Air-Fi : nouvelle méthode pour voler les données d’un ordinateur isolé

Pour que les données restent confidentielles et que les cybercriminels ne puissent pas y accéder, les entreprises les stockent sur des appareils qui ne sont pas connectés à un réseau local, sans parler d’Internet. Ces ordinateurs sont en air gap. Aussi sûr que ça puisse paraître, infecter un dispositif ou un segment de réseau de ce genre n’est pas si compliqué que cela. Souvenez-vous de ce qui s’est passé avec Stuxnet. Il est beaucoup plus difficile d’extraire les informations obtenues.

Les cybercriminels ont alors recours à plusieurs méthodes astucieuses et la spécialité de Mordechai Guri, chercheur à l’université Ben Gourion du Néguev, consiste à les détecter. Le Dr Guri n’est évidemment pas le seul mais il a découvert des dizaines de techniques au cours de ces dernières années.

Une nouvelle étude décrit une méthode qui permet d’extraire les données d’un ordinateur isolé grâce à la technologie Wi-Fi (d’où le nom Air-Fi).

Fonctionnement de l’Air-Fi

La beauté de l’Air-Fi est qu’il fonctionne même si l’ordinateur pris pour cible n’est pas équipé du Wi-Fi. En effet, cette attaque se sert d’un malware déjà implanté dans le dispositif et capable d’exploiter les barrettes de mémoire vive DDR SDRAM pour générer un champ électromagnétique à une fréquence de 2,4 GHz. Le malware peut coder les données nécessaires en variations de ce champ et tout dispositif équipé d’un récepteur Wi-Fi, y compris un autre appareil compromis, peut détecter et intercepter les signaux générés. Cet autre appareil pourrait être un simple smartphone ou une ampoule intelligente.

La méthode Air-Fi est particulièrement inquiétante en termes de cybersécurité. Inutile d’avoir les droits d’administrateur de l’ordinateur isolé. Un compte utilisateur quelconque peut faire l’affaire. De plus, l’utilisation d’une machine virtuelle ne fournit aucune protection puisqu’elle a accès aux modules de mémoire.

Vitesse et portée de la transmission des données

Les chercheurs ont envoyé des données sans distorsion dans un rayon de 2 à 3 mètres (jusqu’à 8 mètres dans un cas) et à une vitesse de 100 bits par seconde, selon le hardware de l’ordinateur infecté et le type de récepteur. Comme avec la plupart des méthodes similaires, le processus est assez lent. Par exemple, il faut 466 heures pour transférer un fichier de 20 Mo. Cela étant dit, les paroles de « Jingle Bells » de 1300 octets ont été transférées en 90 secondes. Dans ce contexte, il semble tout à fait probable que l’on puisse utiliser cette technique pour voler un identifiant et un mot de passe.

Comment lutter contre l’Air-Fi

L’utilisation de l’Air-Fi implique l’émission d’un champ électromagnétique. Vous pouvez faire face à cette méthode en suivant les conseils suivants :

• N’autorisez jamais les appareils équipés de Wi-Fi près des systèmes isolés.
• Surveillez les systèmes isolés pour détecter les processus suspects.
• Mettez l’ordinateur dans une cage de Faraday.
• Interdisez tous les dispositifs externes, y compris les téléphones fixes avec des touches, au sein de l’entreprise.

Ce dernier point est le plus radical mais est aussi le plus efficace.

Comme toutes les autres méthodes, l’Air-Fi est trop lent et difficile pour être utilisé par n’importe quel cybercriminel au quotidien. Cette technique pourrait toutefois intéresser les espions industriels et les acteurs gouvernementaux puisqu’elle fonctionne sans les droits d’administrateur. Le rapport complet de l’étude (en anglais) apporte plus de renseignements sur cette méthode.