{"id":209,"date":"2020-10-10T22:24:51","date_gmt":"2020-10-10T21:24:51","guid":{"rendered":"https:\/\/rfhyper.wordpress.com\/?p=209"},"modified":"2020-10-10T22:24:51","modified_gmt":"2020-10-10T21:24:51","slug":"analyse-du-protocole-zigbee-sniffer-cc2531","status":"publish","type":"post","link":"https:\/\/leblogrf.fr\/index.php\/2020\/10\/10\/analyse-du-protocole-zigbee-sniffer-cc2531\/","title":{"rendered":"Analyse du protocole Zigbee : Sniffer CC2531"},"content":{"rendered":"\n

Le but de cet article est d’analyser le protocole sans fil Zigbee \u00e0 l’aide d’un sniffer USB. Pour cela on va intercepter les communications entre une passerelle Xiaomi et un capteur de temp\u00e9rature et d’humidit\u00e9 avec un dongle USB. L’objectif \u00e9tant d’arriver \u00e0 lire les informations de temp\u00e9rature du capteur.
Cet article est inspir\u00e9 d’un tr\u00e8s bon article du Blog \u00ab\u00a0Faire Soi-M\u00eame\u00a0\u00bb (lien en bas de la page), mais en utilisant d’autre outils.<\/p>\n\n\n\n

1. Achats<\/h2>\n\n\n\n

Tout d’abord, il faut acheter au minimum dongle USB avec le composant CC2531 et avec un c\u00e2ble de programmation :
L’original du fabricant TI \u00e0 la r\u00e9f\u00e9rence CC2531EMK, mais il en existe des similaires sur des sites comme Amazon, AliExpress ou LeBonCoin
https:\/\/www.amazon.fr\/gp\/product\/B07YDG4QHM<\/a>
Ensuite, un programmateur CC DEBUG :
https:\/\/www.amazon.fr\/gp\/product\/B07FP5XHPM<\/a>
Et aussi un capteur avec sa passerelle qui vont communiquer avec le protocole Zigbee.
La passerelle :
https:\/\/www.amazon.fr\/gp\/product\/B082XCWH71<\/a>
Le capteur de temp\u00e9rature et d’humidit\u00e9 :
https:\/\/fr.aliexpress.com\/item\/32711728819.html<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

2. Installation<\/h2>\n\n\n\n

Installer le logiciel SmartRF Flash programmer de Texas Instruments. Ne pas utiliser la version V2 qui n’est pas compatible avec le CC DEBUGGER. Par exemple la version 1.12.8 du 31 Mai 2016.
Le logiciel est gratuit, mais il faut avoir un compte TI pour le t\u00e9l\u00e9charger.
https:\/\/www.ti.com\/tool\/FLASH-PROGRAMMER<\/a>
Ensuite, il faut installer le driver pour le CC DEBUGGER :
https:\/\/www.ti.com\/lit\/zip\/swrc212<\/a>
Apr\u00e8s avoir installer le driver, connecter le CC DEBUGGER au PC.V\u00e9rfier que le debugger est bien reconnu en ouvrant le \u00ab\u00a0Gestionnaire de P\u00e9riph\u00e9riques\u00a0\u00bb de Windows. Le debugger devrait apparaitre comme un \u00ab\u00a0Cebal controlled device\u00a0\u00bb<\/p>\n\n\n\n

\"\"
V\u00e9rification du driver du CC DEBUGGER<\/figcaption><\/figure><\/div>\n\n\n\n

Si le driver, n’est pas install\u00e9 correctement, vous pouvez installer le driver manuellement.
Installer le logiciel PACKET-SNIFFER. (Pas la v2, la version v2.18.1 du 30 Juin 2014) pour r\u00e9cup\u00e9rer un fichier dans
C:\\Program Files (x86)\\Texas Instruments\\SmartRF Tools\\Packet Sniffer\\bin\\general\\firmware\\sniffer_fw_cc2531.hex<\/p>\n\n\n\n

3. Connecter le CC DEBUGGER<\/h2>\n\n\n\n

Brancher le CC DEBUGGER \u00e0 un port USB du PC puis au dongle CC2131 qui lui m\u00eame doit \u00eatre connect\u00e9 \u00e0 un autre port USB du PC, comme sur la figure ci-dessous :<\/p>\n\n\n\n

\"\"
Branchements<\/figcaption><\/figure><\/div>\n\n\n\n

Appuyer sur le bouton RESET du CC DEBUGGER, la LED devrait s’allumer en vert.<\/p>\n\n\n\n

4.Programmation<\/h2>\n\n\n\n

Ex\u00e9cuter le logiciel Flash Programmer, dans la section Flash image, s\u00e9lectionnez le fichier sniffer_fw_cc2531.hex dans le r\u00e9pertoire C:\\Program Files (x86)\\Texas Instruments\\SmartRF Tools\\Packet Sniffer\\bin\\general\\firmware\\
Cliquer sur \u00ab\u00a0Perform actions\u00a0\u00bb<\/p>\n\n\n\n

\"\"
TI Flash Programmer<\/figcaption><\/figure><\/div>\n\n\n\n

4. Installation des logiciels<\/h2>\n\n\n\n

T\u00e9l\u00e9charger le logiciel Wireshark et l’installer
https:\/\/www.wireshark.org\/#download<\/a>
Prendre une version v3.0.x et pas la derni\u00e8re car elles ne sont pas toutes compatible avec les logiciels TI (Par exemple Wireshark-win64-3.0.12.exe)
T\u00e9l\u00e9charger le logiciel SmartRF Packet Sniffer2, cette fois ci. (version v1.8.0 du 22 janvier 2020 par exemple) et l’installer.
https:\/\/www.ti.com\/tool\/PACKET-SNIFFER<\/a>
Mais toujours pas pour l’utiliser mais pour r\u00e9cup\u00e9rer certains fichiers dans C:\\Program Files (x86)\\Texas Instruments\\SmartRF Tools\\SmartRF Packet Sniffer 2\\wireshark\\plugins\\3.0.x<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Les copier dans le r\u00e9pertoire suivant :
C:\\Program Files\\Wireshark\\plugins\\3.0
T\u00e9l\u00e9charger et installer TI Wireshark Packet Converter (TiWsPc) :
https:\/\/e2e.ti.com\/cfs-file\/__key\/communityserver-discussions-components-files\/158\/TiWsPc.zip<\/a>
Executer le logiciel TiWsPc.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cliquer sur Device Configuration, s\u00e9lectionner le canal et cliquer sur Start.
Le canal par d\u00e9faut est le 13, mais dans certains cas, les \u00e9quipements communiquent sur d’autres canaux, comme le 20 ici. Il faut les tester un par un et attendre de recevoir des \u00ab\u00a0packets\u00a0\u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ex\u00e9cuter Wireshark :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Aller dans le menu Capture->Option<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Puis cliquer sur \u00ab\u00a0G\u00e9rer les interfaces…\u00a0\u00bb<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Puis l’onglet \u00ab\u00a0Pipes\u00a0\u00bb, cr\u00e9er une entr\u00e9e avec \u00ab\u00a0\\.\\pipe\\tiwspc_data\u00a0\u00bb<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cliquer sur OK puis D\u00e9marrer.
Prendre la passerelle Xiaomi et le capteur de temp\u00e9rature. Faire une association entre les deux.
Les premi\u00e8re trames Zigbee devraient apparaitre dans Wireshark. Mais elles sont crypt\u00e9es. En effet, le protocole Zigbee utilise un syst\u00e8me de cryptage AES 128.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

5. D\u00e9codage des trames<\/h2>\n\n\n\n

Il est possible de d\u00e9coder les trames.
Pour cela, il faut entrer une cl\u00e9, la Trust Center Link Key dans le logiciel Wireshark.
Aller dans le menu Editer->Pr\u00e9f\u00e9rences<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Rechercher \u00ab\u00a0Protocols\u00a0\u00bb puis \u00ab\u00a0Zigbee\u00a0\u00bb.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Cliquer sur Edit et entrer la cl\u00e9 :
5A:69:67:42:65:65:41:6C:6C:69:61:6E:63:65:30:39<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Dans Wireshark, une parties des trames vont \u00eatre automatiquement d\u00e9crypt\u00e9es.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

On peut voir une trame \u00ab\u00a0Transport Key\u00a0\u00bb, qui contient la Network Key<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Wireshark r\u00e9cup\u00e9re directement cette cl\u00e9 et d\u00e9crypte toutes les trames. La Network Key peut aussi \u00eatre enregistr\u00e9e dans Wireshark, comme la Trust Center Link Key (voir m\u00e9thode ci-dessus) si on souhaite faire d’autres enregistrements plus tard.
Et voil\u00e0, maintenant on peut ainsi lire les informations utiles du capteur comme la temp\u00e9rature dans les trames ZCL (Zigbee Cluster Library) :<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n


Liens utiles :
http:\/\/faire-ca-soi-meme.fr\/domotique\/2017\/02\/27\/hack-xiaomi-mi-smart-temperature-and-humidity-sensor\/<\/a>
https:\/\/connect.ed-diamond.com\/MISC\/MISC-086\/Tout-tout-tout-vous-saurez-tout-sur-le-ZigBee<\/a>
https:\/\/lucidar.me\/fr\/zigbee\/zigbee-sniffer\/<\/a>
https:\/\/www.ti.com\/tool\/CC2531EMK<\/a>
https:\/\/www.zigbee2mqtt.io\/how_tos\/how_to_sniff_zigbee_traffic.html<\/a>
https:\/\/sunmaysky.blogspot.com\/2018\/10\/how-to-use-cc2531emk-and-wireshark-as.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Le but de cet article est d’analyser le protocole sans fil Zigbee \u00e0 l’aide d’un sniffer USB. Pour cela on va intercepter les communications entre une passerelle Xiaomi et un capteur de temp\u00e9rature et d’humidit\u00e9 avec un dongle USB. L’objectif \u00e9tant d’arriver \u00e0 lire les informations de temp\u00e9rature du capteur.Cet article est inspir\u00e9 d’un tr\u00e8s … Continuer la lecture de Analyse du protocole Zigbee : Sniffer CC2531<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":275,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-209","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-zigbee"],"_links":{"self":[{"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/posts\/209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/comments?post=209"}],"version-history":[{"count":0,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/posts\/209\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/media\/275"}],"wp:attachment":[{"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/media?parent=209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/categories?post=209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/leblogrf.fr\/index.php\/wp-json\/wp\/v2\/tags?post=209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}