Alors que l’on pourrait croire qu’il s’agit d’un scénario digne de James Bond, les experts en sécurité avertissent que certains sons peuvent non seulement faire tomber les ordinateurs, mais que le phénomène est beaucoup plus courant qu’on ne l’imagine.
La vulnérabilité, enregistrée sous le nom de CVE-2022-38392, indique que le vidéoclip de Rhythm Nation, le classique de Janet Jackson de 1989, peut mettre hors service un modèle spécifique de disque dur. Pourtant, la MITRE Corporation, qui aide à identifier et à classer les vulnérabilités dans les logiciels, n’a décidé que récemment de la répertorier comme un problème. Bien que le bogue ne soit pas nouveau, il a été mis en lumière après que Raymond Chen, ingénieur logiciel principal de Microsoft, a récemment publié un blog à son sujet.
« Alors que les nouveaux systèmes sortent avec des SSD, les anciens matériels et logiciels ont tendance à rester en place bien au-delà de leur âge », a déclaré Chris Goettl, vice-président de la gestion des produits de sécurité chez Ivanti, par courriel. « Microsoft ne consacrerait du temps et des efforts à [l’enregistrer comme une vulnérabilité] et à sensibiliser les clients que s’il y avait beaucoup d’appareils encore en circulation susceptibles d’être touchés et suffisamment d’occurrences pour que cela devienne préoccupant. »
Clé USB ou disque dur externe : Lequel est le meilleur ?
Un disque rayé
Le billet de blog de Chen attribue la découverte du bug à un « grand fabricant d’ordinateurs » non nommé, qui a constaté que certains de leurs ordinateurs plantaient lorsqu’ils essayaient de lire la chanson en question.
« L’une des découvertes faites au cours de l’enquête est que la lecture du clip vidéo faisait également planter les ordinateurs portables de certains de leurs concurrents », écrit Chen. « Et puis ils ont découvert quelque chose d’extrêmement bizarre : La lecture du clip vidéo sur un ordinateur portable a provoqué le crash d’un ordinateur portable situé à proximité, même si cet autre ordinateur n’était pas en train de lire la vidéo ! »
Selon Chen, la société a fini par comprendre que la chanson avait un certain son qui résonnait avec le disque dur de l’ordinateur portable concerné. La résonance est le phénomène physique qui fait que le son produit par un objet vibre à la même fréquence que la fréquence naturelle d’un autre objet, ce qui entraîne des résultats dangereux. C’est exactement pour cette raison que les soldats rompent le pas lorsqu’ils marchent sur un pont.
Dans le cas des ordinateurs qui se sont écrasés, le fabricant a découvert que les ondes sonores émises par les haut-parleurs de l’ordinateur lors de la lecture de la chanson de Janet Jackson vibraient à la même fréquence que le disque dur à l’intérieur de l’ordinateur, ce qui a provoqué sa panne.
Pour résoudre ce problème, le fabricant a conçu un moyen de détecter et de supprimer les fréquences incriminées de tout son diffusé sur l’ordinateur, écrit Chen.
Il est intéressant de noter que Chen a laissé entendre que le bogue remonte à l’époque de Windows XP. Si cette époque peut sembler révolue pour la plupart d’entre nous, du point de vue de la sécurité, elle ne semble pas très éloignée, ce qui explique que ce bogue pourrait probablement être encore très exploitable.
« Il est à la limite de l’âge de ce qui est encore exploitable sur le marché, mais certainement pas le plus ancien que nous ayons vu », a déclaré M. Goettl.
Il renvoie au catalogue des vulnérabilités connues et exploitées, tenu par la Cybersecurity and Infrastructure Agency (CISA), qui recense les bogues que l’agence pense pouvoir encore être utilisés par des pirates pour compromettre des ordinateurs. Outre les bogues les plus récents, le catalogue répertorie également des vulnérabilités remontant à 2002 et affectant les ordinateurs fonctionnant sous Windows 2000.
« CISA n’aurait pas pris le temps de mentionner une vulnérabilité aussi ancienne si elle n’était pas encore ciblée par des acteurs de la menace », a déclaré Goettl.
Une corde sensible
Roger Grimes, évangéliste de la défense axée sur les données au sein de la société de cybersécurité KnowBe4, a reconnu que si le bug en question est particulier, il n’est ni le premier, ni le seul de son genre.
Johannes Ullrich, doyen de la recherche du SANS Technology Institute, partage cet avis. Dans la lettre d’information hebdomadaire du SANS, il explique que l’impact des disques durs subissant des pertes de performance dans des environnements bruyants qui provoquent de fortes vibrations est bien documenté.
Dans son article, Chen renvoie à une vidéo de 2009 montrant un ingénieur de centre de données hurlant sur des disques durs, ce qui entraîne leur dysfonctionnement. M. Grimes ajoute que les pirates informatiques ont également utilisé le phénomène des vibrations entraînant des pannes pour mettre délibérément hors service des ordinateurs.
« La plupart des consommateurs n’auront pas à s’inquiéter de cette vulnérabilité, et si c’est le cas, quelles sont les chances que quelqu’un joue [la chanson de Janet Jackson] à proximité des appareils ? », a demandé Goettl de manière rhétorique. « Probablement assez minces, mais compte tenu du fait que la chanson était populaire en même temps que le matériel, peut-être que ce n’est pas une chance si mince après tout. »