Air gap : les cybercriminels peuvent-ils contourner votre protection ?

Si vous n’êtes pas connecté à Internet personne ne peut voler vos données, n’est-ce pas ? Pas vraiment.

Internet est synonyme de problèmes. C’est pourquoi une des solutions les plus radicales permettant de protéger un ordinateur qui contient des informations extrêmement précieuses, ou contrôle un processus critique, consiste à ne pas le connecter à Internet ; voire de le connecter à aucun réseau, pas même un réseau local. Cette isolation physique est connue comme air gap.

Pas de connexion, pas de problème, n’est-ce pas ? Malheureusement, ce n’est pas entièrement vrai. Certaines méthodes astucieuses permettent d’exfiltrer les données d’un dispositif, même s’il est en air gap. Un groupe de chercheurs de l’université Ben-Gurion du Néguev (Israël), dirigé par Mordechai Guri, s’est spécialisé dans ces méthodes de vols de données. Nous vous expliquons ce qu’ils ont découvert et si vous, et nous, devons nous en inquiéter.

Comment contourner un air gap

La vulnérabilité des systèmes en air gap n’a rien de nouveau : les attaques de la chaîne d’approvisionnement et les employés corrompus sont une option. Les attaques les plus simples utilisent, par exemple, une clé USB infectée. Voilà comment l’histoire légendaire de Stuxnet a commencé.

D’accord, l’ordinateur est infecté, mais comment une personne peut-elle extraire des données sans avoir une connexion Internet ?

Grâce à l’union de la créativité et de la physique. Un ordinateur peut être physiquement isolé et ne transmettre aucun signal à l’extérieur, mais il génère de la chaleur, des ondes magnétiques et fait du bruit. Quelqu’un peut utiliser ces canaux non-évidents pour détourner des informations.

Ultrasons

Un ordinateur sans haut-parleur ou équipement audio peut produire des ondes sonores qui oscillent entre 20 Hz et 24 Hz (si, par exemple, vous modifiez la fréquence de l’alimentation). De plus, même si le dispositif n’est pas équipé d’un microphone séparé, il peut tout de même écouter aux portes puisque les haut-parleurs et les écouteurs peuvent être trafiqués pour remplir cette fonction. Une part importante des fréquences mentionnées auparavant (18 kHz – 24 kHz, pour être précis) est inaudible par l’oreille humaine. Cette qualité peut être exploitée de bien des façons. Chez vous, par exemple, on peut s’en servir pour activer une enceinte intelligente.

Plus pertinent dans ce cas, quelqu’un peut infecter un ordinateur avec un malware qui chiffre les informations de la cible et se transmet par ultrasons. Ce dernier est, à son tour, récupéré par un dispositif infecté qui se trouve à proximité (un smartphone, par exemple) et transféré au monde extérieur. Les chercheurs ont découvert d’autres méthodes qui exploitent le son émis par le système de ventilation et le disque dur de l’ordinateur.

Électromagnétisme

N’oubliez pas la bonne vieille méthode de l’électromagnétisme. Le courant électrique crée un champ électromagnétique qui peut être intercepté puis reconverti en signal électrique. En contrôlant le courant, vous pouvez contrôler ce champ. Forts de cette connaissance, les cybercriminels peuvent utiliser un malware pour envoyer une séquence de signaux à l’écran et transformer le câble du moniteur en une sorte d’antenne. En manipulant le nombre et la fréquence d’octets envoyés, ils peuvent provoquer des ondes radio qu’un récepteur FM peut détecter. Mesdames et messieurs, voici le modus operandi du malware AirHopper.

Une autre méthode utilise le malware GSMem pour exploiter les ondes produites par le bus mémoire de l’ordinateur. Tout comme AirHopper, le malware envoie un certain nombre de zéros et d’uns dans le bus, ce qui provoque certaines variations dans son rayonnement électromagnétique. Ces variations peuvent être utilisées pour coder et récupérer des informations, grâce un téléphone portable quelconque qui fonctionne sur la bande de fréquences GSM, UMTS ou LTE (même s’il n’est pas équipé d’une radio).

Le principe général est clair : presque n’importe quel composant d’un ordinateur peut être utilisé comme antenne. Une autre recherche mentionne certaines méthodes qui exploitent les radiations du bus USB, de l’interface GPIO et des câbles d’alimentation pour transmettre des données.

Magnétisme

Un des aspects intéressants des méthodes qui reposent sur le magnétisme est que, dans certains cas, elles fonctionnent même avec une cage de Faraday, qui bloque les ondes électromagnétiques et est donc considérée comme une protection très fiable.

L’utilisation du magnétisme pour procéder à l’exfiltration tire profit des ondes électromagnétiques à haute fréquence générées par le processeur puisqu’elles s’infiltrent à travers une enveloppe métallique. Cette radiation, par exemple, explique tout simplement pourquoi une boussole fonctionne dans une cage de Faraday. Les chercheurs ont découvert qu’ils pouvaient contrôler le champs magnétique en manipulant la charge du cœur du processeur à l’aide d’un logiciel. Ils n’ont eu qu’à placer un récepteur près de la cage : l’équipe de Guri parle d’une distance de 1,5 mètre. Pour recevoir les données, les chercheurs ont utilisé un capteur magnétique connecté au port série d’un ordinateur voisin.

Optique

N’importe quel ordinateur, même s’il est en air gap, est équipé de LED. Si le cybercriminel utilise un malware pour contrôler les clignotements, il a alors accès aux secrets stockés dans le dispositif isolé.

Ces données peuvent notamment être capturées par une caméra de surveillance qui se trouve dans la pièce. LED-it-GO et xLED fonctionnent de cette façon. Quant à aIR-Jumper, les caméras peuvent être utilisées comme mécanisme d’infiltration et d’exfiltration. Elles peuvent émettre et capturer des rayonnements infrarouges que l’œil humain en peut pas percevoir.

Thermodynamique

La chaleur est un autre élément inattendu utilisé pour transmettre les données d’un système isolé. L’air à l’intérieur d’un ordinateur est chauffé par le processeur, la carte vidéo, le disque dur et de nombreux périphériques (il serait plus facile de faire la liste des éléments qui ne génèrent pas de chaleur). Les ordinateurs sont également équipés de sondes thermiques pour éviter qu’il ne chauffe trop.

Si un ordinateur en air gap est contrôlé par un malware pour modifier la température, un autre dispositif en ligne peut consigner les changements, les convertir en informations intelligibles et envoyer les données. Pour que les ordinateurs puissent communiquer entre eux à l’aide d’ondes thermiques, ils doivent être assez proches (pas plus de 40 centimètres). BitWhisper illustre cette méthode à la perfection.

Ondes sismiques

Les chercheurs ont étudié un dernier type d’ondes quant à la transmission de données : les vibrations. Là encore, le malware manipule la vitesse des ventilateurs de l’ordinateur mais, dans ce cas, il chiffre les informations prises pour cibles en vibrations, et non en sons. L’application de l’accéléromètre, installée sur le smartphone posé sur la même surface que l’ordinateur, capture les ondes.

L’inconvénient de cette méthode est le débit très lent de cette transmission de données fiable (environ 0,5 bps). Il faut compter plusieurs jours pour transférer quelques kilo-octets. Pourtant, si le cybercriminel n’est pas pressé, cette méthode est parfaitement faisable.

Devrions-nous nous inquiéter ?

Tout d’abord, la bonne nouvelle. Les méthodes mentionnées ci-dessus et utilisées pour voler des données sont très complexes. Il est peu probable que quelqu’un s’en serve pour obtenir vos relevés de comptes ou votre base de données clients. En revanche, si les données avec lesquelles vous travaillez peuvent intéresser les services de renseignements étrangers ou les espions industriels, vous devriez au moins savoir que le danger existe.

Comment se protéger

Une façon simple mais efficace permettant d’empêcher le vol d’informations classées consiste à interdire tout dispositif externe, y compris les téléphones portables, au sein des installations de l’entreprise. Si cela est impossible, ou si vous voulez mettre en place d’autres mesures de sécurité, voici quelques conseils :

  • Délimitez les installations qui abritent l’ordinateur en air gap et maintenez une certaine distance entre chaque dispositif (on pourrait dire qu’il s’agit d’une distanciation sociale technologique) ;
  • Protégez les installations ou installez l’ordinateur dans une cage de Faraday (en pensant toutefois au magnétisme, comme nous l’avons expliqué ci-dessus) ;
  • Mesurez vous-mêmes les ondes magnétiques de l’ordinateur et vérifiez qu’il n’y ait pas d’anomalie ;
  • Limitez, ou interdisez, l’utilisation de haut-parleurs ;
  • Désactivez l’équipement audio de chaque ordinateur ;
  • Créez des interférences de son au sein des installations où se trouve l’ordinateur en air gap ;
  • Limitez la fonction infrarouge des caméras de surveillance (ce qui réduit malheureusement leur efficacité dans l’obscurité) ;
  • Réduisez la visibilité LED (utilisez du ruban adhésif, déconnectez ou démontez) ;
  • Désactivez les ports USB de l’ordinateur en air gap pour éviter une infection.

De plus, les chercheurs ont constaté que, dans presque tous les cas, une meilleure protection au niveau logiciel améliore le niveau d’isolation. En d’autres termes, n’oubliez pas d’installer des solutions de sécurité fiables pour détecter une quelconque activité malveillante. Si une machine isolée est utilisée pour réaliser des tâches standards (un scénario assez commun dans le cas d’ordinateurs en air gap), configurez la protection du système en mode blocage par défaut, pour bloquer automatiquement l’exécution de programmes ou de processus inattendus.

Conseils