Une attaque de type Evil-Maid (femme de chambre malveillante) est le type d’attaque le plus primitif qui soit mais c’est aussi un des plus déplaisants. Guettant sa proie (un dispositif laissé sans attention), la « femme de chambre malveillante » essaie de voler des informations confidentielles ou d’installer un spyware ou un outil d’accès à distance pour entrer dans le réseau de l’entreprise. Cet article vous explique comment vous protéger des intrus.
Exemple classique
En décembre 2007, une délégation du ministère américain du commerce s’est rendue à Pékin pour parler de la stratégie commune à adopter pour lutter contre le piratage. Pourtant, une fois de retour aux États-Unis, l’ordinateur portable du secrétaire avait un spyware qui n’a pu être installé que par quelqu’un ayant eu physiquement accès au dispositif. Le propriétaire de l’ordinateur portable a dit qu’il n’avait jamais quitté l’appareil tout au long des négociations et qu’il ne l’avait laissé dans sa chambre d’hôtel (sûre) que pendant les heures de repas au rez-de-chaussée.
En théorie, un professionnel n’a besoin que de 3-4 minutes pour infecter un dispositif mais ce genre de choses a tendance à se produire lorsque l’ordinateur est laissé sans surveillance et est déverrouillé (ou non protégé par un mot de passe). Même lorsque les mesures de base en sécurité sont suivies à la lettre, l’attaque de la femme de chambre malveillante a des chances de réussir.
Comment les cybercriminels accèdent aux informations
De nombreuses méthodes permettent d’obtenir des informations sensibles. Elles dépendent de l’âge de l’ordinateur et du logiciel de sécurité installé. Par exemple, les vieux dispositifs incompatibles avec le Secure Boot peuvent être redémarrés depuis des dispositifs externes et se retrouvent démunis face aux attaques de type Evil-Maid. Le Secure Boot est généralement activé par défaut sur les ordinateurs modernes.
Les ports de communication compatibles avec l’échange rapide de données ou l’interaction directe avec la mémoire du dispositif peuvent être utilisés comme syphons pour extraire les données personnelles ou les secrets industriels. Thunderbolt, par exemple, a une vitesse de transmission des données très rapide grâce à un accès direct à la mémoire, ce qui ouvre la porte aux attaques de type Evil-Maid.
Au printemps dernier, l’expert en sécurité informatique Björn Ruytenberg a expliqué comment pirater n’importe quel Thunderbolt actif dans un appareil Windows ou Linux, même s’il est verrouillé et que les connexions de dispositifs inconnus via les ports externes sont désactivées. La méthode de Ruytenberg, surnommée Thunderspy, part du principe que l’escroc peut accéder physiquement au dispositif et qu’il doit réécrire le micrologiciel du contrôleur.
Avec Thunderspy, le cybercriminel doit reprogrammer la puce Thunderbolt avec sa version du micrologiciel. Le nouveau programme désactive la protection intégrée et le pirate informatique prend totalement le contrôle du dispositif.
En théorie, la politique de protection DMA du noyau corrige la vulnérabilité mais certains utilisateurs ne s’en servent pas (et ceux avec un système d’exploitation antérieur à Windows 10 ne peuvent pas l’installer). Pourtant, Intel a annoncé une solution au problème : Thunderbolt 4.
Une bonne vieille clé USB peut aussi être un vecteur d’attaque. Un dispositif miniature, inséré dans un port USB, s’active lorsque l’utilisateur allume l’ordinateur et lance l’attaque BadUSB.
Si les informations que le cybercriminel cherche à obtenir ont beaucoup de valeur, il peut même essayer d’accomplir une tâche particulièrement difficile et coûteuse : voler le dispositif et le remplacer par un autre similaire qui contient déjà le spyware. Il est vrai que la victime va vite s’en rendre compte mais en général cela n’arrive qu’après qu’elle ait saisi le mot de passe. Heureusement, comme nous l’avons souligné, il est à la fois compliqué et coûteux de mettre en place un tel échange.
Comment réduire les risques
La façon la plus simple et la plus efficace pour vous protéger des attaques de type Evil-Maid est de conserver votre ordinateur dans un endroit sûr auquel personne n’a accès, à part vous. Par exemple, dans la mesure du possible, évitez de le laisser dans votre chambre d’hôtel. En revanche, si vos employés doivent faire un voyage d’affaires et emprunter les ordinateurs portables de l’entreprise, voici quelques conseils à suivre pour réduire les risques :
- Utilisez des ordinateurs portables temporaires qui n’ont pas accès aux systèmes critiques de l’entreprise ou aux données professionnelles, puis formatez le disque dur et réinstallez le système d’exploitation après chaque voyage.
- Demandez à vos employés d’éteindre les ordinateurs portables dès qu’ils s’en éloignent.
- Chiffrez les disques durs de tous les ordinateurs qui quittent les bureaux de l’entreprise.
- Installez des solutions de sécurité qui bloquent tout trafic sortant suspect.
- Vérifiez que votre solution de sécurité détecte les attaques BadUSB (ce qui est le cas de Kaspersky Endpoint Security for Business)
- Mettez à jour dès que possible tous les programmes, surtout le système d’exploitation.
- Limitez l’accès direct à la mémoire du dispositif via les ports FireWire, Thunderbolt, PCI et PCI Express sur tous les dispositifs qui le permettent.