Un drone espion peut voler des données grâce à un ordinateur infecté

Imaginez que vous êtes assis dans un immeuble la nuit, avec comme seule lueur le clignotement de la LED de votre disque dur. Imaginez enfin un drone espion, volant à l’extérieur et en train de vous regarder.

Etes-vous en train d’être espionné par un voyeur ?

Peut-être. Ou, comme les chercheurs l’ont démontré, vous pourriez ne pas être le centre d’intérêt principal des individus aux commandes du quadricoptère. Au contraire, il se pourrait qu’ils soient intéressés par les clignotements lumineux des LEDs de votre ordinateur, comme si elles formaient une sorte de code optique en Morse, interceptant ainsi des chaînes de données qu’un malware aurait pu contribuer à encoder et à transmettre.

Ce types de données peuvent être transmises à des vitesses suffisamment rapides pour inclure des clés de chiffrement, des touches saisies sur un clavier ou encore des fichiers texte et binaire, ont déclaré les chercheurs.

Les chercheurs du Centre de recherche en cybersécurité Negev de l’université Ben-Gurion ont fait la démonstration, ce mois-ci, de ce type de technique d’espionnage : une technique qui permet de vaincre un airgap. Un airgap est une mesure de sécurité réseau dans laquelle les ordinateurs très sensibles sont physiquement isolés, à l’écart du réseau internet public ou de réseaux locaux non sécurisés et des pirates qui pourraient mettre la main sur ces données.

Vous pouvez voir leur démonstration dans cette vidéo :

Certes, pour qu’une telle attaque fonctionne, les pirates doivent d’abord infecter un système pris pour cible avec un malware. Comme le décrivent les chercheurs dans leur article (PDF), de tels malwares peuvent être utilisés pour contrôler la LED d’un disque dur, en l’éteignant et en allumant à une vitesse pouvant aller jusqu’à 5.800 clignotements par seconde : bien plus vite que ce que les yeux humains peuvent détecter.

Pour les systèmes airgap, ce sale boulot devrait être effectué par un insider : quelqu’un qui peut infecter un système avec une carte USB ou SD, par exemple (j’ai du mal à comprendre qu’un cybercriminel avec un tel niveau d’accès ait besoin de recourir à de telles techniques d’exfiltration élaborées de données).

Après que la machine ait été infectée, il existe un certain nombre de méthodes qu’un cybercriminel peut utiliser pour encoder le clignotement de la LED. Cacher une caméra à l’intérieur fonctionnerait, tout comme une caméra transportée par un insider malveillant. En effet, l’essentiel est que la caméra ait en ligne de mire le panneau avant de l’ordinateur infecté qui fait office de transmetteur.

L’approche qui consiste à utiliser un drone espion fonctionne aussi, comme les chercheurs l’ont montré. Une caméra installée sur un drone qui est dirigé vers un endroit bien précis d’où il peut observer le panneau avant de l’ordinateur transmetteur, comme une fenêtre par exemple, peut recueillir des données, même si les chercheurs ont précisé que ce type de récepteur permettait la récupération de faible quantité de données, incluant des clés de chiffrement.

Ce type d’attaque est appelé attaque par canal auxiliaire. Elle exploite des parties physiques d’un système, qu’il s’agisse des ventilateurs, des lumières LED, des sons parasites ou d’émissions Wi-Fi, plutôt que de cibler un système en utilisant les faiblesses de ce dernier au niveau des algorithmes ou via une attaque par force brute.

En d’autres termes, vous n’essayez pas directement d’espionner le processus réel ou la procédure qui est votre cible dans une attaque par canal auxiliaire. Au lieu de cela, vous observez les effets secondaires qu’elle provoque afin de comprendre ce qui se passe indirectement.

Nous avons beaucoup écrit sur de telles attaques, comme nous l’avons vu :

• Le Fansmitter : un moyen d’utiliser la vitesse du ventilateur de l’ordinateur pour exfiltrer des données vous concernant. Cette technique est également le résultat du travail des chercheurs de l’Université Ben-Gurion.
• L’histoire du BadBIOS à partir de 2013, dans laquelle un chercheur canadien pensait qu’il avait découvert un type de malwares au niveau du BIOS, présent dans la nature, et qui pouvait franchir les airgaps de façon similaire.
• Une société indienne qui prétendait disposer d’un système permettant de pister les publicités que les téléspectateurs regardaient à la TV, et ce même sur des téléviseurs non connectés et non intelligents, en intégrant des ultrasons dans les annonces télévisées et en les récupérant avec des téléphones portables présents à proximité.
• Un nouveau type d’attaque utilisant les ultrasons pour suivre les utilisateurs de Tor.
• L’enregistrement clandestin du son généré par les touches frappées sur le clavier, ou des émanations acoustiques résultantes, pendant un appel Skype ou un appel vidéo. Les sons peuvent ensuite être réassemblés sous forme de texte.
• Un téléphone volant un prototype secret de produit à partir de votre imprimante 3D à l’aide des capteurs présents sur le smartphone.
• Le son produit par votre ordinateur permettant de fournir vos clés de chiffrement.
• “PowerSpy” : un moyen de vous suivre par le biais de la consommation d’énergie de votre téléphone.
• Le vol des code PIN au niveau des DAB avec des caméras thermiques.
• Les accéléromètres des téléphones utilisés pour vous suivre sur le métro.

Comment se protéger d’un drone espion ?

Heureusement, certains moyens pour se protéger d’un drone espion ciblant le clignotement des LEDs ne sont pas seulement bon marché, mais elles sont aussi accessibles d’un point de vue technologie. Vous pouvez tout simplement débrancher l’alimentation de la LED de votre ordinateur, d’une part, ou tout simplement la recouvrir d’une bande noire. Vous pouvez également utiliser des films de protection pour fenêtre qui protège les ordinateurs de l’espionnage électronique.

Enfin, vous pouvez toujours déplacer le PC “airgap” loin des fenêtres, ou dans une pièce qui n’a pas de fenêtres.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Drones can steal data from infected PCs by spying on blinking LEDs, par Lisa Vaas, Sophos NakedSecurity.