Ethernet, en cours d’émission

Pouvez-vous transmettre des données au moyen d’un réseau câblé ? Ces tests montrent que c’est possible.

Lors du Chaos Communication Congress organisé fin 2020, le chercheur et animateur radio amateur Jacek Lipkowski a présenté les résultats de tests quant à l’exfiltration des données d’un réseau isolé grâce au champ électromagnétique de fond généré par l’équipement réseau. La présentation de Lipkowski est peut-être la plus récente mais elle n’est pas unique. De nouvelles méthodes d’exfiltration des informations des ordinateurs et réseaux locaux en air gap sont régulièrement découvertes, ce qui est assez inquiétant.

N’importe quel câble peut agir comme antenne et les cybercriminels qui s’infiltrent dans un réseau isolé et exécutent le code pourraient, en théorie, utiliser cette antenne pour transmettre des données vers le monde extérieur. Il leur suffit de moduler le champ avec un logiciel.

Lipkowski a décidé de voir s’il était possible d’utiliser les réseaux Ethernet conventionnels pour transmettre des données.

Avertissement immédiat : le chercheur a principalement utilisé un Raspberry Pi 4 modèle B pour ses essais mais il est persuadé que l’on peut obtenir les mêmes résultats avec d’autres appareils connectés en Ethernet, ou du moins intégrés. Il a transmis les données en code Morse. Ce n’est pas la méthode la plus efficace mais elle est facile à mettre en place. N’importe quel radio amateur peut recevoir le signal depuis une radio puis déchiffrer le message en l’écoutant, ce qui fait du code Morse le choix parfait pour prouver l’existence de la vulnérabilité en question. L’auteur a choisi d’appeler cette méthode Etherify.

Test 1 : moduler la fréquence

Les contrôleurs modernes de l’Ethernet utilisent l’interface standard indépendante du support (MII). Le MII permet la transmission des données à diverses fréquences selon le débit : 2,5 MHz à 10 Mbit / s, 25 MHz à 100 Mbit / s et 125 MHz à 1 Gbit / s. D’autre part, les dispositifs du réseau permettent au débit de varier et d’appliquer les changements correspondants en fréquence.

Les fréquences des transmissions de données, qui génèrent plusieurs champs électromagnétiques depuis le câble, sont des « interrupteurs » qui peuvent être utilisés pour moduler le signal. Un simple texte, avec une interférence de 10 Mbit / s comme valeur 0 et une interférence de 100 Mbit / s comme valeur 1, peut instruire un contrôleur réseau pour transmettre les données à une vitesse ou à une autre, et donc générer les points et les tirets du code Morse qu’un récepteur radio peut facilement capter jusqu’à 100 mètres.

Test 2 : transférer les données

La modification de la vitesse de transfert des données n’est pas la seule méthode permettant de moduler un signal. D’autres exploitent les variations du champ de fond de l’équipement réseau en fonctionnement. Par exemple, le malware installé sur un ordinateur isolé peut utiliser la fonctionnalité standard de l’interconnexion de réseaux pour vérifier l’intégrité de la connexion (ping-f) et charger les données sur le canal. Les interruptions et les reprises de transfert s’entendront jusqu’à 30 mètres.

Test 3 : pas besoin de câble

Ce troisième test était imprévu mais les résultats sont tout de même intéressants. Lors du premier test, Lipkowski a oublié de connecter un câble au transmetteur mais il a quand même pu écouter les modifications dans la vitesse de transmission du contrôleur des données à environ 50 mètres. Cela signifie, de manière générale, que les données peuvent être transférées depuis une machine isolée tant que la machine est équipée d’un contrôleur de réseaux, et ce même si elle n’est pas connectée à un réseau. La plupart des cartes mère modernes ont un contrôleur Ethernet.

D’autres tests

La méthode Air-Fi de transmission des données peut généralement être reproduite sur des appareils de bureautique (ordinateurs portables, routeurs, …) mais son efficacité est variable. Par exemple, les contrôleurs réseau de l’ordinateur portable que Lipkowski avait pour habitude d’utiliser, et dont il s’est servi pour le premier test, ont établi une connexion seulement quelques secondes après chaque modification dans le débit des données. L’utilisation du code Morse a considérablement réduit la transmission des données (même si le chercheur a réussi à transmettre un message simple). De plus, la distance maximum avec l’équipement dépend beaucoup des caractéristiques des modèles. Lipkowski travaille encore sur ce point.

Valeur pratique

Contrairement à ce que l’on pense, les réseaux isolés en air gap ne sont pas seulement utilisés par des laboratoires top secret et des infrastructures critiques, mais aussi par des entreprises normales qui ont souvent recours à des dispositifs isolés pour leurs modules de sécurité du hardware (gestion des clés numériques, chiffrement et déchiffrement des signatures numériques et autres besoins cryptographiques) ou leurs postes de travail isolés consacrés à cela (comme les autorités locales de certification ou autres autorités de certification). Si votre entreprise utilise quelque chose de similaire, n’oubliez pas que les informations du système en air gap peuvent éventuellement être divulguées.

Cela étant dit, Lipkowski a utilisé un récepteur USB domestique relativement bon marché. Les cybercriminels qui ont des ressources conséquentes peuvent vraisemblablement assumer un équipement plus sensible, ce qui augmenterait la zone de réception.

Quant aux mesures pratiques à adopter pour protéger votre entreprise de ces fuites, nous vous redonnons quelques conseils évidents :

  • Créez un contrôle de zonage et de périmètre. Plus le cybercriminel potentiel peut s’approcher des pièces où se trouvent les réseaux ou les dispositifs isolés, plus il est probable qu’il intercepte les signaux.
  • Utilisez du métal pour doubler toutes les pièces où se trouvent les équipements critiques afin de créer une cage de Faraday.
  • Protégez les câbles réseau. Même si ce n’est pas la solution parfaite en théorie, en protégeant vos câbles vous devriez réduire de façon significative l’espace où l’on peut percevoir les modifications des oscillations électromagnétiques. Si vous utilisez cette méthode avec celle du zonage votre système devrait être suffisamment protégé.
  • Installez des solutions pour surveiller les processus suspects dans les systèmes isolés. Après tout, les cybercriminels doivent d’abord infecter un ordinateur avant de pouvoir en extraire des données et les envoyer à l’extérieur. Avec l’aide d’un logiciel spécifique, vous pouvez garantir que les systèmes critiques sont libres de malware.
Conseils