Des chercheurs israéliens ont utilisé de la RAM comme petit émetteur Wi-Fi pour divulguer des données sensibles à partir de systèmes isolés.
Plus tôt cette année, un groupe de chercheurs israéliens en sécurité à l’Université Ben Gourion a révélé de nouvelles façons dont les pirates peuvent exploiter des systèmes physiquement isolés pour divulguer des informations sensibles. L’une impliquait de manipuler la luminosité de l’écran pour alterner entre deux niveaux pour l’envoi de zéros et de uns, l’autre consistait à régler soigneusement la vitesse des ventilateurs de refroidissement à l’intérieur d’un PC pour créer de minuscules vibrations qui pourraient être captées par l’accéléromètre sur un smartphone.
Dans l’intervalle, l’équipe dirigée par Mordechai Guri a trouvé une autre technique excentrique appelée AIR-FI, qui est la dernière d’une série de dizaines de projets au cours des cinq dernières années. Fait intéressant, AIR-FI utilise la mémoire système, en particulier le bus DDR SDRAM, pour générer des signaux Wi-Fi 2,4 GHz. Des informations sensibles peuvent ensuite être divulguées à des taux allant jusqu’à 100 bits par seconde vers des récepteurs Wi-Fi dans un rayon de quelques mètres.
Globalement, l’attaque peut faire en sorte qu’un système isolé des réseaux publics puisse diffuser des signaux Wi-Fi vers des appareils compromis à proximité tels que des ordinateurs portables, des smartphones, des montres intelligentes et d’autres appareils IoT. Ce qui est inquiétant à propos de cette méthode, c’est de savoir comment le code nécessaire pour exfiltrer les informations sensibles ne nécessite aucun privilège spécial pour être efficace, ce qui signifie que les attaquants n’auraient pas besoin d’utiliser des méthodes compliquées pour accéder aux pilotes du noyau ou aux ressources matérielles. Le code fonctionnera également dans un environnement de machine virtuelle.
Pour effectuer une attaque AIR-FI, le pirate devrait soit intercepter le système cible pour le charger avec un logiciel malveillant, soit le compromettre pendant le processus de fabrication. Les chercheurs soulignent dans l’article que le moyen le plus simple de le faire est d’utiliser une clé USB, de la même manière que le ver Stuxnet a fait son chemin dans les systèmes de contrôle de supervision et d’acquisition de données (SCADA) dans les installations d’enrichissement d’uranium en Iran.
La bonne nouvelle est que certains systèmes à espacement d’air sont installés dans des endroits protégés dans une certaine mesure contre TEMPEST (matériaux électroniques de télécommunications protégés contre les transmissions parasites émanant). En ce qui concerne les contre-mesures contre l’AIR-FI, les chercheurs suggèrent que les organisations déploient le brouillage du signal via un équipement matériel spécialisé ou une solution logicielle qui effectue des charges de travail de mémoire aléatoire ou de processeur.
