Des chercheurs du Centre de Recherche en Cyber sécurité de l’Université Ben-Gourion du Néguev (BGU) en Israël, ont découvert que pratiquement tout téléphone portable infecté par un code malveillant peut utiliser les fréquences GSM de téléphone pour voler des informations critiques issus d’ordinateurs infectés « air-gapped » (1).
Les ordinateurs « air-gapped » sont isolés – séparés logiquement et physiquement des réseaux publics ostensiblement – pour qu’ils ne puissent pas être piratés via Internet ou dans les réseaux d’entreprise.
Dirigée par Mordechai Guri, étudiant doctorant à la BGU, l’équipe de recherche a découvert comment transformer un ordinateur « air-gapped » ordinaire en une antenne de transmission cellulaire en utilisant un logiciel qui modifie le firmware du CPU. Le logiciel malicieux GSMem utilise les ondes électromagnétiques des téléphones pour recevoir et exfiltrer de petits bits de données, tels que les clés et mots de passe de sécurité.
Dudu Mimran, directeur de la technologie au Centre de recherche en cybersécurité de la BGU : « Notre logiciel malveillant GSMem sur Windows et Linux a une petite empreinte informatique, ce qui le rend très difficile à détecter. En outre, avec un récepteur dédié, nous avons réussi à exfiltrer des données jusqu’à 30 mètres à distance de l’ordinateur « .
Selon Mordechai Guri, «Beaucoup d’entreprises limitent déjà l’utilisation des téléphones cellulaires ou limitent leurs capacités (pas de caméra, de vidéo ou de Wi-Fi sur les téléphones cellulaires) autour des ordinateurs « air-gapped ». Toutefois, les téléphones sont souvent autrement autorisés dans les environs des ordinateurs « air gapped » que l’on pense être sécurisé. Puisque les ordinateurs modernes émettent une certaine rayonnement électromagnétique (EMR) sur différentes longueurs d’onde et forces, et que les téléphones cellulaires les reçoivent facilement, ceci crée une opportunité pour les pirates ».
Les chercheurs recommandent des contre-mesures pour atténuer le problème en utilisant l’approche dite «Zone»: des zones définies autour de ces ordinateurs où les téléphones mobiles et les appareils simples sont interdits. L’Isolation de murs de séparation peut contribuer à atténuer la croissance de la distance de réception de signal si un récepteur matériel dédié est utilisé. En outre, la détection d’anomalie et l’analyse dynamique comportementale peuvent aider.
Ceci est la troisième cyber menace que l’équipe de la BGU a découvert liée à ce qui est censé être des ordinateurs sécurisés « air-gapped ». L’année dernière, les chercheurs ont créé une méthode appelée Air-Hopper, qui utilise des ondes FM pour l’exfiltration de données. Une autre initiative de recherche, BitWhisper, a démontré un canal de communication bidirectionnel secret entre deux gros ordinateurs « air-gapped » proches utilisant la chaleur pour communiquer.
En plus du chercheur Mordechai Guri, les autres chercheurs de la BGU comprennent Assaf Kachlon, Ofer Hasson, Gabi Kedma, Yisroel Mirsky, et le professeur Yuval Elovici, directeur du Centre de recherche en Cyber Sécurité de la BGU, membre du Département des Systèmes d’Information de l’Université Ben Gourion en Ingénierie et directeur de Deutsche Telekom Laboratories.
Mordechai Guri présentera ses conclusions le mois prochain lors de la conférence Usenix Security ’15 le 14 Août à 14h00 à l’hôtel Hyatt Regency Capitol Hill, 400 New Jersey Ave. NW, Washington
1) En sécurité informatique, un air gap1 aussi appelé air wall est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique. Cette mesure, lorsqu’elle est correctement implantée, rend toute tentative de piratage à distance impossible, quelle que soit sa sophistication
http://aabgu.org/bgu-researchers-find-that-cellphones-can-steal-data/