{"id":16092,"date":"2020-12-07T16:23:57","date_gmt":"2020-12-07T16:23:57","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16092"},"modified":"2020-12-07T16:23:57","modified_gmt":"2020-12-07T16:23:57","slug":"evil-maid-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/evil-maid-attack\/16092\/","title":{"rendered":"Comment \u00e9viter une attaque de type Evil-Maid"},"content":{"rendered":"

Une attaque de type Evil-Maid<\/a> (femme de chambre malveillante) est le type d\u2019attaque le plus primitif qui soit mais c\u2019est aussi un des plus d\u00e9plaisants. Guettant sa proie (un dispositif laiss\u00e9 sans attention), la \u00ab\u00a0femme de chambre malveillante\u00a0\u00bb essaie de voler des informations confidentielles ou d\u2019installer un spyware ou un outil d\u2019acc\u00e8s \u00e0 distance pour entrer dans le r\u00e9seau de l\u2019entreprise. Cet article vous explique comment vous prot\u00e9ger des intrus.<\/p>\n

Exemple classique<\/h2>\n

En d\u00e9cembre 2007, une d\u00e9l\u00e9gation du minist\u00e8re am\u00e9ricain du commerce s\u2019est rendue \u00e0 P\u00e9kin pour parler de la strat\u00e9gie commune \u00e0 adopter pour lutter contre le piratage. Pourtant, une fois de retour aux \u00c9tats-Unis, l\u2019ordinateur portable du secr\u00e9taire avait un spyware<\/a> qui n\u2019a pu \u00eatre install\u00e9 que par quelqu\u2019un ayant eu physiquement acc\u00e8s au dispositif. Le propri\u00e9taire de l\u2019ordinateur portable a dit qu\u2019il n\u2019avait jamais quitt\u00e9 l\u2019appareil tout au long des n\u00e9gociations et qu\u2019il ne l\u2019avait laiss\u00e9 dans sa chambre d\u2019h\u00f4tel (s\u00fbre) que pendant les heures de repas au rez-de-chauss\u00e9e.<\/p>\n

En th\u00e9orie, un professionnel n\u2019a besoin que de 3-4 minutes pour infecter un dispositif mais ce genre de choses a tendance \u00e0 se produire lorsque l\u2019ordinateur est laiss\u00e9 sans surveillance et est d\u00e9verrouill\u00e9 (ou non prot\u00e9g\u00e9 par un mot de passe). M\u00eame lorsque les mesures de base en s\u00e9curit\u00e9 sont suivies \u00e0 la lettre, l\u2019attaque de la femme de chambre malveillante a des chances de r\u00e9ussir.<\/p>\n

Comment les cybercriminels acc\u00e8dent aux informations<\/h2>\n

De nombreuses m\u00e9thodes permettent d\u2019obtenir des informations sensibles. Elles d\u00e9pendent de l\u2019\u00e2ge de l\u2019ordinateur et du logiciel de s\u00e9curit\u00e9 install\u00e9. Par exemple, les vieux dispositifs incompatibles avec le Secure Boot peuvent \u00eatre red\u00e9marr\u00e9s depuis des dispositifs externes et se retrouvent d\u00e9munis face aux attaques de type Evil-Maid. Le Secure Boot est g\u00e9n\u00e9ralement activ\u00e9 par d\u00e9faut sur les ordinateurs modernes.<\/p>\n

Les ports de communication compatibles avec l\u2019\u00e9change rapide de donn\u00e9es ou l\u2019interaction directe avec la m\u00e9moire du dispositif peuvent \u00eatre utilis\u00e9s comme syphons pour extraire les donn\u00e9es personnelles ou les secrets industriels. Thunderbolt, par exemple, a une vitesse de transmission des donn\u00e9es tr\u00e8s rapide gr\u00e2ce \u00e0 un acc\u00e8s direct \u00e0 la m\u00e9moire, ce qui ouvre la porte aux attaques de type Evil-Maid.<\/p>\n

Au printemps dernier, l\u2019expert en s\u00e9curit\u00e9 informatique Bj\u00f6rn Ruytenberg a expliqu\u00e9 comment pirater n\u2019importe quel Thunderbolt actif dans un appareil Windows ou Linux<\/a>, m\u00eame s\u2019il est verrouill\u00e9 et que les connexions de dispositifs inconnus via les ports externes sont d\u00e9sactiv\u00e9es. La m\u00e9thode de Ruytenberg, surnomm\u00e9e Thunderspy, part du principe que l\u2019escroc peut acc\u00e9der physiquement au dispositif et qu\u2019il doit r\u00e9\u00e9crire le micrologiciel du contr\u00f4leur.<\/p>\n

Avec Thunderspy, le cybercriminel doit reprogrammer la puce Thunderbolt avec sa version du micrologiciel. Le nouveau programme d\u00e9sactive la protection int\u00e9gr\u00e9e et le pirate informatique prend totalement le contr\u00f4le du dispositif.<\/p>\n

En th\u00e9orie, la politique de protection DMA du noyau corrige la vuln\u00e9rabilit\u00e9 mais certains utilisateurs ne s\u2019en servent pas (et ceux avec un syst\u00e8me d\u2019exploitation ant\u00e9rieur \u00e0 Windows 10 ne peuvent pas l\u2019installer). Pourtant, Intel a annonc\u00e9 une solution au probl\u00e8me\u00a0: Thunderbolt 4.<\/p>\n

Une bonne vieille cl\u00e9 USB peut aussi \u00eatre un vecteur d\u2019attaque. Un dispositif miniature, ins\u00e9r\u00e9 dans un port USB, s\u2019active lorsque l\u2019utilisateur allume l\u2019ordinateur et lance l\u2019attaque BadUSB.<\/p>\n

Si les informations que le cybercriminel cherche \u00e0 obtenir ont beaucoup de valeur, il peut m\u00eame essayer d\u2019accomplir une t\u00e2che particuli\u00e8rement difficile et co\u00fbteuse\u00a0: voler le dispositif et le remplacer par un autre similaire qui contient d\u00e9j\u00e0 le spyware. Il est vrai que la victime va vite s\u2019en rendre compte mais en g\u00e9n\u00e9ral cela n\u2019arrive qu\u2019apr\u00e8s qu\u2019elle ait saisi le mot de passe. Heureusement, comme nous l\u2019avons soulign\u00e9, il est \u00e0 la fois compliqu\u00e9 et co\u00fbteux de mettre en place un tel \u00e9change.<\/p>\n

Comment r\u00e9duire les risques<\/h2>\n

La fa\u00e7on la plus simple et la plus efficace pour vous prot\u00e9ger des attaques de type Evil-Maid est de conserver votre ordinateur dans un endroit s\u00fbr auquel personne n\u2019a acc\u00e8s, \u00e0 part vous. Par exemple, dans la mesure du possible, \u00e9vitez de le laisser dans votre chambre d\u2019h\u00f4tel. En revanche, si vos employ\u00e9s doivent faire un voyage d\u2019affaires et emprunter les ordinateurs portables de l\u2019entreprise, voici quelques conseils \u00e0 suivre pour r\u00e9duire les risques\u00a0:<\/p>\n