Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu'il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.

Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n'est ni plus ni moins qu'un mini-ordinateur qui permet de faire du man in the middle sur n'importe quelle machine. Voici d'ailleurs une explication plus détaillée de ce qu'est la Hak5 Turtle :

Comme c'est déjà prévu sur la Turtle, c'est easy à configurer. Il suffit d'activer les modules "serveur DHCP" ainsi que le module Responder de Laurent Gaffié.

Responder est un super outil capable de recevoir et de stocker toutes les demandes d'authentification (NTLMv1/NTLMv2/LMv2, NTLMSSP et authentification HTTP basique) qui passent par lui, que ce soit via HTTP/SMB/MSSQL/FTP/LDAP.

Là où ça devient vraiment moche, c'est qu'en pluggant cette clé Hak5 Turtle sur un ordinateur dont la session est verrouillée, il est possible de récupérer des tas d'identifiants et de mots de passe (chiffrés ou non). Comment ?

Et bien comme l'USB est plug and play, le système l'active immédiatement, et cela même si la session est lockée. Reconnue comme un adaptateur Ethernet par Windows ou macOS, ça passe donc comme une lettre à la poste, et comme l'Ethernet c'est plus rapide que le Wifi, l'OS a tendance à choisir ce mode de connexion pour transmettre ses données. Donc même si l'ordinateur est connecté en wifi, le simple fait de connecter cette clé USB Turtle, va faire en sorte que tout le trafic sortant passe par cet adaptateur.

Et ce qu'on a du mal à imaginer (et Mubix aussi d'ailleurs), c'est la quantité de trafic sortant qu'un ordinateur peut produire lorsqu'il est verrouillé. Pas besoin d'ouvrir un navigateur ou une application, non, non, l'OS va causer dans tous les sens, faisant parfaitement confiance à son réseau local, donc à la clé Turtle, et lui balançant des tas d'identifiants.

La fête quoi !

Mubix a réalisé ses tests avec une Turtle de Hak5, mais aussi avec une USB Armory qui est un poil plus cher (155 $) et qui permet de faire sensiblement la même chose en mode plus barbu, du moment que vous installez Responder et le serveur DHCP dessus.

Voici une démo de la clé USB Armory en action. En moins de 13 secondes, elle récupère des identifiants. Impressionnant !

Mubix a réalisé des tests sur :

  • Windows 98 SE
  • Windows 2000 SP4
  • Windows XP SP3
  • Windows 7 SP1
  • Windows 10 (Enterprise et Home)
  • OSX El Capitan / Mavericks

Et à chaque fois, il a pu récupérer des infos. Il n'a pas encore testé sous Linux.

Je vous rassure, il n'y a rien à faire pour empêcher ça... C'est d'office dans le système d'exploitation. C'est con hein ? ;-)