Des chercheurs réussissent à créer un cheval de Troie « hardware »
Des chercheurs réussissent à créer un cheval de Troie « hardware »
qui échappe à toute forme de détection utilisée par les standards en cours
Récemment, les services secrets américains tiraient à boulet rouge sur les PC de Lenovo, accusant ceux-ci d’être des outils-espions ultrasophistiqués à la solde du gouvernement chinois. La firme était accusée d’avoir inséré des backdoor dans l’électronique des produits qu’elle livrait à ses consommateurs.
Des chercheurs ont remis à l’ordre du jour la question sur les chevaux de Troie niveau matériel d’une manière qui soulève de nombreuses interrogations et pourrait même susciter de la panique chez certains.
Les techniques conventionnelles d’insertion de chevaux de Troie niveau matériel passent par l’addition d’un circuit électronique intégré au sein d’un composant électronique comme les processeurs et autres.
Cependant, ces techniques sont rapidement mises en difficulté lors des inspections de routine des composants électroniques. C’est ainsi que des tests fonctionnels réalisés sur une puce permettent de détecter des défauts de fabrication, ou encore la technique de l’ «Optical-reverse ingeneering» qui permet de comparer les images obtenues de deux composants électroniques dont un étalon (libre de toute modification malicieuse) et l’autre de test (celui suspecté de contenir un circuit malicieux) par un microscope électronique à la recherche de différences.
La méthode d’insertion des chevaux de Troie des chercheurs a cette particularité qu’elle agit directement sur le dopant du silicium (abondant dans les circuits intégrés et éléments atomiques des transistors). Ce changement est tellement discret que les méthodes de détection standards ne peuvent le déceler. Il semble tout simplement inexistant.
Afin de démontrer l’efficacité de leur nouveau procédé, les chercheurs l’ont testé sur la fonctionnalité de génération des nombres aléatoires (RNG) des processeurs de type Ivy Bridge d’Intel. Ils ont réussi ainsi à diminuer la sécurité des nombres aléatoires générés (nécessaire pour la création des clés de chiffrement) par le processeur de 128 bits à n (ou n constitue un entier dont les chercheurs décident de la valeur).
Source : rapport de recherche PDF
Et vous ?
:fleche: Qu'en pensez-vous ?
a Dutilleul (mais les autres ont le droit de lire, hein :o) )
je suis d'accord avec toi et j'ai avec toi ce point commun que, si des espions peu avisés s’enquerraient de mes données personnelles, ils feraient aussi bien de me les demander gentiment, et moi aussi je leur file illico mes listes de courses, devis de prestations de dépannage et autres informations fiscales ou bancaires (peut-être, pris de pitié, auront-ils la bonté de me faire un virement en constatant la profondeur abyssale de mon découvert ?).
Mais, Dutilleul, tu oublies un truc, qui A.M.H.A. est essentiel: le principe ! Oui, enfin, moi j'en ai, et notamment celui de penser que ma liberté, ma vie privée, et celles des autres, sont sacrées ! Et de me rappeler qu'il n'y a pas si longtemps, (hier, à l'échelle de l'Univers), des gens se sont battus pour obtenir un minimum de ces 2 droits, et qu'il n'est pas question que de pauvres types trop curieux du FBI, de la NSA, du KGB ou de je ne sais quel service pseudo secret s'arrogent le droit de piétiner les miens (de droits).
Tout ça pour dire que plus il y aura de chercheurs non militaires, voire si possible, du monde de l'open-source, pour rechercher des failles et des parades, mieux on sera capables de se protéger des pauvres types aux grandes oreilles sus-cités. Enfin, c'est mon avis d’extrémiste des principes inaliénables, et je le partage !
:mrgreen: