2 pièce(s) jointe(s)
Les câbles électriques peuvent être utilisés pour exfiltrer des données d'un ordinateur
Les câbles électriques peuvent être utilisés pour exfiltrer des données d'un ordinateur
une démonstration menée par des chercheurs israéliens
Une équipe de chercheurs israéliens de l'université Ben-Gurion du Negev a fourni dans un article une implémentation et une évaluation d'une nouvelle forme d'attaque basée sur la compromission des lignes électriques pour exfiltrer les données d'un ordinateur protégé par un air gap : il s'agit du PowerHammer. Un air gap est une technique, qui consiste à protéger des machines critiques dans un réseau en les déconnectant complètement d’autres réseaux moins sécurisés.
Le code malveillant (PowerHammer) exécuté sur un ordinateur compromis peut contrôler la consommation énergétique du système en régulant intentionnellement l'utilisation du processeur afin de provoquer des pics de consommation électrique. Les données sont modulées, codées au format binaire puis conduites et propagées à travers les lignes électriques. La technique est connue sous le nom de modulation de fréquence (frequency shift keying en anglais) et permet de transmettre les données à quiconque écoute les variations de fréquence sur l’alimentation.
Selon les chercheurs, il existe deux versions de PowerHammer. Line level power-hammering : ici, l'attaquant cible les lignes électriques à domicile qui sont directement attachées à la prise électrique. Et Phase level power-hammering : ici, l'attaquant cible les lignes électriques en phase dans le panneau de service électrique principal. Dans les deux versions, l'attaquant mesure l'émission conduite puis décode les données exfiltrées.
Pour l'expérience, Mordechai, Boris, Dima, et Yuval ont implémenté un code malveillant fonctionnant tel que décrit précédemment. Les résultats montrent que les données binaires peuvent être secrètement exfiltrées à partir d'ordinateurs isolés à travers les lignes électriques. Avec un débit binaire de 1000 bit/s pour Line level power-hammering et 10 bit/s pour Phase level power-hammering.
Pour contrecarrer ce type d'attaque, les chercheurs proposent plusieurs approches. Surveillance de la ligne d'alimentation : surveiller le canal afin de détecter la présence d'une communication secrète. Filtrage des signaux : les filtres des lignes électriques visent à limiter les fuites de conduction et le bruit de rayonnement sur les lignes électriques. Brouillage de signal et la détection basée sur l'hôte : dans cette approche, les systèmes de détection d'intrusion basés sur l'hôte (HIDSs) et les systèmes de prévention des intrusions basés sur l'hôte (HIPS) suivent en permanence les activités des processus en cours afin de détecter les comportements suspects.
Source : PowerHammer
Et vous ?
:fleche: Que pensez-vous de cette nouvelle forme d'attaque ?
:fleche: Connaissez-vous un moyen pour contourner cette attaque ?
bande passante / signal bruit
Comme l'a fait remarquer transgohan il y a d'autres machines qui vont aussi émettre des messages (intentionnels ou pas).
Comme l'a fait remarquer grunk, il faudrait déjà arriver à infecter la machine.
La technologie des alimentations à découpage rend la chose à mon avis inutilisable en situation réelle.
Le courant secteur alternatif est redressé et filtré par un condensateur de forte valeur qui lisse les appels de courant du hacheur situé derrière.
La bande passante d'un tel système est de l'ordre de la seconde ou davantage.
Le claim de 10 bit/s me semble totalement exagéré, même à supposer qu'on pose le dispositif de mesure juste au cul du PC. Je ne parle pas du satané Linky qui m'a niqué toute ma bouffe dans le congel ;-)
Cette communication étant en boucle ouverte (sans voix de retour) elle ne permettra au mieux que d'envoyer quelques octets ... sans aucune garantie autre qu'un CRC pour jeter ceux qui sont pourris.
Quel est l'intérêt de ce genre d'information partielle avec une volumétrie ridicule ? cela ne permettrait même pas d'envoyer le mot de passe d'un keylogger.