Par Pierre Lecourt

Plusieurs Raspberry Pi Zéro, disposées dans des endroits public au sein d’une université. Voilà qui laisse dubitatif. D’autant que les cartes sont alimentées en permanence sur secteur et embarquent en prime un petit dongle Wifi5 pour se connecter.

Cette découverte rend l’étudiant suspicieux et il décide de poster l’info sur Reddit, histoire d’avoir de l’aide pour découvrir quel est l’objectif final de celui qui a déposé cet engin. Un spécialiste en sécurité – et vidéaste – s’intéresse à l’objet et contacte l’étudiant pour voir de quoi il en retourne.

Il s’ensuit une enquête complète pour comprendre comment l’engin fonctionne. Une grosse suspicion autour d’un objet destiné à voler les données des étudiants est dans l’air. Créer un faux compte Wifi qui s’intercalera entre le vrai compte Wifi de l’université mais en sniffant au passage les données qui transiteront dessus. C’est en général comme cela que les pirates récupèrent des données. En analysant les datas avec des chaines de mots clés autour des mots de passe ou des services spécifiques, ils repèrent vos identifiants de réseaux sociaux, vos mots de passe de compte Paypal ou autres codes et numéros de carte bleue.

S’ensuit donc une courte et passionnante enquête que LiveOverflow a publié sur sa chaîne Youtube. Il faut être anglophone pour comprendre ce que la vidéo explique mais je vais vous en résumer les grandes lignes.

Après la découverte de l’objet, le Youtuber a proposé ses services à l’étudiant. Première épreuve, réussir à lire sous Windows le contenu de la carte puisqu’une des partitions n’est pas visible par le système. Après cette “épreuve” , il est temps de fouiller le contenu de cette partition.

C’est cette partition qui contient les programmes qui sont exécutés automatiquement par la Raspberry Pi Zéro et le travail de recherche commence. Fastidieux, il demande de vérifier toutes les étapes et tous les scripts lancés les uns à la suite des autres.

Et les soupçons semblent se confirmer. La carte Raspberry Pi Zéro commence à ressembler à une technique de “Man In The Middle”. On cherche à se connecter au Wifi et on passe par la carte qui va recueillir des données.

Mais, le temps passant, le chercheur s’aperçoit qu’au final la carte ne fait pas grand chose. Elle note bien l’existence des solutions Wifi à proximité mais rien de plus… Bizarre de déposer ces objets dans des lieux publics pour… rien ?

A force de recherches et en s’appuyant sur les noms des fichiers présents, le chercheur finit par trouver. Il s’agit d’un service gratuit qui sert à déterminer le taux d’occupation de certains lieux (café, bibliothèques et autres services public de l’école) en se basant sur la présence à proximité de smartphones, tablettes ou de PC au Wifi ouvert. Ces appareils cherchant en permanence à se connecter à une borne, cela permet de déterminer l’affluence de ces lieux. Pour quoi faire ? Pour proposer un service baptisé Waitz qui évitera de vous déplacer pour rien si le lieu que vous voulez visiter est bondé. Pas la peine d’aller à la bibliothèque si le service Waitz vous indique qu’elle est surchargée. Idem pour tous les autres lieux où ces petites cartes Raspberry Pi Zéro ont été dissimulées.

Evidemment, il aurait été plus simple de construire un petit châssis en impression 3D pour ces cartes et de faire apparaître dessus le logo et l’adresse de Waitz… L’étudiant en question a finalement rendu la carte au service qui va la redéployer dans un nouveau format. Waitz a reconnu leur bêtise… Déployer des objets sous ce format n’est pas une bonne idée même si on a les meilleures intentions du monde.

Si vous croisez une carte de ce type derrière un meuble ou autre dans un lieu public, n’hésitez pas à alerter le propriétaire ou le responsable du lieu. Il se peut que les intentions de celui qui a caché l’objet soient bonnes comme ici, mais il y a fort à parier que dans la majorité des cas, l’objet servira plutôt à des activités malveillantes.