Mordechai Guri, un chercheur israélien prolifique, vient de publier deux nouvelles techniques pour exfiltrer des informations depuis des ordinateurs déconnectés de tout réseau. Ce spécialiste de l’air gap utilise cette fois des ultrasons et un gyroscope pour la première attaque, et les diodes de la carte réseau pour la seconde.

Cela vous intéressera aussi

[EN VIDÉO] En 2050, nous travaillerons avec des ordinateurs transparents Nous sommes aujourd'hui rivés à nos écrans, mais demain, la réalité augmentée et la puissance des ordinateurs nous libéreront de nos postes de travail, grâce à des écrans transparents ou virtuels. C'est ce que nous explique Planète + dans son nouvel épisode de Rêver le futur, diffusé ce vendredi 3 février 2017, et dont voici un extrait en exclusivité.

L’air gap, autrement dit le fait de séparer physiquement un ordinateur de tout réseau, est le meilleur moyen de le protéger contre toute attaque. Les entreprises utilisent l'air gapgap pour les machines qui ont une fonction ou des données trop sensibles pour prendre le moindre risque. Toutefois, ce n'est pas toujours suffisant comme mesure. Mordechai Guri, de l'université Ben Gourion du Néguev en Israël, est spécialiste du contournement de ce procédé. Il vient de présenter deux nouvelles techniques pour pirater un ordinateur sans connexion.

Transmettre des données par ultrasons

La première attaque a été baptisée Gairoscope. Comme d'habitude, elle nécessite tout de même un accès physiquephysique à la machine afin d'implanterimplanter un malware qui va collecter des informations, comme des mots de passemots de passe ou fichiers sensibles. Ensuite, le programme utilise une technique originale pour transmettre les données sans fil à un autre appareil à proximité. Cette fois, il utilise des ultrasonsultrasons produits par les haut-parleurs du PCPC infecté.

Démonstration de l’exfiltration de données en utilisant des ultrasons et le gyroscope d’un smartphone. © Ben Gurion University

Pour l'instant, rien de très révolutionnaire. Là où sa technique est originale, c'est qu'il utilise un smartphonesmartphone pour recevoir les données transmises via ultrasons, par exemple celui d'un employé qui travaille à côté. Afin de ne pas éveiller les soupçons du propriétaire du smartphone, il n'utilise pas de microphone qui nécessite une autorisation spéciale. À la place, il utilise le gyroscopegyroscope. Pour ce faire, il a d'abord produit des ultrasons en balayant une gamme de fréquences, et noté les fréquences spécifiques de résonancerésonance qui produisent des vibrationsvibrations des gyroscopes dans un OnePlus 7, ainsi que des Samsung Galaxy S9 et S10.

Le gyroscope présente l'avantage qu'AndroidAndroid et iOSiOS n'affichent aucune indication particulière lorsqu'il est en cours d'utilisation, et il est même possible d'y accéder en utilisant une page contenant du Javascript dans le navigateurnavigateur. Il n'est donc théoriquement pas nécessaire d'infecter le smartphone avec un malware. L'appareil doit tout de même se trouver au maximum à huit mètres des haut-parleurs du PC. Grâce à cette technique, il est possible de transmettre des données à raison de huit bits par seconde.

Démonstration de l’exfiltration de données en utilisant les diodes de la carte réseau. © Ben Gurion University

Utiliser les diodes de la carte réseau

La seconde attaque s'appelle EtherLED. Elle utilise les deux LEDLED de la carte réseaucarte réseau qui indiquent habituellement la liaison et l'activité. Là aussi, il est nécessaire d'infecter l'ordinateur avec un malware. Après avoir collecté des informations sur la machine, celui-ci va contrôler les diodes pour transmettre les données, en utilisant différents encodages, par exemple le code MorseMorse pour du texte simple.

Cette fois, les données peuvent être reçues grâce à une caméra de surveillance compromise, une caméra IPIP, ou même un dronedrone. Il suffit que l'ordinateur soit dans le champ de vision. Ils ont pu atteindre une vitessevitesse de transmission entre un et deux bits par seconde avec un malware standard. En infectant le pilote ou le firmwarefirmware de la carte réseau, ils ont atteint 100 bits par seconde. Ainsi, selon le protocole d'encodage utilisé ainsi que le type de malware, il faut entre 42 secondes et 60 minutes pour transmettre une clé de chiffrement RSARSA de 4.096 bits.

Le chercheur avait déjà présenté d'autres techniques similaires, en utilisant la LED du disque durdisque dur, en variant la luminositéluminosité de l'écran, voire en créant un signal Wi-Fi avec les barrettes de mémoire vive. Pour effectivement protéger un ordinateur avec l'airair gap, il faudrait donc l'accompagner d'une série de mesures comme du ruban adhésif noir sur toutes les diodes, un brouilleur Wi-Fi, ajouter des bruits de fond dans les ultrasons, et bien d'autres...