Des chercheurs réussissent à créer un cheval de Troie « hardware »

Des chercheurs réussissent à créer un cheval de Troie « hardware »
qui échappe à toute forme de détection utilisée par les standards en cours

Récemment, les services secrets américains tiraient à boulet rouge sur les PC de Lenovo, accusant ceux-ci d’être des outils-espions ultrasophistiqués à la solde du gouvernement chinois. La firme était accusée d’avoir inséré des backdoor dans l’électronique des produits qu’elle livrait à ses consommateurs.

Des chercheurs ont remis à l’ordre du jour la question sur les chevaux de Troie niveau matériel d’une manière qui soulève de nombreuses interrogations et pourrait même susciter de la panique chez certains.

Les techniques conventionnelles d’insertion de chevaux de Troie niveau matériel passent par l’addition d’un circuit électronique intégré au sein d’un composant électronique comme les processeurs et autres.

Cependant, ces techniques sont rapidement mises en difficulté lors des inspections de routine des composants électroniques. C’est ainsi que des tests fonctionnels réalisés sur une puce permettent de détecter des défauts de fabrication, ou encore la technique de l’ «Optical-reverse ingeneering» qui permet de comparer les images obtenues de deux composants électroniques dont un étalon (libre de toute modification malicieuse) et l’autre de test (celui suspecté de contenir un circuit malicieux) par un microscope électronique à la recherche de différences.

La méthode d’insertion des chevaux de Troie des chercheurs a cette particularité qu’elle agit directement sur le dopant du silicium (abondant dans les circuits intégrés et éléments atomiques des transistors). Ce changement est tellement discret que les méthodes de détection standards ne peuvent le déceler. Il semble tout simplement inexistant.

Afin de démontrer l’efficacité de leur nouveau procédé, les chercheurs l’ont testé sur la fonctionnalité de génération des nombres aléatoires (RNG) des processeurs de type Ivy Bridge d’Intel. Ils ont réussi ainsi à diminuer la sécurité des nombres aléatoires générés (nécessaire pour la création des clés de chiffrement) par le processeur de 128 bits à n (ou n constitue un entier dont les chercheurs décident de la valeur).


Source : rapport de recherche PDF

Et vous ?

:fleche: Qu'en pensez-vous ?

Bonjour.

Mes secrets les plus intimes étant standards, si les chinois s'y intéressent je leur enverrai ma liste de connexions coquines et autres immorales (avec le classement par importance en prime), pas besoin d'un cheval de Trois hardward pour si peu.
Si j'avais des secrets d'Etat, je n'aurai pas connecté mon ultime pc au réseau, un porteur matériel ferait le pont après filtrage soigneux dans les deux sens par mes sbires payés a cet effet.
Tout ça me fait bien rire, y en a qui s'ennuient dans les labos, ils s'occupent d'un rien.
(pendant ce temps là ils disent pas du mal de leur voisin)
Cordialement
Dutilleul
(c'est pas mon vrai pseudo, il suffit de scanner ma machine vous saurez qui je suis vraiment (enfin, oui, surement, mais la liste est si longue, je sais plus moi-même))

Citation:

---

Tout ça me fait bien rire, y en a qui s'ennuient dans les labos, ils s'occupent d'un rien.

---

Vaut mieux chercher. C'est quand même important. Peut-être qu'un jour on - comprendre nous, des entreprises, les gouvernement ... - sera content de l'avoir fait !

Ceci dit, on est condamné à accorder une confiance aveugle aux composants si on ne les produit pas nous même et chez nous.

Citation:

---

Envoyé par dutilleul

Si j'avais des secrets d'Etat, je n'aurai pas connecté mon ultime pc au réseau, un porteur matériel ferait le pont après filtrage soigneux dans les deux sens par mes sbires payés a cet effet.
Tout ça me fait bien rire, y en a qui s'ennuient dans les labos, ils s'occupent d'un rien.

---

Et toi tu me fait bien rire, l'espionage/contre espionage sont des chose sérieuse, c'est pas parce que les gouvernement actuelle espionne tous le monde sans distinction que la capacité a espionner ou les investissement fait dans ce domaine sont inutile.

Bonsoir a tous.

En fait c'est le matin.
Ce qui me fait rire, c'est cette paranoïa d'espionite.
Tout le monde espionne tout le monde, et tout le monde croit qu'il a des secrets intéressants. Mais les secrets intéressants sont rares, et tout ceux qui s'engoissent ont en fait rien a cacher de bien critique.
Sur les secrets sérieux, il est sur que le réseau est pas bien fiable et la seule parade vraiment efficace est de ne pas être connecté.
Reste les vieux moyens de communications qui ne consistent pas en une multitude de copies accessibles a tout un chacun, si tant est qu'un vrai secret dusse être communiqué ce qui en soit est un oxymoron sévère.
bon, j'aime pas qu'on lise mon courrier, mais vu ce qu'il contient, je vois pas ce que les espions vont en tirer. (a part des crises de rire)
concernant les secrets industriels, il suffit pas de lire les rapports d'une entreprise pour savoir copier un produit.
Ayant publié des brevets (c'est la loi) j'ai produit des objets qui ont étés copiés.
Les copieurs sont venus m'insulter sur un salon industriel car leur copie illégale ne fonctionnait pas si bien que mes fabrications. MDR.
il suffit pas d'espionner, faut le savoir faire, le travail journalier qui transforme les documents en produits réels.
Evidement, si on se repose sur un savoir non évolutif (si on travaille pas les améliorations) on se trouve un jour dépassé. Mais le savoir faire industriel est un état de la technique, ce que l'un fait d'autres peuvent le faire.
Pour les secrets politiques, ce sont des secrets de polichinel, et celui qui a la plus grosse (bombe) est assuré de triompher quelque soit la protection des secrets.
Bon, je suis un peu amer ce matin, une mauvaise nuit...

cordialement
Dutilleul.

Pour les paranos:

Citation:

---

la seule parade vraiment efficace est de ne pas être connecté.

---

Mais bon un jours il arriverons a faire un cheval de Troie « hardware » avec transmition wifi! :marteau:

@dutilleul

Citation:

---

Les copieurs sont venus m'insulter sur un salon industriel car leur copie illégale ne fonctionnait pas si bien que mes fabrications.

---

C'est pas ca qu'on appel des petits c*n? :mouarf:
Pour satisfaire ma curiosité, tu fabriquais quoi?

Salut

Les curieux me font ressortir une ancienne vie.(j'en ai plusieurs)
Je fabriquai des freins pour les motos et les voiturettes sans permis. Les copieurs de l'industrie automobiles étaient tailleurs d'engrenages a Suresnes. Beaucoup plus riches que moi mais probablement moins futés, ils ont disparu avant moi de l'industrie.
Après une longue période trouble, je me suis converti dans l'informatique (création de sites) mais la faiblesse des factures et l'ampleur du travail m'on fait renoncer a une activité passionnante mais peu rentable.
Désormais et depuis pas mal d'années je fais rien, il suffit de se contenter d'un revenu aussi faible sans travailler. J'ai du temps libre pour sortir en boite et venir remplir les files des forums de mes réflexions toujours extrémistes . Contre tout ce qui est pour, contre tout ce qui est contre, ce doit être ma devise .
Voila pour apaiser votre soif de savoir (bien légitime vu mon importance ... :ccool:)

A +
Dutilleul.

Citation:

---

Beaucoup plus riches que moi mais probablement moins futés, ils ont disparu avant moi de l'industrie.

---

et oui, sans un minimum d'intellect
on arrive pas à grand chose, j'espère qu'il on apprit la leçons : :lol:

C'est vrai que pour le web, il y a pas mal de concurrence. Surtout que certaine boite se serve que de template / cms / framwork, vas faire comprendre au client qu'il te faut 60 heures pour lui faire un site unique personnaliser optimiser pour le SEO...
Parce qu'en partant d'une page blanche pour le code et le graphique c'est carencent autre que de bidouiller les moteurs de template (style smarty). Car j'en est vu des pas doué qui font n'importe quoi (est vas y que je te met es positon absolu partout, et quand c'est trop galère on raconte on client que c'est pas possible blabla, et le client, dans la majeure parti des cas, il ne juge que le design et le reste....)

A bientot dutilleul : )

bon bhen... je vais éteindre l'ordi... comme ça je suis en sécurité !

Dois-je débranché la prise ou ça a aussi été bidouillé pour nous faire croire qu'il est éteint ?? :mrgreen:

Citation:

---

Envoyé par Shuty

bon bhen... je vais éteindre l'ordi... comme ça je suis en sécurité !

Dois-je débranché la prise ou ça a aussi été bidouillé pour nous faire croire qu'il est éteint ?? :mrgreen:

---

Oui, car on peut utiliser la fonction WakeOnBoard pour démarrer ta machine à distance, même si elle est éteinte ...

Salut a tous.

Pour la sécurité , inutile d'éteindre votre ordi, car ça sert toujours (j'admire Tina Turner 24/24 a donfe c'est bon pour ma ligne)
La prise réseau est le point critique, d'un geste élégant et sobre on fait sauter la liaison avec cet univers hostile, rien de bien sorcier.

A+
Garou Dutilleul dit "le passe muraille".

Ne vous inquiétez pas ! Le document est une tentative d'intimidation industrielle aux concurrents chinois.

A+
Pothon

Y'en a vraiment qui ne voient pas plus loin que le bout de leur nez ...
Bien évidemment c'est pas la correspondance de Mme Michu qui intéresse les industriels encore moins la vie privée de M. Dutilleul. Mais pourquoi croyez vous que Apple et consort aient inventé les AppStores et pourquoi croyez vous que l'on vous incite de plus en plus à utiliser des services en ligne. Pour pouvoir faire des stats et des analyses sur le volume.
Si un fabricant espionne les utilisateurs de ses matériels à l'échelle d'un pays ça lui fournit des statistiques intéressantes sur les usages, qui derrière, lui donneront des opportunités pour développer des solutions (hard ou soft) concurrentielles. Les enjeux économiques sont énormes.

@ lezaben +1
comme toute c'est carte de 'fidélité' que l'on voit des petites (ou grosse) boutiques...

Citation:

---

Pour la sécurité , inutile d'éteindre votre ordi, car ça sert toujours (j'admire Tina Turner 24/24 a donfe c'est bon pour ma ligne)
La prise réseau est le point critique, d'un geste élégant et sobre on fait sauter la liaison avec cet univers hostile, rien de bien sorcier.

---

Tu n'as pas de soucis à te faire dutilleul, si les espions écoutent ta carte son, s'est eux qui occuperont la prise direct! :mouarf:

je suis d'accord avec toi et j'ai avec toi ce point commun que, si des espions peu avisés s’enquerraient de mes données personnelles, ils feraient aussi bien de me les demander gentiment, et moi aussi je leur file illico mes listes de courses, devis de prestations de dépannage et autres informations fiscales ou bancaires (peut-être, pris de pitié, auront-ils la bonté de me faire un virement en constatant la profondeur abyssale de mon découvert ?).

Mais, Dutilleul, tu oublies un truc, qui A.M.H.A. est essentiel: le principe ! Oui, enfin, moi j'en ai, et notamment celui de penser que ma liberté, ma vie privée, et celles des autres, sont sacrées ! Et de me rappeler qu'il n'y a pas si longtemps, (hier, à l'échelle de l'Univers), des gens se sont battus pour obtenir un minimum de ces 2 droits, et qu'il n'est pas question que de pauvres types trop curieux du FBI, de la NSA, du KGB ou de je ne sais quel service pseudo secret s'arrogent le droit de piétiner les miens (de droits).

Tout ça pour dire que plus il y aura de chercheurs non militaires, voire si possible, du monde de l'open-source, pour rechercher des failles et des parades, mieux on sera capables de se protéger des pauvres types aux grandes oreilles sus-cités. Enfin, c'est mon avis d’extrémiste des principes inaliénables, et je le partage !
:mrgreen:

Salut tous,

Je crois que ce qui ne plait pas, c'est que la Chine pourrait bien entamer l'hégémonie nord-américaine. Car finalement, ce que j'ai lu dans cette brève est "ne faites pas confiance au Chinois". Ma conclusion est donc: cette info est de l'intox. D'autant qu'il y est dit quelaue chose comme: on peut espionner en "trafiquant les fils qui relient la puce au monde extérieur".

Par ailleurs, je vous rappelle qu'il est interdit, en France, de crypter ses messages "trop durement", et qu'il a été noté que les outils de cryptage, plus ou moins issus de monde du libre, ne fonctionne pas comme on pourrait l'espérer. [Il s'agit de dires d'un expert intervenu sur l'internaute, dont il n'y a étrangement plus de trace aujourd'hui )-: ]

Un conseil à ceux qui veulent vraiment crypter: inventez vous une méthode, et ou panachez les méthodes connues, mais surtout, n'oubliez pas le sel! Ceux qui ont vraiment besoin de crypter (genre Matra, Dassault et autre Air Bus Industrie) ont, j'espère, les moyens de se protéger du péril jaune ou bleu étoilé.

La prouesse technique est quand même blufante. Camoufler un cheval de troie... dans le silicium ... Maintenant, je ne vois pas qui pourrais utiliser cette méthode. Payer un constructeur pour mettre des chevaux de troie. Pourquoi faire? Monsieur ToutLeMonde N'a pas d'info si importante. Installer d'autres logiciels malveillants ... risque de se faire chouter par l'antivirus (en espérant en avoir un qui tiens la route)
Recueillir des stats sur les sites pour revendre au publicitaires ... c'est risqué, le jour où on prouve qu'un constructeur l'a fait, ce sera la faillite