L’air gap, qui consiste à isoler des machines sensibles en les coupant de toute connexion réseau ou Internet, peut être franchi par différentes techniques. Des chercheurs ont fait un pas supplémentaire dans cette voie en proposant un outil capable d’écouter les sons émis par le disque dur, avec récupération d’informations sensibles à la clé.
Si une machine comporte des données si sensibles qu’il ne faut même plus prendre le risque de la relier au réseau local d’une structure (sans parler d’Internet), elle peut être placée derrière un air gap. Signifiant littéralement « trou d’air », la technique est simple : la machine est seule, dans un coin ou une salle qui lui est réservée, sans autre accès possible que physique.
Bien qu’il s’agisse d’une technique efficace, elle n’est pas infaillible. On a pu voir hier notamment comment le malware ProjectSauron, également appelé Remsec, s’occupait de ce genre de cas. Tablant sur le fait qu’une machine derrière un air gap permet toujours un accès physique, il met ainsi de côté les données glanées dans une zone cachée du stockage. Quand une clé USB spécialement conçue est branchée, les informations y sont déplacées.
DiskFiltration : la signature sonore trahit certaines actions
Des chercheurs de l’université israélienne de Ben-Gurion ont de leur côté travaillé sur un autre mécanisme : celui des bruits émis par le disque dur quand il travaille. Le signal acoustique change en fonction des actions menées par le disque, tout simplement parce que l’actionneur – le bras mécanique portant la tête de lecture/écriture – se déplace très rapidement sur les plateaux pour accéder aux données.
L’idée en elle-même n’est pas nouvelle, mais le disque dur émet de nombreux bruits. Dès lors, comment reconnaître quand ils correspondent à des opérations intéressantes pour l’éventuel pirate ? Il faut disposer d’un accès physique à la machine pour déclencher des opérations qui vont faire bouger l’actionneur de manière spécifique. À partir de là, on peut l’amener à accéder aux données visées, et si elles ne s’affichent pas à l’écran, le disque dur va les traiter et émettre une signature sonore.
Du côté des récepteurs, un simple smartphone peut suffire. Comme indiqué dans les résultats de ces travaux, la transmission du signal équivaut à 180 bits par minute. Ce qui n’a évidemment rien de rapide, mais permet de transmettre une clé de 4 096 bits en approximativement 25 minutes. Il faut être relativement près de la machine, la portée maximale étant de 6 pieds, soit environ 1,83 mètre. L’ensemble de la technique a été nommé DiskFiltration.
Réduire les bruits ne sert à rien
La méthode n’est pas simple à mettre en place, mais elle prouve que l’exfiltration des données depuis une machine protégée par un air gap n’est pas impossible. Elle montre également que les méthodes utilisées peuvent être affinées pour être plus efficaces, comme ici avec la phase de calibrage qui renseigne le programme d’écoute sur le fonctionnement du disque. Même la présence d’un logiciel de réduction du bruit des disques durs, s’il est réglé sur ses paramètres par défaut, n’empêche pas la récupération des données.
Mordechai Guri, qui dirige l’équipe de chercheurs, a ainsi indiqué à Ars Technica : « Une isolation air gap est considérée comme une mesure de sécurité hermétique pouvant prévenir les fuites de données. Des données confidentielles, des informations personnelles, des rapports financiers et d’autres types de données sensibles sont stockées dans des réseaux isolés. Nous montrons qu’en dépit de ce degré d’isolation, les données peuvent être exfiltrées (par exemple vers un smartphone proche) ».
Aucune sécurité n'est parfaite
La méthode n’est évidemment pas parfaite, mais aucune ne l’est. Le processus d’écoute peut être gêné par certains types d’opération réalisées par le disque dur, ce que les chercheurs ne peuvent empêcher. Dans ce cas, la signature sonore s’encombre d’artefacts qui rendent la récupération des données plus aléatoire. D’après les chercheurs, la méthode est cependant efficace dans la majorité des tests, prouvant sa dangerosité. Il s’agit d’ailleurs de la même équipe qui avait créé d’autres techniques, notamment AirHopper qui change une carte vidéo en émetteur FM.
Les travaux de l’université pourraient bien sûr être détournés et donner des idées à certains pirates. Cependant, les chercheurs veulent attirer l’attention sur les dangers de considérer une solution particulière comme la réponse unique à tous les soucis de sécurité. Aucune solution seule ne peut garantir une protection totale, c’est bien un ensemble de règles qui est à privilégier.
Une technique inefficace avec les SSD
Dans le cas d’une machine protégée par un air gap, le contrôle de l’accès à la machine est par exemple primordial. Si l’ordinateur contient des données à ce point sensible, tout le monde ne devrait pas y avoir accès. On peut également désactiver les ports USB pour éviter qu’une clé y soit branchée. Mais surtout, dans le cadre d’une attaque de type DiskFiltration, la parade est simple : remplacer le disque dur par un SSD, quand bien sûr la chose est faisable. Beaucoup de machines de ce type sont en effet très vieilles.
Commentaires (55)
#1
En même temps, c’est possible de remplacer un vieux DD par un SSD, ca existe toujours les adaptateurs IDE-SATA :)
En tous cas, articles interessant, qui fait le lien avec celui sur l’écoute des composants dans une machine.
Y’avait aussi eu un truc sur l’écoute des frappes sur les claviers aussi il me semble.
#2
#3
Un beau POC mais la portée est quand même assez spécifique, puis faut que le serveur en question n’a qu’un seul disque dur, pas de SSD, puis un accès physique à la machine.
Mais ça reste étonnant les nombreux moyens directs ou indirects de récupérer des données, je me souviens d’un film où un mec écoutait un réseau via un tor autour d’un câble réseau donc sans le couper, mais j’ai jamais su si c’était réellement de la SF ou si c’était faisable.
#4
Le seul avantage c’est qu’il suffit d’un smartphone normal pour récupérer les données. Mais si on fait se genre d’attaque on doit pouvoir aussi se fournir en matériel de réception dédié.
Tant qu’a avoir pu installer un soft sur la machine cible + faire une phase de calibration on peut imaginer mieux que se servir du disque dur comme émetteur sonore.
Exemples :
[edit] c’est mentionné dans la publi
#5
Pour clarifier, le principe est d’utiliser le disque dur comme générateur de bruit pour extraire des données, un peu comme d’utiliser des lecteur de disquette pour faire de la musique mais en plus discret (https://www.youtube.com/watch?v=yHJOz_y9rZE ).
#6
Les SSD chantent aussi.
#7
sinon avec un fond sonore on peut aussi masquer le bruit
#8
Y a tout de même beaucoup de “chercheurs en sécurité” qui veulent juste faire parler d’eux. " />
Y a pas longtemps, c’était un “pixel clignotant”. Je suppose que le prochain ce sera un “pulse électrique”…
#9
Que l’on puisse déduire les mouvements du bras du disque en fonction du bruit émis (durée, intensité, etc), je veux bien, mais de là a en déduire les données lues, j’avoue qu’il me manque un ou deux wagons là … Oo
#10
#11
#12
ça montre surtout que la notion de sécurité en informatique se mesurera encore et toujours face à la volonté adverse de la contourner. Il n’y a pas de fin à ce jeu là.
#13
non c’est pas ça. Relire le post #5
en fait les données sont ciblées et le disque emet un bruit pour retranscrire ces données (sous la forme d’un message codé en qque sorte).
Il ne s’agit pas d’écouter le disque et d’en déduire toutes les données qui sont lues
edit: grilled
#14
#15
Ce n’est pas monsieur Ripley qui identifie cette méthode d’usage du marteau dans une de ses aventures ?
#16
on pourrait imaginer une parade assez simple avec un générateur de bruit aléatoire autour du disque suffisamment propre du bruit du disque pour rendre le filtrage entre les 2 signaux très difficile.
Mais bon, avec les SSD qui deviennent de + en + courant, c est vraiment une attaque de niche…
#17
Si on a accès physique à la machine, on peut simplement PRENDRE le disque dur, c’est plus fiable/rapide " />
#18
#19
disque cryptés, tout ca.
C est parfois mieux de mettre un mouchard pres d une machine en route/ prod que de recuperer le matos illisible.
Mais bon, on est bien d accord, tout est une gestion des risques. Celui ci semble bien minime qd les acces rà la salle des machines sont resrtreints et controlés .
#20
#21
Typo ;-) :
#22
Sinon pour les disque IDE, on peut aussi mettre de la Compact Flash via un adaptateur.
#23
Ou alors mettre la pièce dans une cage de faraday et autoriser uniquement les accès au personnel habilité…
" />
#24
en LPT1
#25
#26
#27
#28
Voilà, et encore la personne pourrait avaler ou se glisser la clé USB ou périphérique de stockage quelque part…
" />
#29
Bouton signaler " />
#30
" />
#31
“DiskFiltration : la signature sonore trahit certaines actions”
Cette phrase est vraiment trompeuse.
#32
en l’occurrence, l’action trahie est une transmission de données " />
(après oui, ça aurait mérité d’être clarifié)
#33
#34
#35
En fait, c’est justement parce que la machine n’est littéralement pas “air gap” que la méthode fonctionne " />
#36
#37
#38
Sinon, on met le serveur sous vide d’air, et adieu les bruits !
#39
Non
#40
Nexinpact fait dans l’article putaclic maintenant ?
#41
Ce qu’on fait depuis des décennies d’ailleurs. Salle machine blindée, faradisée, contrôle d’accès, pas de possibilité de brancher de périphérique… Ça ne réduit pas le risque à zéro, mais ça limite les attaques farfelues.
#42
#43
Absolument, le mieux restant d’éliminer le problème principal… L’être humain…
" />
#44
#45
Ils ont fait la même chose pour pirater le chiffrement rsa en écoutant le processeur. Comme quoi aucun cryptage n’est infaillible.
#46
gloupousti ! ce sont des gloupousti !
Il y croit vraiment l’auteur de l’article ou il le poste pour se moquer de nous ?
#47
L imagination de certaines personnes et sans limites, et tant mieux (^_^).
A quand des implants cappilaires en nanotubes pour stockes de l informations, lu directement de nos ondes cerebrales (^o^).
#48
#49
Lus par ces memes implants cappilaires, qu ils soient eux memes l interface et non une sorte de casque.
Merci pour le lien a prioris c est non unilateral si j ai bien suivi, hallucinant.
#50
Ca ne m ettonerait qu a quelques %, que ce soit deja fonctionnel, ou tres proche de l etre en effet (^.-)
#51
Question bête : au bureau, j’ai remarqué que mon écran professionnel émettait un bruit certes trop peu audible pour qu’il soit gênant, mais néanmoins perceptible, selon le type d’écran qui était affiché. (Un cadrillage à la Excel provocant un petit crissement si on avait l’oreil proche de l’écran).
Y’aurait il une faille à exploiter permettant de voir un écran grâce à son bruit ?
#52
#53
J’ai cru à une nouvelle faille Synology :)
#54
c’était en partie pour le lol, en souvenir de mes lecteurs CF externes. Si les vieux OS et vieux PC acceptent ces cartes avec ta méthode, c’est sur que c’est mieux.
#55
C’est vu comme un périphérique IDE.