Transférer des données sans fil à partir d’un ordinateur qui ne possède pas de carte sans fil semble être un miracle, mais présente également un défi unique en matière de sécurité.

Un chercheur en sécurité a mis en évidence un mécanisme permettant aux attaquants de voler des données à partir d’un ordinateur « air-gapped », c’est-à-dire un ordinateur complètement déconnecté du réseau et dépourvu de toute connectivité sans fil ou filaire à Internet. Baptisée SATAn, l’attaque consiste à transformer les câbles SATA (serial ATA) présents dans la plupart des ordinateurs en antenne sans fil.

« C’est un bon exemple de la nécessité d’une défense en profondeur », a déclaré Josh Lospinoso, PDG et cofondateur de Shift5, dans un courriel. « Le simple air gapping des ordinateurs n’est jamais suffisant, car des attaquants ingénieux trouveront des techniques inédites pour déjouer les techniques de défense statiques dès qu’ils disposeront du temps et des ressources nécessaires pour le faire. »

Comment éviter le piratage de votre compte Google

Déjà vu, déjà fait

Pour qu’une attaque SATAn réussisse, un attaquant doit d’abord infecter le système à écrasement d’air cible avec un logiciel malveillant qui transforme les données sensibles de l’ordinateur en signaux diffusables.

Le SATAn a été découvert par Mordechai Guri, chef de la R&D des laboratoires de recherche sur la cybersécurité de l’université Ben-Gurion en Israël. Lors d’une démonstration, Mordechai Guri a réussi à générer des signaux électromagnétiques pour transmettre des données de l’intérieur d’un système à couverture aérienne à un ordinateur situé à proximité.

Les chercheurs continuent de redécouvrir ces attaques, mais elles ne jouent pas un rôle mesurable dans les brèches actuelles…

Ray Canzanese, directeur de la recherche sur les menaces chez Netskope, affirme que l’attaque SATAn contribue à mettre en évidence le fait que la sécurité absolue n’existe pas.

« Déconnecter un ordinateur d’Internet ne fait qu’atténuer le risque que cet ordinateur soit attaqué sur Internet », a déclaré Ray Canzanese par courriel. « L’ordinateur reste vulnérable à de nombreuses autres méthodes d’attaque ».

Il a déclaré que l’attaque SATAn contribue à démontrer l’une de ces méthodes, en tirant parti du fait que divers composants à l’intérieur de l’ordinateur émettent des radiations électromagnétiques qui peuvent faire fuir des informations sensibles.

Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a toutefois souligné que les attaques telles que SATAn sont bien connues et remontent à l’époque d’avant les réseaux.

« Elles étaient connues sous le nom de TEMPEST et ont été reconnues comme une menace depuis au moins 1981, date à laquelle l’OTAN a créé une certification pour s’en protéger », a déclaré M. Ullrich par courrier électronique.

En ce qui concerne les normes TEMPEST, M. Canzanese a déclaré qu’elles prescrivaient la configuration d’un environnement pour empêcher la fuite d’informations sensibles par le biais d’émissions électromagnétiques.

Une sécurité complète

David Rickard, directeur technique pour l’Amérique du Nord de Cipher, la division cybersécurité de Prosegur, reconnaît que si SATAn présente une perspective inquiétante, cette stratégie d’attaque présente des limites pratiques qui la rendent relativement facile à surmonter.

Pour commencer, il souligne la portée des câbles SATA qui sont utilisés comme antenne, en disant que la recherche a montré que même à environ quatre pieds, les taux d’erreur de transfert sans fil sont assez importants, les portes et les murs dégradant encore la qualité de la transmission.

« Si vous hébergez des informations sensibles dans vos propres locaux, gardez-les sous clé de manière à ce qu’aucun autre ordinateur utilisant des connexions sans fil ne puisse s’approcher à moins de trois mètres de l’ordinateur hébergeant les données », a expliqué M. Rickard.

Tous nos experts soulignent également que les spécifications TEMPEST exigent l’utilisation de câbles et de boîtiers blindés, ainsi que d’autres considérations, pour s’assurer que les ordinateurs qui abritent des données sensibles n’émettent pas de données via des mécanismes aussi ingénieux.

« Le matériel conforme à TEMPEST est disponible pour le public auprès de divers fabricants et revendeurs », explique M. Rickard. « Si [vous utilisez] des ressources basées sur le cloud, renseignez-vous auprès de votre fournisseur sur leur conformité TEMPEST. »

… les efforts sont bien mieux utilisés pour se protéger contre les attaques qui comptent.

Canzanese affirme que l’attaque SATAn souligne l’importance de restreindre l’accès physique aux ordinateurs qui contiennent des données sensibles.

« S’ils sont en mesure de connecter des périphériques de stockage arbitraires, comme des clés USB, cet ordinateur peut être infecté par des logiciels malveillants », a déclaré Canzanese. « Ces mêmes dispositifs, s’ils peuvent faire l’objet d’une écriture, peuvent également être utilisés pour l’exfiltration de données. »

Rickard est d’accord, affirmant que les clés USB amovibles (et le phishing) sont des menaces d’exfiltration de données beaucoup plus importantes et plus compliquées et coûteuses à résoudre.

« De nos jours, ces attaques sont surtout théoriques, et les défenseurs ne devraient pas perdre de temps et d’argent sur ces attaques », a déclaré Ullrich. « Les chercheurs continuent de redécouvrir ces attaques, mais elles ne jouent pas un rôle mesurable dans les brèches actuelles, et les efforts sont bien mieux employés à se protéger contre les attaques qui comptent. »