Vous connaissez sans doute la plupart des techniques permettant de transférer des données vers et depuis un ordinateur, que ce soit via un réseau Wi-Fi, un périphérique USB ou une connexion Bluetooth. Mais il existe aussi des moyens moins conventionnels pour récupérer les données d’un appareil. Un groupe de chercheurs experts en cybersécurité de l’université Ben Gourion du Néguev (BGU) de Beer-Sheva (Israël) a ainsi mis en lumière plus d’une dizaine de modes opératoires utilisés par les pirates pour extraire les données de PC pourtant isolés du réseau.
Les cybercriminels, de plus en plus rusés, peuvent en effet manipuler le spectre électromagnétique, notamment les ondes lumineuses, radio et sonores, dans le but de dérober vos précieuses données. Comme nous allons le voir, certaines techniques avancées sont assez surprenantes : raison de plus pour se familiariser avec ces méthodes d’attaque.
L’un de nos récents articles décrit un nouvel exploit baptisé Glowworm, qui a la particularité de convertir les fluctuations d’intensité de voyants LED de l’ordinateur en signaux audio. Et l'an dernier, nous avons abordé ce type de problème appelé air gap. Dans les deux cas, à l'aide des bons outils, un pirate peut capturer les fluctuations du signal et surveiller les activités de l’ordinateur ciblé. Bien sûr, cette technique fait appel à toute une logistique assez poussée et vise donc surtout les détenteurs de données sensibles. Toutefois, cela ne veut pas dire que vous êtes nécessairement à l’abri.
Voici quelques éléments tirés de l’étude BGU sur les compromissions d’air gap, avec une brève description des méthodes utilisées dans chaque exploit :
- LED-it-Go, CTRL-ALT-LED et xLED détournent les systèmes à l’aide des voyants LED d’activité du disque dur, du clavier, du routeur ou du commutateur réseau
- USBee utilise le bus de données d’un connecteur USB pour transmettre des informations au moyen de signaux électromagnétiques
- Air-Fi s’appuie sur les variations de fréquence Wi-Fi
- AirHopper utilise la carte graphique pour émettre des signaux électromagnétiques vers un téléphone mobile à proximité et subtiliser des données
- Fansmitter récupère les données de PC protégés par air gap à l’aide des sons émanant du ventilateur de la carte graphique
- DiskFiltration écoute les opérations de lecture/écriture sur le disque dur pour dérober des données via des ondes sonores
- BitWhisper surveille l’évolution des changements de température
- Cette attaque encore non baptisée utilise des scanners à plat pour relayer des commandes vers des PC infectés par malware
- aIR-Jumper détourne l’infrarouge des caméras de sécurité
- HVACKer utilise les systèmes CVC pour contrôler les malwares sur des ordinateurs protégés par air gap
- MAGNETO et ODINI volent les données stockées dans des systèmes protégés par une cage de Faraday
- MOSQUITO utilise les enceintes et les casques/écouteurs connectés à l’ordinateur
- PowerHammer s’appuie sur les fluctuations du courant électrique
- BRIGHTNESS utilise les variations de luminosité de l’écran
- AiR-ViBeR utilise les vibrations provenant du ventilateur d’un ordinateur
- POWER-SUPPLaY transforme l’alimentation électrique en haut-parleur
Comment mieux protéger vos données
Il y a quelques années, le professeur Mordechai Guri (BGU) a donné une conférence Black Hat s’appuyant sur l’exemple d’une attaque relativement simple : une clé USB infectée a été retrouvée dans le parking d’une base militaire américaine du Moyen-Orient. Sans le savoir, une personne a inséré le périphérique dans un ordinateur portable, diffusant ainsi le contenu viral à travers plusieurs réseaux. Le Pentagone a mis près d’un an à éradiquer totalement le malware sur l’ensemble des ordinateurs contaminés. La conférence de Guri propose d’autres exemples d’exploits « anti-air gap » tels que décrits plus haut.
Vous pouvez adopter quelques réflexes pour vous prémunir contre ce genre d’attaque :
- Utilisez des stations de travail sans disque ni port USB ou lecteur de cartes
- Gardez votre téléphone à distance de votre ordinateur
- Utilisez des bureaux virtuels ou des sessions de navigation sécurisées.
Sachez pour conclure que certains programmes de protection des terminaux permettent de surveiller les activités USB et de créer des politiques de sécurité afin d’en bloquer l’utilisation (si vous n’avez pas la possibilité d’éliminer entièrement les ports USB). Prenez le temps d’étudier votre environnement : le risque augmente lorsque vos ordinateurs sont installés à proximité des fenêtres ou que vous vous connectez à des réseaux Wi-Fi non autorisés.