Une nouvelle attaque par canal auxiliaire baptisée PIXHELL pourrait être détourné pour cibler les ordinateurs isolés du réseau en brisant le « fossé audio » et en exfiltrant des informations sensibles en tirant parti du bruit généré par les pixels de l’écran.
« Les logiciels malveillants dans les ordinateurs à espace libre et à espace libre audio génèrent des motifs de pixels fabriqués qui produisent du bruit dans la gamme de fréquences de 0 à 22 kHz », Dr Mordechai Gurichef du laboratoire de recherche cybernétique offensive du département d’ingénierie des logiciels et des systèmes d’information de l’université Ben Gourion du Néguev en Israël, dit dans un article récemment publié.
« Le code malveillant exploite le son généré par les bobines et les condensateurs pour contrôler les fréquences émanant de l’écran. Les signaux acoustiques peuvent encoder et transmettre des informations sensibles. »
L’attaque est remarquable en ce qu’elle ne nécessite aucun matériel audio spécialisé, haut-parleur ou haut-parleur interne sur l’ordinateur compromis, mais s’appuie plutôt sur l’écran LCD pour générer des signaux acoustiques.
L’isolation par air est une mesure de sécurité essentielle conçue pour protéger les environnements critiques contre les menaces potentielles de sécurité en les isolant physiquement et logiquement des réseaux externes (c’est-à-dire Internet). Cela s’effectue généralement en déconnectant les câbles réseau, en désactivant les interfaces sans fil et en désactivant les connexions USB.
Cela dit, ces défenses pourraient être contournées par un individu malveillant ou par une compromission de la chaîne d’approvisionnement en matériel ou en logiciels. Un autre scénario pourrait impliquer qu’un employé sans méfiance branche une clé USB infectée pour déployer un logiciel malveillant capable de déclencher un canal d’exfiltration de données secret.
« Le phishing, les attaques malveillantes ou d’autres techniques d’ingénierie sociale peuvent être utilisés pour tromper les individus ayant accès au système isolé et les amener à prendre des mesures qui compromettent la sécurité, comme cliquer sur des liens malveillants ou télécharger des fichiers infectés », a déclaré le Dr Guri.
« Les pirates peuvent également utiliser des attaques de chaîne d’approvisionnement de logiciels en ciblant les dépendances d’applications logicielles ou les bibliothèques tierces. En compromettant ces dépendances, ils peuvent introduire des vulnérabilités ou du code malveillant qui peuvent passer inaperçus lors du développement et des tests. »
Comme l’attaque RAMBO récemment démontrée, PIXHELL utilise le logiciel malveillant déployé sur l’hôte compromis pour créer un canal acoustique permettant la fuite d’informations à partir de systèmes présentant des lacunes audio.
Cela est rendu possible par le fait que les écrans LCD contiennent des inducteurs et des condensateurs dans le cadre de leurs composants internes et de leur alimentation électrique, ce qui les fait vibrer à une fréquence audible qui produit un bruit aigu lorsque l’électricité traverse les bobines, un phénomène appelé gémissement de la bobine.
Plus précisément, les variations de consommation d’énergie peuvent induire des vibrations mécaniques ou des effets piézoélectriques dans les condensateurs, produisant un bruit audible. Un aspect crucial qui affecte le modèle de consommation est le nombre de pixels allumés et leur répartition sur l’écran, car les pixels blancs nécessitent plus d’énergie pour s’afficher que les pixels sombres.
« De plus, lorsque le courant alternatif (CA) traverse les condensateurs de l’écran, ceux-ci vibrent à des fréquences spécifiques », a déclaré le Dr Guri. « Les émanations acoustiques sont générées par la partie électrique interne de l’écran LCD. Ses caractéristiques sont affectées par la bitmap, le motif et l’intensité des pixels projetés sur l’écran. »
« En contrôlant soigneusement les motifs de pixels affichés sur notre écran, notre technique génère certaines ondes acoustiques à des fréquences spécifiques à partir des écrans LCD. »
Un attaquant pourrait donc exploiter cette technique pour exfiltrer les données sous forme de signaux acoustiques qui sont ensuite modulés et transmis à un appareil Windows ou Android à proximité, qui peut ensuite démoduler les paquets et extraire les informations.
Cela étant dit, il convient de noter que la puissance et la qualité du signal acoustique émis dépendent de la structure spécifique de l’écran, de son alimentation interne et de l’emplacement des bobines et des condensateurs, entre autres facteurs.
Un autre point important à souligner est que l’attaque PIXHELL, par défaut, est visible pour les utilisateurs qui regardent l’écran LCD, étant donné qu’elle implique l’affichage d’un motif bitmap comprenant des rangées alternées en noir et blanc.
« Pour rester discrets, les attaquants peuvent utiliser une stratégie qui permet de transmettre des données en l’absence de l’utilisateur », explique le Dr Guri. « Par exemple, une soi-disant « attaque nocturne » sur les canaux secrets est menée en dehors des heures de bureau, ce qui réduit le risque d’être découvert et exposé. »
L’attaque pourrait cependant être transformée en attaque furtive pendant les heures de travail en réduisant les couleurs des pixels à des valeurs très basses avant la transmission – c’est-à-dire en utilisant des niveaux RVB de (1,1,1), (3,3,3), (7,7,7) et (15,15,15) – donnant ainsi l’impression à l’utilisateur que l’écran est noir.
Mais cette méthode a pour effet secondaire de réduire « considérablement » le niveau sonore. Cette approche n’est pas non plus infaillible, car l’utilisateur peut toujours distinguer des motifs anormaux s’il regarde « attentivement » l’écran.
Ce n’est pas la première fois que des restrictions d’écart audio sont surmontées dans une configuration expérimentale. Les études antérieures menées par le Dr Guri ont utilisé des sons générés par des ventilateurs d’ordinateur (Fansmitter), des disques durs (Diskfiltration), des lecteurs de CD/DVD (CD-LEAK), des blocs d’alimentation (POWER-SUPPLaY) et des imprimantes à jet d’encre (Inkfiltration).
Comme contre-mesures, il est recommandé d’utiliser un brouilleur acoustique pour neutraliser la transmission, de surveiller le spectre audio pour détecter les signaux inhabituels ou peu communs, de limiter l’accès physique au personnel autorisé, d’interdire l’utilisation des smartphones et d’utiliser une caméra externe pour détecter les modèles d’écran modulés inhabituels.