Les chercheurs en sécurité de l’université Ben Gourion ont de nouveau frappé. Spécialisés dans le piratage des ordinateurs « air gapped », c’est-à-dire déconnectés du réseau, ils viennent de mettre au point une nouvelle méthode pour exfiltrer des données ni vu ni connu. Il faut au préalable infecter la machine ciblée avec un malware. C’est loin d’être impossible, car même les machines déconnectées ont besoin d’être mises à jour.
Une fois que ce malware a récupéré l’information désirée, il va la transmettre en faisant clignoter le voyant LED qui témoigne de l’activité du disque dur et que l’on trouve sur le devant de n’importe quel PC. Dans une vidéo YouTube réalisée par les chercheurs, ces petits flashs sont captés de l’extérieur, à travers la fenêtre du bureau, par une caméra… accrochée à un drone ! Et cela en pleine nuit, évidemment.
Cette méthode peut sembler extravagante, mais elle présente beaucoup d’avantages. Tout d’abord, le canal d’exfiltration est particulièrement discret. Personne ne regarde jamais le LED du disque dur, et même si c’est le cas, personne ne s’étonne de la voir clignoter. Les accès au disque dur se font à n’importe quel moment, même quand l’utilisateur n’effectue pas d’actions particulières. Autre avantage : pour le malware, la manipulation du voyant LED est très facile. Il suffit d’effectuer une lecture de données sur le disque dur, ce qui ne nécessite aucune élévation de privilège.
Enfin, et c’est le plus important, ce canal permet d’atteindre un débit d’extraction relativement élevé, pouvant aller jusqu’à 4 kbit/s. Ce débit est atteint lorsqu’on effectue des lectures de blocs de 4 kilooctets. Dans ce cas, la durée du flash atteint son minimum, soit 0,18 ms. Ce qui correspond à une fréquence de 5.000 à 6.000 Hz. A l’heure de la fibre optique, cela semble dérisoire, mais dans le domaine du piratage sans connexion c’est énorme. Avec les précédentes recherches, le débit n’atteignait souvent que quelques bits ou dizaines de bits par seconde.
A noter, toutefois qu’une caméra classique ne permettra pas de capter des messages envoyés à une fréquence de 5.000 Hz, car c’est nettement supérieur à leur vitesse d’affichage. Pour atteindre ce débit, les chercheurs utilisent en réalité un capteur basé sur une photodiode de Siemens. La détection peut se faire à plusieurs dizaines de mètres, en fonction du dispositif optique utilisé.
Pour se prémunir contre cette attaque, c’est simple : il suffit d’occulter le voyant LED avec un ruban adhésif !
Source: Wired
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
