La technologie produit de l’information à foison, et il est possible d’en trouver là où on ne s’y attend pas, comme sur la surface d’une ampoule sur laquelle on peut écouter à distance (avec un équipement approprié) les sons produits dans une pièce.
Sachant cela, vous ne sortez qu’avec votre Nokia 3310 et vous n’imaginez pas acquérir un smartphone. Votre PC de référence est au fond de votre garage et il n’a jamais vu que le CD d’installation de Windows 95. Le clavier est branché sur le port PS/2 et vous avez fait fondre avec le chalumeau de cuisine tous les ports USB et autres slots PCMCIA pour que personne ne connecte quoi que ce soit de douteux sur votre PC. Il n’a pas d’interface réseau non plus : trop dangereux. Vous pensez que votre ordinateur est en sécurité, mais l’est-il vraiment ?
Sécurité critique et isolement
L’air gap consiste à isoler physiquement un système (en général un système informatique critique) de façon à empêcher toute interaction automatique avec l’extérieur. Aujourd’hui, les cas d’usage de systèmes non connectés sont rares, mais il y en a. Imaginez le système de lancement de missiles nucléaires connecté sur internet : ça ferait désordre !
On peut aussi facilement penser que certaines informations très secrètes doivent être protégées des yeux trop curieux et des oreilles indiscrètes. Il y a également certaines installations industrielles comme les fameux systèmes de contrôle et d’acquisition de données en temps réel (SCADA) qui sont (ou devraient) n’être connectés qu’avec les systèmes nécessaires à leur fonctionnement, ce qui donne d’ailleurs des sueurs froides à tous les gouvernements et industriels concernés.
Soft Tempest
En 1992, alors que j’effectuais un stage durant ma scolarité, un de mes collègues me racontait durant une pause avoir été amené à travailler près d’une base militaire, en utilisant un logiciel très particulier et spécifique créé par la société qui l’employait. Un logiciel unique, donc.
Au cours d’une journée « portes ouvertes », la base présentait son activité et ce collègue déambulait près d’un camion quand il aperçut sur un moniteur (à l’intérieur de ce camion) une séquence familière d’enchaînements d’écrans issus de son logiciel ! Comme il semblait impossible que quelqu’un d’autre en dispose, il est entré et a demandé au militaire ce que c’était.
Il venait d’assister à une démonstration de l’effet Tempest consistant à capturer à distance les émanations électromagnétiques d’un écran (à tube cathodique à l’époque) pour en restituer le rendu. Il s’agissait donc bien d’une copie des écrans du logiciel, que le système d’écoute avait comme « filmé » mais sans caméra et sans accès direct.
Il est souvent admis que l’air gap est une mesure efficace contre l’espionnage, mais il y a et il y aura toujours des petits malins qui n’auront de cesse que de chercher et, pire, de trouver des méthodes pour sortir de l’information par tous les moyens possibles, y compris les plus saugrenus.
L’université israélienne de Ben Gourion nous propose régulièrement les trouvailles de ses chercheurs, et on voit que l’imagination ne leur fait pas défaut.
L’imagination au pouvoir
Comme il est dit dans l’introduction, tout peut servir de moyen de communication d’une manière ou d’une autre : vibrations, lumière, magnétisme, mouvement… tout est imaginable.
Une des plus ingénieuses a été appelée Led-it-Go (il y a même une vidéo youtube). L’idée est simple : utiliser la lampe LED du disque dur pour transmettre de l’information. Pour cela, il faut néanmoins réussir à implanter au préalable le programme malveillant chargé de contrôler la LED (ce qui n’est pas le plus simple, mais c'est aussi l'une des fonctionnalités de la nouvelle version de la clef USB Rubber Ducky) et de disposer d’un accès visuel sur la machine.
Pour l’accès visuel, on peut utiliser une caméra externe, pirater le circuit de surveillance interne, envoyer un drone… Une fois ces conditions obtenues, le tour est joué. La vitesse de transmission dépendra de la qualité du récepteur. En émission, les chercheurs ont pu atteindre 4 000 bit/s. Avantage : pas de matériel à implanter sur la cible, tout est déjà sur place !
À défaut de LED de disque dur, on peut aussi utiliser les LED du clavier, mais à une vitesse moindre et surtout c’est beaucoup plus voyant (car il est normal de voir la LED du disque dur clignoter très souvent, pas pour le clavier). Petit bonus : cette LED peut être contrôlée sans privilège administrateur, à un niveau utilisateur (et non kernel) de l’OS.
Pas de LED ? Ecoutez plutôt !
Si aucune LED n’est disponible, ne vous inquiétez pas, on a encore plein de solutions en stock. Attaquons-nous alors au ventirad du processeur, ou sinon au ventilateur de l’alimentation. Ils tournent en général de façon assez régulière, et on pourra jouer sur la fréquence pour diffuser des informations de façon très discrète.
Cela a déjà été étudié, cette méthode ayant été appelée Fansmitter. Notez qu’il n’est nul besoin d’un haut-parleur connecté à la machine, seul le bruit du ventilateur suffit à produire un son qu’il faut ensuite capter (pas trop loin, car la portée est forcément limitée). Pour interpréter le signal correctement, il est nécessaire d’utiliser une modulation de fréquence, plusieurs méthodes sont possibles.
Exemple de modulation de la vitesse d’un ventilateur (source : Fansmitter)
Tout ce qui est source de bruit peut aussi être utilisé : le grattage de votre disque dur peut être contrôlé de la même manière.
Avec un haut-parleur, c’est bien sûr beaucoup plus facile d’échanger via des ondes sonores, en utilisant la méthode MOSQUITO décrite ici. Rappelons-nous qu’un micro et un haut-parleur sont conceptuellement identiques : un micro peut s’utiliser en haut-parleur et réciproquement. La discrétion voudra qu’on reste dans le spectre des ultrasons, inaudibles pour l’être humain.
Exemple de protocole de communication entre deux machines ayant chacune un haut-parleur (source : Mosquito).
Petit perfectionnement : on peut imaginer faire dialoguer une machine isolée en air gap avec un autre machine légitime à proximité, connectée à internet, qu’il « suffirait » de pirater pour servir de relai.
Cette méthode peut sembler un tantinet triviale ou capilotractée, mais elle présente l’énorme avantage de permettre un échange entre les machines, et donc potentiellement d’envoyer des commandes (et plus si affinité) vers la machine ciblée.
Autre méthode pour faire du bruit : l’alimentation électrique. Elle peut aussi être contrôlée pour la transformer en haut-parleur très basique, mais suffisant pour envoyer quelques bits par secondes.
Vous aviez prévu le coup ?
Votre machine tourne avec un SSD et une architecture fanless, sans ventilateur ? Ne vous croyez pas tiré d’affaire. Si par malheur une carte graphique est installée, la méthode AirHopper vous permettra d’envoyer des signaux électromagnétiques.
La vitesse de transmission n’est cependant pas élevée, au mieux quelques dizaines de bits par seconde, et sur une distance courte (la vitesse chute rapidement avec la distance, 7 mètres semble un maximum). Il vaut mieux un système connecté en HDMI pour une meilleure qualité de signal, mais du VGA pour une plus grande distance d’émission…
Puissance du signal (RSSI) en fonction de la distance (source AirHopper)
Autre problème à résoudre : l’émission sera visible sur un écran (forcément, si vous trafiquez la carte graphique), ce qui amoindrit la discrétion de cette méthode, à moins de désactiver cet écran ou vérifier qu’il est en mode sleep.
Dans la partie démonstration de l’étude, les chercheurs ont utilisé un smartphone disposant d’une radio FM comme moyen de réception : un bon James Bond prendra donc soin de viser et pirater celui d’un utilisateur proche physiquement de la machine cible à écouter.
Plus lent : il est aussi possible d’émettre à partir du CPU, les méthodes MAGNETO et ODINI volent même les données stockées dans des systèmes protégés par une cage de Faraday, censées protéger d’attaques de type Tempest ! Le secret : utiliser des ondes magnétiques qui, aux fréquences basses, se propagent à travers l’air ambiant (dans le cas d’ODINI) ou le capteur magnétique d’un smartphone proche de la cible (pour MAGNETO).
Toujours dans le magnétique, on peut aussi utiliser un connecteur USB non modifié (USBee), à l’inverse du redoutable COTTONMOUTH de la NSA, beaucoup plus efficace car il permet aussi la réception de données, mais beaucoup plus cher et surtout nécessitant du matériel modifié, qu’il faut implanter au préalable.
Enfin, en prenant la main sur le contrôleur de mémoire (Air-Fi), il sera même possible sans aucun matériel spécifique d’émettre dans le spectre du Wifi, ce qui pourra être écouté par n’importe quel périphérique standard. Néanmoins, cette attaque est arrêtée par les mécanismes tels que les brouilleurs, les cages de Faraday, et plus généralement par toute protection contre les attaques Tempest.
Un peu de réseau ? Un peu de câbles ?
Prenons maintenant le cas d’un routeur branché sur la machine, pour réaliser un réseau interne fermé pour votre système critique. Parfait : là aussi on peut se servir des LED qui illuminent ce matériel pour transmettre des données visuellement, ou même se servir des câbles Ethernet en guide d’émetteur radio (LANTENNA).
Vous vous en doutez, si un câble Ethernet peut servir d’antenne radio, d’autres types de câbles sont également utilisables, tels que les câbles SATA, dernières victimes en date de nos amis chercheurs (méthode SATAn).
Et si votre machine fonctionne à l’électricité, vous avez forcément un câble d’alimentation. Si par malheur le pirate peut connecter une sonde dessus, pour mesurer les caractéristiques du courant, une variation provoquée et contrôlée de la consommation électrique pourra faire fuiter de l’information par ce canal jusqu’à 1000 bits/s dans certains cas (PowerHammer) !
Attention : il ne s’agit pas du principe du CPL mais bel et bien de la modulation de la puissance électrique pour transmettre des données.
C’est chaud tout ça !
Vous ne croyez pas si bien dire : même les variations de températures peuvent servir ! Il est courant d’avoir des capteurs de température dans un système informatique moderne, et donc il est théoriquement possible de faire dialoguer deux machines proches mais non reliées entre elles, en captant les variantes de chaleur contrôlées sur l’autre machine.
Mais la vitesse de transmission restera très faible (de 1 à 8 bits par heure, le temps que la machine émettrice change suffisamment de température) et ne sera réalisable qu’à très courte distance entre les machines (moins de 40 centimètres).
Les écueils (car il y en a heureusement)
Le premier défi pour attaquer une machine isolée n’est pas le plus simple, bien au contraire, c’est même le plus difficile : il faut un accès physique initial à la machine, car il faudra implanter le malware (au minimum) et parfois introduire le composant émetteur, selon l’attaque.
Comme la machine cible n’est connectée à rien, on ne peut pas compter sur internet pour propager un malware ou un ver réseau. Il reste pour cela l’intrusion physique (temporaire), la manipulation des composants avant assemblage (modification du firmware, par exemple), ou l’action d’un utilisateur insuffisamment vigilant (clé USB, acquisition de données via un support contaminé, etc.). C’est un vrai travail d’espion…
Second défi : quand il y a besoin d’un capteur, il faut réussir à le placer à une distance adéquate, plus ou moins proche selon la force du signal qui, dans la plupart des cas, est assez faible, et surtout sans que ce capteur ne soit détecté et détruit.
Enfin, il existe des parades (qu’on appelle des contre-mesures) à la plupart de ces attaques, comme la cage de Faraday ou une distance d’air gap suffisamment importante pour affaiblir les signaux envoyés. Mais cela impose une bonne connaissance des risques : il faut connaître le danger et savoir qu’il existe pour l’éviter.
Que retenir de tout cela ?
En tant que particulier, il est peu probable que vous soyez concerné : il y a tant d’autres moyens d’accéder à votre système d’information personnel grâce à la magie d’internet et des systèmes connectés.
Mais pour les organismes sensibles, c’est une autre histoire. Comme me disait un ancien responsable d’un CERT : « Les espions espionnent. Etonnant, non ? »
Sauf qu’aujourd’hui cela passe par l’informatique, et la ruse et l’habileté des espions modernes sont désormais tournées vers cet univers technologique qui permettra à leur imagination de s’épanouir tant les possibilités sont nombreuses.
