IP,
slash setup slash reboot.
Voilà, par exemple, c'est une commande de contrôle du Google Home.
Le truc, c'est que si lui, il essaie de faire ça,
depuis son ordinateur, ça ne marche pas.
Évidemment, parce qu'il y a un système d'authentification,
il lui manque un token, ce fameux token qui est obtenu quand on a un compte
ajouté sur le Google Home.
Donc c'est ça qui lui manque pour faire des bêtises.
Pas de problème.
Il va, du coup, ajouter un Google secondaire qui l'a sur l'appareil
et regarder ce qui se passe.
Alors, premier souci à ce moment-là qui découvre,
c'est que dans le processus d'ajout de l'utilisateur,
il faut un moment être à côté de l'appareil.
Il faut être à côté pour gérer la création du profil vocal.
Et c'est très embêtant, parce qu'un hacking,
il faut être présent dans le salon de la team,
genre c'est un peu éclaté.
Mais il va faire à ce moment-là une observation
qui va tout changer pour la suite.
Il se rend compte que le nom de l'appli home
que t'installes sur ton téléphone Android,
son nom Android, il finit en Chromecast.app.
Pourquoi ? Parce que quand il cherche un peu,
il réalise que les Google Home et les Chromecast
partagent exactement le même système d'exploitation.
C'est un système Chromecast qui est une variation de Linux en réalité.
Ce qui veut dire qu'il va pouvoir se pencher
sur le fonctionnement d'une Chromecast.
Ce qui est très intéressant,
puisque un Chromecast n'a pas de système de profil vocal,
il n'y a pas de micro évidemment.
Donc il va choper un Chromecast qui est trainé chez lui
et recommencer toute son affaire.
Et là, Bingo, il découvre qu'il arrive à avoir
une mystérieuse requête qui part vers
clients3.google.com.
Je ne l'ai jamais entendu évidemment le nom de cet endroit,
mais apparemment c'est utilisé à un endroit précis.
Avec des paramètres à l'intérieur, je passe le détail
sur quelles sont ces paramètres, il y a le nom de l'appareil,
un certificat, voilà des trucs.
Mais, qu'est-ce que c'est que cette requête ?
C'est en fait le graal,
puisque il va pouvoir la copier, faire un double,
un peu comme des clés,
et en mettant les infos de son Google Home à la place du Chromecast,
il peut, boom, rajouter un nouvel utilisateur sur la machine.
En gros, il copie la requête et il l'envoie pour son Google Home.
Il a réussi à contourner le process
pour ajouter un utilisateur pirate.
Il n'a pas besoin de la voix.
Il n'a pas besoin d'être là.
Et là, vous vous dites peut-être, ok, super,
tout ça pour ça, il va pouvoir lancer Spotify,
genre quel est l'intérêt.
D'être promptez-vous, vous allez voir que c'est bien pire que ça.
Salut, si vous appréciez UnorScore, vous pouvez nous aider de ouf,
en mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive,
ça permet de faire remonter UnorScore, voilà, telle une fusée.
Une fois que vous êtes un utilisateur enregistré dans la Google Home,
vous pouvez par exemple créer ce qu'on appelle des routines.
Alors si vous en avez déjà utilisé un,
vous savez qu'il y a un système pour déclencher des actions
automatiquement, par exemple, à certaines heures de la journée.
Par exemple, quand je me réveille,
ouvre mes volets et donne-moi mes rendez-vous la journée.
Ça veut dire quoi ? Ça veut dire que, déjà à distance,
juste avec une fois que ce sont comptés à jeter,
il va pouvoir déclencher n'importe quelle commande Google Home arbitraire.
Donc déjà, première fonction, pas mal, pas mal.
Il va évidemment pouvoir manipuler tous les objets connectés,
qui sont connectés sur le réseau.
Donc ouvrir votre garage pour vous embriloler, genre ça y est.
Tu peux ouvrir les portes là.
Ouais, vous réveillez toute la nuit avec...
La lumière.
C'est sympa les deux motiques.
Avec une clignote.
En faisant toute lignoté.
Bon, par exemple, et en fait, ce qui est déjà très très cool,
mais lui, Matt, il veut aller plus loin.
Ce qui est intéressant, c'est par exemple,
pouvoir vous écouter pendant que vous n'êtes pas au courant,
parce que c'est une grosse fouine.
En fait, il regarde que, si en installant une applipe sur le Google Home,
alors, c'est pas très important,
mais ils ont un système d'application, de Marketplace,
où des tiers peuvent utiliser son Google Home.
Tu sais, tu peux mettre Philipsu sur ton Google Home,
et ça te permettra de connecter des objets connectés.
Comme pour les Philipsus, c'est le même système.
Qu'est-ce que ça lui permet notamment?
Enfin, il regarde si avec une installation d'appliques comme ça,
ça peut pas lui permettre d'activer le micro et d'écouter ce qui se passe.
En fait, oui et non.
Ça lui permet effectivement d'écouter ce qui se passe après le Google.
Et c'est même pas vraiment l'audio qui reçoit, c'est la transcription.
Donc, c'est pas ouf.
Donc, il continue à réfléchir.
Et tout d'un coup, dans son cerveau, ça fait tilt.
Il réalise que parmi les commandes qu'il peut faire,
c'est appeler un numéro téléphone.
Oui, agape.
Et donc, qu'est-ce qu'il fait?
Il lance la commande, il appelle son propre numéro dans une routine,
il décroche et il entend absolument tout ce qui se passe grâce au micro.
En fait, il vient de transformer le Google Home en mouchard.
Le pire dans l'histoire, c'est que le Google Home ne clignote pas
comme quand son micro est activé.
Quand tu le déclenches, normalement, il fait...
Il a des petits priens.
Parce que là, en fait, il exécute une commande.
Lui, ce n'est pas activation de voix, c'est juste...
Je suis en train d'exécuter la commande.
Exactement.
C'est indiqué simplement avec un petit changement.
Les lumières passent en bleu.
Mais en fait, c'est hyper discret.
Vous connaître la notice par coeur, en fait.
Tu le regardes par coeur.
Super.
Ça ressemble à une mise à jour, un truc comme ça.
Tu te doutes de rien.
Le pire, c'est que ce n'est même pas encore tout.
Il a transformé ton Google Home en mouchard,
mais il va aller encore plus loin
et faire pire que ça.
Notamment, c'est un petit peu technique,
donc je vais passer rapidement,
mais grâce au Chrome DevTools Protocol,
qui est un truc de gens qui font du dev,
c'est un outil qui est permis pour les développeurs,
il va pouvoir envoyer des requêtes
sur le réseau local à n'importe quel autre appareil.
C'est-à-dire qu'à distance,
il peut essayer de pivoter
et potentiellement, à essayer de trouver une faille
dans un autre appareil, etc.
Donc ça transforme vraiment le Google Home en un mouchard audio,
mais aussi en un mouchard réseau entre guillemets.
Il va pouvoir à partir de là,
se balader sur la réseau.
C'est très stylé,
mais pour l'instant, il y a quand même une grosse limite.
C'est que tout ça, il a pu le faire
sur un réseau WiFi, où il lavé le mot de passe.
Ce qui rend le truc encore un peu...
Ah oui, parce que tu dois être dans le réseau
pour communiquer au moment de l'ajout de l'utilisateur.
Ok, oui.
Donc ça reste un petit peu...
T'es quand même protégé par ça.
T'es la victime, tu ne vas pas lui demander juste avant son...
...notre son... ...mode de passe.
C'est ça, oui. Il y a une complexité d'attaque
qui est assez élevée.
Sauf que...
J'ai pas dit sauf que...
Encore une fois.
Ce qui serait vraiment cool, en réalité,
c'est trouver un contournement à ça,
c'est pouvoir le faire sur n'importe quel réseau.
Or, il y a un hacker qui a démontré en 2014
que quand on Chromecast
y perd sa connexion réseau,
il va créer un nouveau réseau
de configuration.
Et il existe
une méthode que tous les gens qui font du hacking
qui nous écoutent vont connaître.
Ça s'appelle de la désauthentification.
Il est capable...
Enfin, on est capable assez facilement
de déconnecter n'importe quel appareil
de son réseau wifi.
Donc...
Notre chat-matt, il a juste à faire
une attaque des identifications sur le Google Home
à...
rejoindre le réseau wifi,
ajouter le profil utilisateur
et boum, il a installé son...
Il a accès au Google Home, c'est insane.
C'est tellement, tellement, tellement badon.
Surtout,
l'enchaînement, je le trouve
incroyable.
Moi, je me serais arrêté à la première étape.
C'est bon, là, c'est cool.
Mais du coup, il doit quand même être dans les alentours...
C'est ça, un peu ça le problème.
Il peut se balader avec une voiture
et...
et chopper tous les Google Home du coin.
Je sais pas si comme toi, tu fais aussi des tests d'intrusion,
il y a un truc comme ça. Qu'est-ce que tu en as pensé, genre de...
J'ai trop aimé l'article.
Il était assez insane.
Et surtout, le bounty, il est énorme.
C'est... c'est 100 000 dollars pour ça.
C'est abusé.
Mais je crois qu'il parlait aussi
qu'il y avait beaucoup de Google Home
à cause d'un problème
de routeurs
qui étaient publics sur Internet.
Et du coup, avec Shodan, on pouvait les trouver.
Et du coup, il a réussi en fait à vraiment les prendre control
à distance sans se déplacer à côté.
Donc ça, c'est encore plus insane.
C'est encore plus fou.
Pour le coup, c'est pas un problème
du Google Home, si il me souvient, c'est bon.
Mais c'est des mauvaises configurations de routeurs.
Mais effectivement, c'est une catastrophe aussi.
Les deux combinés, en gros, ça crée.
Je crois qu'il avait trouvé pas mal de machines connectées
sur Internet, des Google Home connectées sur Internet.
Et du coup, tu avais juste lancé
son lien de compte
et tu prenais accès et t'écoutais les conversations.
Donc, vraiment pas mal, quoi.
C'est stylé. C'est vrai que je l'ai pas précisé,
mais, évidemment, Matt a décidé
de communiquer cette faille à Google
quand il l'a trouvé et qu'il en remerciait
donc avec une prime de 107 500 $.
Mais...
Il fait quand même un bon pactole.
Cool. Mais du coup,
en fait, quand tout ça s'est publié,
c'est déjà réglé le problème.
Exactement. Donc ne vous inquiétez pas
de dégoût de sauter pas sur Google Home.
Pour le faire, si vous voulez.
Mais ça a été patché.
L'article vient de sortir il y a une semaine,
littéralement, mais c'est un truc,
c'est un patch plus ancien.
Ce qui est assez intéressant, c'est que
ce qu'il expliquait, c'est que
si l'architecture du Google Home avait été créée de zéro,
il n'aurait jamais eu ces problèmes, en fait.
Ça vient vraiment du fait
qu'ils ont voulu réutiliser leur base
de Comcast. Et en rajoutant
de la complexité par dessus et encore et encore,
ça a créé ce problème.
Ouais, c'est un peu le truc du DevOps
où on va créer des modules
et après ces modules, on va les réutiliser
dans des projets. Mais si le module
il n'est pas fait pour le projet,
du coup on va introuillir des failles
de sécurité. Comcast n'est pas
fait forcément pour s'authentifier de la
même manière qu'un Google Home devrait s'authentifier.
Du coup, c'était un peu
c'était un peu bateau, il y avait le
le même protocole.
Ce truc, il en réglait après-coup,
évidemment. Donc,
les changements qu'il y a eu, c'est que
on peut plus appeler avec
une commande dans une routine. C'est plus possible de
faire ça. Et maintenant,
il va te demander une vérification
à un autre appareil sur lequel t'es connecté.
Si vous trouvez ça méga chiant
les systèmes d'authentification
où on t'envoie des notifs avec des numéros
dites-vous que c'est à cause de maths.
Merci Math.
Ils ont aussi réglé le fait
que ça
va une petite lumière quand ça t'écoute
et quand ça envoie ou quand ça l'appelle.
Je pense que quand ça l'appelle, ça reste comme ça.
Mais maintenant, le seul moyen c'est que tu le dises
oralement, appel maman
tu vois. Après-heure la seule raison pour laquelle
ça devrait s'activer.
Donc voilà, je ne sais pas que vous avez aimé cette
histoire. En tout cas, j'ai bien kiffé
de lire le papier.
On vous le mettra dans le chat
ou dans la description parce que ça va
évidemment bien plus loin que ça, nous on fait
un résumé pour que tout le monde puisse comprendre.
Mais si vous êtes un peu technique,
il y a plein de passages qui sont hyper
intéressants sur comment ils doivent contourner
la sécurité
HTTPS
ou des trucs un peu classiques.
C'est pour ça que je les ai passés.
Mais c'était bien cool.
Et surtout, en fait, ce qui est trop cool dans l'article,
c'est qu'il montre qu'il comprend bien
d'abord tout le système Google Home
et Chromecast, comment il fonctionne, parce qu'il fallait
voir que c'était Chromecast derrière et il devait
comprendre ce qu'était une Chromecast pour
trouver ce flow d'identification. Et en fait,
une fois qu'il a tout compris, il a enchaîné
les failles de sécurité.
Et ça c'est vraiment un truc que nous,
ça nous arrive. C'est vraiment une fois que
on trouve une faille, on trouve une deuxième, une troisième,
une quatrième, mais en fait, ça défile automatiquement
derrière et c'est exactement comme ça que
l'article est écrit et tu sens que le gars
il a dû s'amuser de ouf.
Donc c'est trop bien.
Il a réussi à faire ça en combien de temps ?
Je sais pas si il le dit, combien de temps ça lui a pris.
Je crois qu'il a écrit à la toute fin
combien de temps
ça lui a pris, le disclugeur,
le temps du fixe et tout ça. Je sais pas si
ça a écrit depuis quand il a commencé,
à quand il a trouvé la faille.
Je trouve ça intéressant parce que
les gens dans le chat trouvent que c'est pas forcément
si cher payé en fait.
En tant que
pentester,
ça reste une belle somme 100 000, mais
les gens mettent ça en parallèle du risque.
De la valeur que ça a apporté ?
De la valeur que ça a et comme je ne le sais rien,
tu comprends un état ou un service
d'espionnage paier pour avoir ça,
tu vois. Tu imagines des politiques,
tu as un Google Home dans ton appartement
ou déjà pourquoi.
Je pense qu'ils ont pas ça.
En vrai, pour un Google Home,
je ne pense pas que ça coûterait plus cher
que 150 000, 200 000.
Là où les failles sont payées très très cher,
c'est tout un truc
qu'on ne va pas rentrer en détail, mais
c'est vraiment des windows, zero day
où tu peux prendre le contrôle à distance
ou ça, là on va rentrer sur un million, deux millions
des trucs comme ça. Même pour moi, ça
c'est pas cher payé pour
ce qu'est la faille en elle-même, mais c'est
le marché du truc.
Ouais, de la vulnérabilité.
Ou sur un iPhone, typiquement,
un bypass,
un clic ou un truc.
Ça c'est le graal.
Vous trouvez ça en tant que hacker, vous...
Vous êtes...
Ça pique pas mal.