mercredi 29 octobre 2014

L'air-gap ou (l'état de) l'art des cyberattaques

La cybersécurité n'est peut-être pas une science mais c'est sans doute un art, en particulier si l'on se place du côté de l'attaquant. Attaquant pour qui tout objet informatique, simple ou complexe, sur la route (1), dans le ciel (2), en orbite (3) voire sous les océans (4) est une cible potentielle par goût du jeu, du défi technique ou de la malveillance tactique. L'affaire Stuxnet (5) qui a souligné combien l'air-gap, c'est à dire l'utilisation d'une architecture informatique non-connectée (à Internet et/ou un autre réseau interne) et protégée à ses frontières, n'était que le symbole complexe et évolué d'un vrai-faux sentiment de sécurité. Et qu'un adversaire sérieux, c'est à dire dont le commanditaire disposait de ressources financières et techniques très importantes, pouvait se donner le temps d'atteindre une cible extrêmement protégée. A la mesure des moyens mis en œuvre pour protéger un bien dont la haute valeur est proportionnelle aux mesures de défense passives et actives mises en œuvre.

Maintenant, imaginons un bâtiment gouvernemental dans un pays moderne selon les critères communément admis. Bien protégé, il faut montrer patte blanche pour y pénétrer, les ordinateurs sont durcis et connectés à un réseau respectant l'état de l'art d'un système d'information sécurisé (6) et évidemment déconnecté d'Internet, les droits des utilisateurs sont à "moindres privilèges" et les ressources accessibles le sont en fonction du seul besoin d'en connaître. En bref, il est très difficile sinon extrêmement improbable pour un attaquant de pénétrer ce réseau. Prenons maintenant un drone Phantom 2 Vision Quadcopter et, après quelques essais, adjoignons-lui un laser bleu (7) pointé vers une imprimante multi-fonctions de type HP Officet Jet Pro 8500 à plusieurs centaines de mètres. Le laser envoie des instructions au travers d'impulsions binaires décodées par l'imprimante, instructions qui sont en réalité un code malveillant modifiant certaines fonctionnalités. Contrôlée à distance, l'imprimante est capable d'utiliser la lumière de son scanner en impulsions binaires captées par la caméra du drone. Il ne reste ensuite qu'à décoder les données envoyées pour les assembler et les transformer en information exploitable. 

Science-fiction ? Pas vraiment puisqu'il s'agit d'une présentation effectuée lors de la dernière Black Hat Europe par Adi Shamir (8), l'un des pères de l'algorithme de chiffrement asymétrique RSA (9). Au-delà du respect que peut provoquer une telle ingéniosité, que peut nous inspirer une telle cyberattaque (potentielle) ? Tout d'abord, si la problématique air-gap semble relativement récente (10), elle est en réalité plus ancienne et la protection que la coupure physique semble apporter a toujours été battue en brèche par les experts qui n'y voient qu'une "illusion" (11) dangereuse. Relevons ensuite que les attaques constatées sont, pour le moment, inexistantes (12). Car, comme le dit Bruce Schneier (13) "les air-gaps peuvent être conceptuellement simples mais difficiles à maintenir en pratique". Qu'ensuite la tendance d'une augmentation des "preuves de concept" et autres travaux de recherche sur les cyberattaques concentrés sur les air-gaps devrait se confirmer à l'avenir. Et que les Israéliens semblent plutôt en pointe sur ce sujet (14). Enfin, sur cette typologie d'attaques mais pas seulement, les attaquants ont un coup d'avance, peut-être plus. Voilà qui devrait en conforter certains (15) et en inquiéter d'autres (16). Ou l'inverse !


(9) Ronald Rivest Adi Shamir Leonard Adleman
(12) médiatiquement parlant ce qui ne veut pas dire qu'elles ne sont pas utilisées...avec un certain succès puisque non-détectées donc non-révélées (?)
(13) https://www.schneier.com/blog/archives/2013/10/air_gaps.html qui propose aussi un ensemble de mesures destinées à réaliser un "bon" air-gap

Aucun commentaire: