attaque

Comment éviter une attaque de type Evil-Maid

Protégez les ordinateurs de votre entreprise des accès physiques non autorisés.

Bender the Robot
7 Déc 2020

Une attaque de type Evil-Maid (femme de chambre malveillante) est le type d’attaque le plus primitif qui soit mais c’est aussi un des plus déplaisants. Guettant sa proie (un dispositif laissé sans attention), la « femme de chambre malveillante » essaie de voler des informations confidentielles ou d’installer un spyware ou un outil d’accès à distance pour entrer dans le réseau de l’entreprise. Cet article vous explique comment vous protéger des intrus.

Exemple classique

En décembre 2007, une délégation du ministère américain du commerce s’est rendue à Pékin pour parler de la stratégie commune à adopter pour lutter contre le piratage. Pourtant, une fois de retour aux États-Unis, l’ordinateur portable du secrétaire avait un spyware qui n’a pu être installé que par quelqu’un ayant eu physiquement accès au dispositif. Le propriétaire de l’ordinateur portable a dit qu’il n’avait jamais quitté l’appareil tout au long des négociations et qu’il ne l’avait laissé dans sa chambre d’hôtel (sûre) que pendant les heures de repas au rez-de-chaussée.

En théorie, un professionnel n’a besoin que de 3-4 minutes pour infecter un dispositif mais ce genre de choses a tendance à se produire lorsque l’ordinateur est laissé sans surveillance et est déverrouillé (ou non protégé par un mot de passe). Même lorsque les mesures de base en sécurité sont suivies à la lettre, l’attaque de la femme de chambre malveillante a des chances de réussir.

Comment les cybercriminels accèdent aux informations

De nombreuses méthodes permettent d’obtenir des informations sensibles. Elles dépendent de l’âge de l’ordinateur et du logiciel de sécurité installé. Par exemple, les vieux dispositifs incompatibles avec le Secure Boot peuvent être redémarrés depuis des dispositifs externes et se retrouvent démunis face aux attaques de type Evil-Maid. Le Secure Boot est généralement activé par défaut sur les ordinateurs modernes.

Les ports de communication compatibles avec l’échange rapide de données ou l’interaction directe avec la mémoire du dispositif peuvent être utilisés comme syphons pour extraire les données personnelles ou les secrets industriels. Thunderbolt, par exemple, a une vitesse de transmission des données très rapide grâce à un accès direct à la mémoire, ce qui ouvre la porte aux attaques de type Evil-Maid.

Au printemps dernier, l’expert en sécurité informatique Björn Ruytenberg a expliqué comment pirater n’importe quel Thunderbolt actif dans un appareil Windows ou Linux, même s’il est verrouillé et que les connexions de dispositifs inconnus via les ports externes sont désactivées. La méthode de Ruytenberg, surnommée Thunderspy, part du principe que l’escroc peut accéder physiquement au dispositif et qu’il doit réécrire le micrologiciel du contrôleur.

Avec Thunderspy, le cybercriminel doit reprogrammer la puce Thunderbolt avec sa version du micrologiciel. Le nouveau programme désactive la protection intégrée et le pirate informatique prend totalement le contrôle du dispositif.

En théorie, la politique de protection DMA du noyau corrige la vulnérabilité mais certains utilisateurs ne s’en servent pas (et ceux avec un système d’exploitation antérieur à Windows 10 ne peuvent pas l’installer). Pourtant, Intel a annoncé une solution au problème : Thunderbolt 4.

Une bonne vieille clé USB peut aussi être un vecteur d’attaque. Un dispositif miniature, inséré dans un port USB, s’active lorsque l’utilisateur allume l’ordinateur et lance l’attaque BadUSB.

Si les informations que le cybercriminel cherche à obtenir ont beaucoup de valeur, il peut même essayer d’accomplir une tâche particulièrement difficile et coûteuse : voler le dispositif et le remplacer par un autre similaire qui contient déjà le spyware. Il est vrai que la victime va vite s’en rendre compte mais en général cela n’arrive qu’après qu’elle ait saisi le mot de passe. Heureusement, comme nous l’avons souligné, il est à la fois compliqué et coûteux de mettre en place un tel échange.

Comment réduire les risques

La façon la plus simple et la plus efficace pour vous protéger des attaques de type Evil-Maid est de conserver votre ordinateur dans un endroit sûr auquel personne n’a accès, à part vous. Par exemple, dans la mesure du possible, évitez de le laisser dans votre chambre d’hôtel. En revanche, si vos employés doivent faire un voyage d’affaires et emprunter les ordinateurs portables de l’entreprise, voici quelques conseils à suivre pour réduire les risques :

Utilisez des ordinateurs portables temporaires qui n’ont pas accès aux systèmes critiques de l’entreprise ou aux données professionnelles, puis formatez le disque dur et réinstallez le système d’exploitation après chaque voyage.
Demandez à vos employés d’éteindre les ordinateurs portables dès qu’ils s’en éloignent.
Chiffrez les disques durs de tous les ordinateurs qui quittent les bureaux de l’entreprise.
Installez des solutions de sécurité qui bloquent tout trafic sortant suspect.
Vérifiez que votre solution de sécurité détecte les attaques BadUSB (ce qui est le cas de Kaspersky Endpoint Security for Business)
Mettez à jour dès que possible tous les programmes, surtout le système d’exploitation.
Limitez l’accès direct à la mémoire du dispositif via les ports FireWire, Thunderbolt, PCI et PCI Express sur tous les dispositifs qui le permettent.

Escroquerie royale : les escrocs passent à l’action sur Fortnite

Le jeu de tirs en ligne en battle royale attire les virtuoses mais aussi les escrocs en tout genre. Comment ne pas tomber dans le piège ?

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Comment éviter une attaque de type Evil-Maid

Exemple classique

Comment les cybercriminels accèdent aux informations

Comment réduire les risques

Quel est l’avenir du Bitcoin après le crash de Mt. Gox ?

Le site du magazine Forbes piraté par l’Armée électronique syrienne

Escroquerie royale : les escrocs passent à l’action sur Fortnite

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky