Le Air Gap : solution radicale bousculée par une cybercriminalité innovante

Avec la recrudescence des cyberattaques et l’essor d’intelligences économiques agressives, certains acteurs pourraient être tentés par le air gap, méthode radicale qui vous isole de toutes connexions. Mais si la solution semble imparable, elle ne vous immunisera malheureusement pas contre la cybercriminalité. En effet, certaines méthodes très astucieuses permettent d’exfiltrer les données d’un dispositif y compris ceux en air gap comme l’a démontré un groupe de chercheurs de l’université Ben-Gurion du Néguev (Israël), dirigé par Mordechai Guri, qui s’est spécialisé dans ces méthodes de vols de données…

Par Estelle Alexandre

Des malwares déroutants

Le air gap permet, en théorie, de réduire drastiquement la surface attaquable et d’isoler les informations critiques de toute menace extérieure. Mais si un système en air gap n’a aucun moyen de se connecter à un réseau, il ne permet pas pour autant d’évincer tous les risques d’exfiltration.

« La vulnérabilité des systèmes en air gap n’a rien de nouveau : les attaques de la chaîne d’approvisionnement et les employés corrompus sont une option. Les attaques les plus simples utilisent, par exemple, une clé USB infectée. C’est l’histoire légendaire de Stuxnet… »¹ explique nt les équipes Kaspersky. Le déchiffrage de documents sur un ordinateur en air gap a en effet été rendu possible grâce au clignotement de la LED du disque dur, préalablement corrompu pour imiter le code binaire des documents contenus.

Extraire des données sans avoir recours à une connexion est aussi possible grâce à la chaleur, aux ondes magnétiques et au bruit qu’émet votre ordinateur. Si utiliser ces canaux n’est pas évident pour détourner des informations, cela reste à la portée de certains esprits brillants. Ultrasons, électromagnétisme, optique ou ondes sismiques, certains ne reculeront devant rien pour accéder à vos données les plus précieuses.

Infecter un ordinateur avec un malware qui chiffre les informations de la cible et se transmet par les ultrasons émis par l’ordinateur, son disque dur, les enceintes, les haut-parleurs, ou encore les ventilateurs n’est plus de la science fiction. Les techniques d’exfiltration varient et les chercheurs les ayant mises en lumière fascinent, autant que ces révélations inquiètent. Parmi elles, l’utilisation des cœurs de calcul du processeur pour générer des ondes magnétiques à basse fréquence dans lesquelles il est possible d’encoder des informations. Des ondes capables de traverser les cages de Faraday…². Dans d’autres cas, ce sera le rayonnement électromagnétique émis par les appareils qui pourra représenter une faille. « Le courant électrique crée un champ électromagnétique qui peut être intercepté puis reconverti en signal électrique. » ³ Ce fut notamment le cas du malware AirHopper qui, transformant le câble du moniteur en une sorte d’antenne et en manipulant le nombre et la fréquence d’octets envoyés, produisait des ondes radio qu’un capteur FM pouvait détecter. Autre possibilité, contrôler un ordinateur par un malware pour modifier la température « Les données à exfiltrer sont encodées dans des variations de température générées en manipulant CPU, carte graphique et ventilateurs et captées par le thermomètre intégré d’un ordinateur voisin. » comme dans le cas du malware BitWhisper⁴.

Des infrastructures critiques minutieusement ciblées

Santé, transport, énergie, les infrastructures critiques portent un intérêt certain au air gap, devenant de facto, la cible privilégiée des attaques complexes, pensées par des attaquants ambitieux et très motivés comme en témoigne l’attaque perpétrée par le groupe Tropic Trooper qui s’en était pris aux gouvernements taïwanais, philippin et hongkongais.

Les armées ne sont pas épargnées. L’infection en 2008 du réseau classifié d’une base militaire américaine par Agent.btz, un logiciel d’espionnage d’origine probablement russe, nous le rappelle. Les réseaux militaires classifiés sont généralement protégés par un air gap qui, dans le cas de ce logiciel espion avait été contourné au moyen d’une simple clé USB. Il aura fallu 14 mois aux militaires pour se débarrasser de ce dernier.

« Les attaquants recherchent ces environnements stratégiques et réfléchissent à leur stratégie pendant des mois, voire des années. Ils personnalisent le malware, qui n’utilisera probablement aucune interface de programmation malveillante ou ne commettra aucun comportement malveillant. Les logiciels anti-virus ont ainsi du mal à les détecter ou à les identifier. Les attaques perpétrées engendrent alors de lourds dommages. » explique Joey Chen, chercheur sur les cybermenaces pour Trend Micro à Taïwan et conférencier.

Sécuriser sa « déconnexion »

A l’imagination sans limite des hackers, les experts et entreprises du monde entier se mobilisent pour innover et apporter des réponses à la hauteur des enjeux.

Selon l’éditeur Kaspersky, dans le cas des malwares exploitant les ultrasons émis par les appareils ou le rayonnement électromagnétique, il est toujours possible d’isoler les composants ou créer des interférences. Désactiver les ports USB ou les équipements audio, masquer la LED des disques durs, utiliser des câbles correctement blindés, remplacer les disques durs standards par des disques SSD et chiffrer les données figurent sur la liste des recommandations.

Des solutions de scellement peuvent également être mises en place.

Sans oublier que l’adjonction de mesures de sécurité renforcera le niveau de protection et l’efficacité des systèmes air gap. « Installer des solutions de sécurité fiables pour détecter une quelconque activité malveillante permet d’alerter lorsqu’une machine isolée est utilisée pour réaliser des tâches standards ; un scénario assez commun dans le cas d’ordinateurs en air gap. Une configuration du système permettant de bloquer automatiquement l’exécution de programmes ou de processus inattendus sera requise. » ajoutent les équipes de Kaspersky.

Pour répondre aux attaques USB, Seclab, spécialiste de la protection des infrastructures critiques et stratégiques, innove avec son Seclab Secure Xchange USB qui n’autorise que les fichiers de confiance. « Le sens de transfert des fichiers est paramétrable, il est donc possible d’autoriser seulement le sens entrant, ce qui évite toute fuite de données. Tout ce qui entre dans le PC est vérifié de manière cryptographique, éliminant les fichiers non autorisés. La partie Command and Control se bloque aisément via le produit réseau Secalab Secure Xchange Network. » témoigne l’éditeur.

 Des alternatives au air gap

« L’utilisation d’architectures Zero Trust reste l’une des meilleures solutions pour éviter l’isolement de tous les appareils. La configuration du pare-feu et de réseau local virtuel (VLAN) pour le contrôle d’accès est également primordial. Dans certains cas, on pourrait réfléchir à des algorithmes de haute résistance pour chiffrer toutes les données sensibles » souligne Joey Chen.

Jeff Hussey, PDG de Tempered Networks, ajoute : « aujourd’hui, nous avons accès à une technologie qui nous permet de créer des air gap « virtuels » avec la possibilité d’appliquer une sécurité de niveau militaire à tous les appareils, qu’ils soient physiquement ou virtuellement connectés, mais avec une facilité transparente. Cet air gap de nouvelle génération peut combler toutes les lacunes du pare-feu tout en nous permettant de profiter de toutes les merveilles d’un environnement intelligent dans le monde IIoT (ndlr, Internet industriel des objets) »⁵.

Nul ne doute que les attaques complexes visant les infrastructures critiques vont se multiplier sur le nouveau terrain d’affrontement du cyberespace. Ce n’est qu’au prix d’une stratégie globale de sécurité alliant technologies innovantes, compétences humaines, anticipation et résilience que le air gap tiendra ses promesses comme élément clé d’une chaîne toujours perfectible.