Décidément impossibles à arrêter, les chercheurs en sécurité de l’université Ben Gourion ont trouvé une nouvelle technique baptisée « AIR-FI » pour pirater les ordinateurs « air gapped », c’est-à-dire déconnectés de tout réseau.
Cette fois-ci, ils se sont penchés sur la mémoire RAM et, plus précisément, sur les bus de données qui la relient au processeur. Quand ils sont utilisés pour transporter des données, ces bus émettent des ondes électromagnétiques à une fréquence qui est celle de l’horloge de la mémoire.
Pour la mémoire DDR4 SDRAM, cette fréquence d’horloge varie entre 1600 et 3200 MHz, mais il est possible de l’ajuster autour de 2400 MHz par overclocking ou underclocking. Or, 2400 MHz est justement l’une des fréquences utilisées par le standard Wi-Fi.
En provoquant des mouvements de données entre le processeur et la mémoire, un malware qui infecte un ordinateur déconnecté peut alors générer un signal radio à cette fréquence, et y encoder des informations. Et ces informations peuvent être récupérées par le module Wi-Fi d’un ordinateur situé aux alentours, lui aussi infecté par un malware. Les tests effectués montrent qu’un tel canal de transmission permet d’exfiltrer des données sur plusieurs mètres avec un débit pouvant aller jusqu’à 100 bit/s.
D’après les chercheurs, une telle opération d’exfiltration ne nécessiterait pas de privilèges élevés au niveau de l’ordinateur déconnecté. Elle pourrait même se faire depuis une machine virtuelle. Côté réception, l’attaquant doit néanmoins pouvoir modifier le firmware du module Wi-Fi. En effet, les données ne sont pas transmises selon le protocole Wi-Fi, mais utilisent un format et un encodage spéciaux. Pour les récupérer, il faut donc pouvoir accéder à la couche physique de l’antenne Wi-Fi.
Pour se protéger contre ce type d’attaque, il suffit d’interdire l’installation de modules Wi-Fi à proximité des ordinateurs déconnectés, ou de placer ces derniers dans des cages Faraday.
Source : Université Ben Gourion
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.