L’air gap, qui consiste à isoler des machines sensibles en les coupant de toute connexion réseau ou Internet, peut être franchi par différentes techniques. Des chercheurs ont fait un pas supplémentaire dans cette voie en proposant un outil capable d’écouter les sons émis par le disque dur, avec récupération d’informations sensibles à la clé.
Si une machine comporte des données si sensibles qu’il ne faut même plus prendre le risque de la relier au réseau local d’une structure (sans parler d’Internet), elle peut être placée derrière un air gap. Signifiant littéralement « trou d’air », la technique est simple : la machine est seule, dans un coin ou une salle qui lui est réservée, sans autre accès possible que physique.
Bien qu’il s’agisse d’une technique efficace, elle n’est pas infaillible. On a pu voir hier notamment comment le malware ProjectSauron, également appelé Remsec, s’occupait de ce genre de cas. Tablant sur le fait qu’une machine derrière un air gap permet toujours un accès physique, il met ainsi de côté les données glanées dans une zone cachée du stockage. Quand une clé USB spécialement conçue est branchée, les informations y sont déplacées.
DiskFiltration : la signature sonore trahit certaines actions
Des chercheurs de l’université israélienne de Ben-Gurion ont de leur côté travaillé sur un autre mécanisme : celui des bruits émis par le disque dur quand il travaille. Le signal acoustique change en fonction des actions menées par le disque, tout simplement parce que l’actionneur – le bras mécanique portant la tête de lecture/écriture – se déplace très rapidement sur les plateaux pour accéder aux données.
L’idée en elle-même n’est pas nouvelle, mais le disque dur émet de nombreux bruits. Dès lors, comment reconnaître quand ils correspondent à des opérations intéressantes pour l’éventuel pirate ? Il faut disposer d’un accès physique à la machine pour déclencher des opérations qui vont faire bouger l’actionneur de manière spécifique. À partir de là, on peut l’amener à accéder aux données visées, et si elles ne s’affichent pas à l’écran, le disque dur va les traiter et émettre une signature sonore.
Du côté des récepteurs, un simple smartphone peut suffire. Comme indiqué dans les résultats de ces travaux, la transmission du signal équivaut à 180 bits par minute. Ce qui n’a évidemment rien de rapide, mais permet de transmettre une clé de 4 096 bits en approximativement 25 minutes. Il faut être relativement près de la machine, la portée maximale étant de 6 pieds, soit environ 1,83 mètre. L’ensemble de la technique a été nommé DiskFiltration.
Réduire les bruits ne sert à rien
La méthode n’est pas simple à mettre en place, mais elle prouve que l’exfiltration des données depuis une machine protégée par un air gap n’est pas impossible. Elle montre également que les méthodes utilisées peuvent être affinées pour être plus efficaces, comme ici avec la phase de calibrage qui renseigne le programme d’écoute sur le fonctionnement du disque. Même la présence d’un logiciel de réduction du bruit des disques durs, s’il est réglé sur ses paramètres par défaut, n’empêche pas la récupération des données.
Mordechai Guri, qui dirige l’équipe de chercheurs, a ainsi indiqué à Ars Technica : « Une isolation air gap est considérée comme une mesure de sécurité hermétique pouvant prévenir les fuites de données. Des données confidentielles, des informations personnelles, des rapports financiers et d’autres types de données sensibles sont stockées dans des réseaux isolés. Nous montrons qu’en dépit de ce degré d’isolation, les données peuvent être exfiltrées (par exemple vers un smartphone proche) ».
Aucune sécurité n'est parfaite
La méthode n’est évidemment pas parfaite, mais aucune ne l’est. Le processus d’écoute peut être gêné par certains types d’opération réalisées par le disque dur, ce que les chercheurs ne peuvent empêcher. Dans ce cas, la signature sonore s’encombre d’artefacts qui rendent la récupération des données plus aléatoire. D’après les chercheurs, la méthode est cependant efficace dans la majorité des tests, prouvant sa dangerosité. Il s’agit d’ailleurs de la même équipe qui avait créé d’autres techniques, notamment AirHopper qui change une carte vidéo en émetteur FM.
Les travaux de l’université pourraient bien sûr être détournés et donner des idées à certains pirates. Cependant, les chercheurs veulent attirer l’attention sur les dangers de considérer une solution particulière comme la réponse unique à tous les soucis de sécurité. Aucune solution seule ne peut garantir une protection totale, c’est bien un ensemble de règles qui est à privilégier.
Une technique inefficace avec les SSD
Dans le cas d’une machine protégée par un air gap, le contrôle de l’accès à la machine est par exemple primordial. Si l’ordinateur contient des données à ce point sensible, tout le monde ne devrait pas y avoir accès. On peut également désactiver les ports USB pour éviter qu’une clé y soit branchée. Mais surtout, dans le cadre d’une attaque de type DiskFiltration, la parade est simple : remplacer le disque dur par un SSD, quand bien sûr la chose est faisable. Beaucoup de machines de ce type sont en effet très vieilles.
