23 mai 2016

 Il n’y a pas de sécurité unilatérale, il faut penser aux faiblesses des systèmes d’un point de vue physique et logique. L’expansion des utilisateurs itinérants et « sans fils » utilisant des devices mobiles augmente la surface d’attaque. Le défi pour les équipes sécurité est aujourd’hui de définir une politique de sécurité cohérente et d’effectuer les choix technologiques pour minimiser les risques d’une compromission.

 

Lorsque l’on parle de sécurité informatique on pense souvent à des problèmes de :

  • Droits d’accès logique : de restrictions concernant la consultation d’une ressource (répertoire, ressource web, …) en fonction du niveau d’accréditation de l’utilisateur
  • De disponibilité de l’information : assurer la redondance pour avoir à tout instant la disponibilité d’une application, d’une information
  • De sécurité applicative : assurer que le code utilisé ne présente pas de faiblesses pouvant être exploitées

 

 

Cependant l’aspect physique de la sécurité informatique n’est pas à sous-estimer.

En général cet aspect est correctement adressé par toutes les mesures prises autour de la sécurité du matériel de production :

  • Datacenter sécurisé garantissant le filtrage des accès physiques aux équipements
  • Salles machines climatisées pour éviter une trop haute température
  • Contrôle de l’hygrométrie de la salle pour éviter les risques électrostatiques
  • Plusieurs armoires électriques sur des arrivées différentes
  • Systèmes de gestion d’incendie (gaz, sprinkler, extincteur, …)

 

Des normes et standards existent pour dresser les listes de prérequis afin de définir une sécurité physique satisfaisante.

 

La question ici n’est pas de traiter le sujet dans son ensemble, mais de s’intéresser à un élément précis : la protection contre les signaux compromettants.

 

L’instruction interministérielle n°300

 

Ainsi, ce sujet concernant la sécurité physique des données, fait l’objet d’une instruction interministérielle depuis bien des années (la première version date de 1997).

 

Voici ce que l’on trouve dans les premières lignes de cette instruction interministérielle :

 

Tout matériel ou système, qui traite ou transmet des informations, sous forme électrique, produit des perturbations électromagnétiques. Ces perturbations, qualifiées de signaux parasites, sont provoquées par les variations du régime électrique établi dans les différents circuits qui composent le matériel considéré durant son fonctionnement. Certains de ces parasites peuvent être représentatifs des informations traitées. Leur interception et leur exploitation peuvent permettre de reconstituer les Informations.

L‘interception et l’exploitation des signaux compromettants, en vue de reconstituer les informations traitées, constitue la « menace TEMPEST ».

 

 

TEMPEST

 

Le système TEMPEST (ainsi nommé par la NSA) se base sur l’émanation d’ondes électromagnétiques d’équipements traitant de l’information : un ordinateur, ou un serveur par exemple. A partir du moment où une personne malveillante récupère ces émanations, et qu’elle arrive à les interpréter, elle peut alors récupérer de l’information.

 

Cela peut se faire à distance (de quelques dizaines à quelques centaines de mètres en fonction des émanations) et nécessite donc d’appliquer des mesures de sécurité particulières pour les centres de traitements de données et pour les bureaux.

 

L’on trouve dans les différents standards existants des préconisations concernant les mesures à observer pour lutter contre les risques de type TEMPEST.

 

Oui mais voilà… dans un monde de plus en plus connecté, qu’en est-il des devices mobiles ?

 

 

La mobilité : nouvelle cible de choix ?

 

Sécuriser un poste mobile reste quelque chose de possible et plutôt accessible. Les choses ne sont pas si simples.

 

En effet, des chercheurs ont réussi en fin d’année dernière (2015) à extraire les clés privées utilisées par un logiciel sur un ordinateur portable en utilisant une antenne à proximité de l’ordinateur.

 

Le logiciel ciblé est GnuPG, un logiciel de chiffrement asymétrique. Sans aucune connexion à l’ordinateur les chercheurs ont pu, via l’antenne joliment baptisé « PITA » (Portable Instrument for Trace Acquisition), extraire la clé de chiffrement logicielle.

 

Pire encore, le procédé a été reproduit pour des smartphone, iOS et Android. Des groupes de chercheurs ont réussi à extraire les clés privées pour certaines applications présentes sur ces devices.

 

Soulignons le coût matériel de la mise en œuvre qui reste globalement « faible » : moins de 300 euros pour le système PITA.

 

Il faut quand même nuancer la menace : cela reste bien difficile à mettre en œuvre. Il faut une base de travail et observer les signaux pendant quelques temps afin de récupérer un certain nombre de transactions (de quelques centaines à plusieurs milliers).

 

Conclusion

 

Le monde de la sécurité n’a pas encore tout vu, les possibilités pour les pirates sont vastes et l’on observe des fois des mises en œuvre assez « exotiques ».

 

Il faudra de plus en plus et sans cesse « hardener » les systèmes et rechercher de nouvelles contres mesures.

 

Il faut également comprendre qu’il n’y a pas de sécurité unilatérale, il faut penser aux faiblesses des systèmes d’un point de vue physique et logique.

 

L’expansion des utilisateurs itinérants et « sans fils » utilisant des devices mobiles ne fait qu’augmenter la surface d’attaque possible. Le défi pour les équipes sécurité est aujourd’hui de définir une politique de sécurité cohérente et d’effectuer les choix technologiques pour minimiser les risques d’une compromission.

 

Evidemment les contres mesures concernant les émanations électromagnétiques des postes mobiles ne sont pas évidentes. Construire une cage de Faraday autour d’un poste mobile n’est pas vraiment la meilleure solution (wifi, …). Si la menace devient un jour bien réelle et « facilement exploitable » il ne fait aucun doute que les professionnels de la sécurité proposeront des produits pouvant adresser le problème.

 

 

Sources :

 

http://www.ssi.gouv.fr/uploads/IMG/pdf/II300_tempest_anssi.pdf

http://www.tau.ac.il/~tromer/radioexp/

http://www.tau.ac.il/~tromer/mobilesc/

http://www.01net.com/actualites/on-peut-pirater-les-smartphones-ios-ou-android-grace-aux-fuites-electromagnetiques-956708.html

https://www.sans.org/reading-room/whitepapers/privacy/introduction-tempest-981

 

Partager :

Auteurs