En matière d'exfiltration de données, des chercheurs de l'université Ben Gourion du Néguev (Israël) ont encore frappé pour démontrer les possibilités avec un système air-gapped. Une configuration où un système est isolé de tout réseau informatique pour éviter des tentatives de piratage à distance.
Après l'utilisation des fréquences radio, la chaleur et un firmware qui module et transmet des signaux électromagnétique sur les fréquences GSM, puis l'exploitation du bruit émis par les ventilateurs d'un ordinateur pour le CPU et le châssis, c'est au tour de la diode LED d'activité des disques durs.
Pour tout préalable, un attaquant doit installer un malware sur le système pris pour cible. Comme la machine est confinée, cela implique par exemple une complicité en interne pour une infection par le biais d'une clé USB ou carte SD. Les chercheurs ont démontré qu'une fois ce malware présent sur un ordinateur, il est possible de contrôler indirectement le voyant pour l'activité du disque dur en invoquant des opérations de lecture et écriture.
La diode LED peut être allumée et éteinte très rapidement, et ce de manière imperceptible pour l'œil humain. Des signaux qui servent à encoder et exfiltrer des données qui sont reçues et enregistrées par des caméras distantes spécifiques ou des capteurs. Les chercheurs ont notamment pensé à un drone qui se positionne au niveau d'une fenêtre d'un immeuble pour récupérer le flux optique.
Avec cette sorte de code Morse, le débit pour l'extraction des données peut atteindre 4 000 bits par seconde (à raison de presque 6 000 clignotements par seconde), soit près de 1 Mo chaque demi-heure. Guère impressionnant mais Wired souligne que c'est par exemple suffisant pour voler une clé de chiffrement en quelques secondes.
Selon les chercheurs (PDF), leur méthode " LED-it-GO " est discrète - voire secrète - et rapide. " Nos résultats montrent qu'il est possible d'utiliser ce canal optique pour fuiter efficacement différents types de données (mots de passe, clés de chiffrement et fichiers) d'un ordinateur air-gapped via la LED d'activité du disque dur. "
Pour leur test, ils ont utilisé un ordinateur Linux. Avec un appareil Windows, le résultat aurait été le même. De nuit, il a été possible d'identifier les signaux LED à une distance de jusqu'à 20 mètres.
Parmi les contre-mesures, un film spécial sur les fenêtres d'un immeuble pour éviter l'espionnage de signaux optiques depuis l'extérieur. La solution la plus rudimentaire recommandée est l'application d'un ruban adhésif noir sur la LED. Le fameux scotch de Mark Zuckerberg et du patron du FBI.
