Les hackers de l’université Ben Gourion ont trouvé un nouveau moyen pour exfiltrer des données sensibles depuis un réseau local isolé et déconnecté d’Internet (« air gapped »).
Il est possible, en effet, d’utiliser les émanations électromagnétiques des câbles Ethernet qui relient les postes de travail. Ces câbles sont composés de paires de fils métalliques torsadés, ce qui a pour effet de limiter ces émanations, sans pour autant les supprimer totalement.
Deux effets permettent ainsi de générer un signal reconnaissable : une variation de la vitesse d’envoi des données et l’envoi d’un paquet UDP. Les chercheurs, qui ont baptisé leur attaque « LANtenna », ont ensuite créé un malware qui utilise ces deux techniques pour encoder des informations depuis des machines infectées. Ils ont testé les performances sur trois PC fixes, un PC portable et un Raspberry Pi 3.
Des données captées à plus de quatre mètres
Dans les deux cas, il était possible de capter et décoder le signal émis depuis un PC fixe à une distance de plus de quatre mètres. Les chercheurs ont obtenu des résultats similaires avec un Raspberry Pi en utilisant la variation de vitesse. Avec l’autre technique, le rayon d’action se limite à environ un mètre. Idem avec le PC portable, quelle que soit la technique utilisée. Les chercheurs n’ont donné aucune explication pour ces différences de résultats.
À noter que la technique de variation de vitesse permet d’obtenir un signal plus fort que celle fondée sur les paquets UDP, mais elle nécessite d’avoir les droits administrateur sur la machine. Par ailleurs, elle ne fonctionne pas depuis une machine virtuelle.
Enfin, il faut savoir que le débit d’un tel canal de communication est plutôt faible, de l’ordre de quelques bits par seconde. C’est peu adapté pour transmettre d’importantes quantités de données, mais suffisant pour envoyer par exemple une clé secrète.
A découvrir aussi en vidéo :
Les chercheurs donnent également des pistes pour se protéger contre l’attaque « LANtenna ». Une première chose à faire est de détecter et supprimer tous les récepteurs radioélectriques d’une zone « air-gapped ».
Ensuite, il est possible de détecter la fuite de données en surveillant le trafic réseau sortant des ordinateurs et en scannant les bandes de fréquences utilisées par le malware (125, 250, 375 et 625 MHz). On peut également mettre en place des brouilleurs de signal et utiliser des câbles Ethernet avec blindage intégré. Dans les câbles de catégorie « S/FTP », chaque paire torsadée est ainsi protégée par une tresse étamée.
Source : Rapport de recherche
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
