Mordechai Guri, un chercheur israélien prolifique, vient de publier deux nouvelles techniques pour exfiltrer des informations depuis des ordinateurs déconnectés de tout réseau. Ce spécialiste de l’air gap utilise cette fois des ultrasons et un gyroscope pour la première attaque, et les diodes de la carte réseau pour la seconde.


au sommaire


    L’air gap, autrement dit le fait de séparer physiquement un ordinateur de tout réseau, est le meilleur moyen de le protéger contre toute attaque. Les entreprises utilisent l'airair gapgap pour les machines qui ont une fonction ou des données trop sensibles pour prendre le moindre risque. Toutefois, ce n'est pas toujours suffisant comme mesure. Mordechai Guri, de l'université Ben Gourion du Néguev en Israël, est spécialiste du contournement de ce procédé. Il vient de présenter deux nouvelles techniques pour pirater un ordinateur sans connexion.

    Transmettre des données par ultrasons

    La première attaque a été baptisée Gairoscope. Comme d'habitude, elle nécessite tout de même un accès physiquephysique à la machine afin d'implanterimplanter un malware qui va collecter des informations, comme des mots de passe ou fichiers sensibles. Ensuite, le programme utilise une technique originale pour transmettre les données sans fil à un autre appareil à proximité. Cette fois, il utilise des ultrasonsultrasons produits par les haut-parleurs du PC infecté.

    Démonstration de l’exfiltration de données en utilisant des ultrasons et le gyroscope d’un smartphone. © Ben Gurion University

    Pour l'instant, rien de très révolutionnaire. Là où sa technique est originale, c'est qu'il utilise un smartphone pour recevoir les données transmises via ultrasons, par exemple celui d'un employé qui travaille à côté. Afin de ne pas éveiller les soupçons du propriétaire du smartphone, il n'utilise pas de microphone qui nécessite une autorisation spéciale. À la place, il utilise le gyroscope. Pour ce faire, il a d'abord produit des ultrasons en balayant une gamme de fréquences, et noté les fréquences spécifiques de résonancerésonance qui produisent des vibrationsvibrations des gyroscopes dans un OnePlus 7, ainsi que des SamsungSamsung Galaxy S9 et S10.

    Le gyroscope présente l'avantage qu'AndroidAndroid et iOSiOS n'affichent aucune indication particulière lorsqu'il est en cours d'utilisation, et il est même possible d'y accéder en utilisant une page contenant du Javascript dans le navigateur. Il n'est donc théoriquement pas nécessaire d'infecter le smartphone avec un malware. L'appareil doit tout de même se trouver au maximum à huit mètres des haut-parleurs du PC. Grâce à cette technique, il est possible de transmettre des données à raison de huit bits par seconde.

    Démonstration de l’exfiltration de données en utilisant les diodes de la carte réseau. © Ben Gurion University

    Utiliser les diodes de la carte réseau

    La seconde attaque s'appelle EtherLED. Elle utilise les deux LEDLED de la carte réseaucarte réseau qui indiquent habituellement la liaison et l'activité. Là aussi, il est nécessaire d'infecter l'ordinateurordinateur avec un malware. Après avoir collecté des informations sur la machine, celui-ci va contrôler les diodes pour transmettre les données, en utilisant différents encodages, par exemple le code MorseMorse pour du texte simple.

    Cette fois, les données peuvent être reçues grâce à une caméra de surveillance compromise, une caméra IPIP, ou même un drone. Il suffit que l'ordinateur soit dans le champ de vision. Ils ont pu atteindre une vitessevitesse de transmission entre un et deux bits par seconde avec un malware standard. En infectant le pilote ou le firmwarefirmware de la carte réseau, ils ont atteint 100 bits par seconde. Ainsi, selon le protocole dprotocole d'encodage utilisé ainsi que le type de malware, il faut entre 42 secondes et 60 minutes pour transmettre une clé de chiffrementchiffrement RSARSA de 4.096 bits.

    Le chercheur avait déjà présenté d'autres techniques similaires, en utilisant la LED du disque durdisque dur, en variant la luminositéluminosité de l'écran, voire en créant un signal Wi-FiWi-Fi avec les barrettes de mémoire vive. Pour effectivement protéger un ordinateur avec l'air gap, il faudrait donc l'accompagner d'une série de mesures comme du ruban adhésif noir sur toutes les diodes, un brouilleur Wi-Fi, ajouter des bruits de fond dans les ultrasons, et bien d'autres...