Pour protéger un ordinateur portable, un PC, un Mac ou un serveur contre le vol, on peut le fixer au poste de travail à l'aide de supports soudés ou utiliser des câbles en acier amovibles avec cadenas. On peut également placer les PC, commutateurs, routeurs, panneaux de brassage, etc., dans des armoires blindées. Il est souvent nécessaire de protéger physiquement les points d'accès Wi-Fi et tous types d'antennes ; la solution consiste alors à les dissimuler dans des faux plafonds (en plaques de plâtre, par exemple) ou à les cacher dans de fausses cheminées (principe de discrétion).
Parfois, les points d'accès Wi-Fi déployés sont de type satellite, dotés de fonctionnalités minimales et dépendants d'une station de base principale complète pour fonctionner. Par conséquent, si un point d'accès satellite est volé, il devient inutilisable sans la station de base. Pour protéger les appareils mobiles tels que les tablettes et les smartphones contre le vol, des balises satellites peuvent être utilisées. Si des nœuds de capteurs sont déployés en réseau dans une zone hostile contrôlée par l'ennemi, chaque nœud peut être équipé, à titre de contre-mesure physique, d'un mécanisme interne le désintégrant ou le rendant inutilisable en cas de détection de falsification ou de tentative d'accès à son contenu. Ceci peut être réalisé, par exemple, par autodestruction, explosion, chiffrement et effacement de toutes ses données, etc. Lorsque la protection physique des claviers de saisie de données est nécessaire, des claviers antivandalisme (norme militaire) résistants au feu, aux explosions, aux acides, etc., peuvent être utilisés. Lorsqu'il est nécessaire de protéger physiquement un système informatique, comme une ferme de serveurs, on peut envisager de l'installer dans un centre de données, une pièce sans fenêtre et bien ventilée avec une porte, ou encore dans un coffre-fort équipé de serrures, de verrous ou de cadenas. Les serrures peuvent utiliser des clés, des cartes ou la biométrie. Les clés peuvent être mécaniques (le crochetage est une méthode d'effraction courante), électroniques (avec RFID/NFC, émission RF/lumineuse) ou magnétiques. Les cartes d'accès peuvent être des cartes perforées, des cartes à bande magnétique (trois pistes : la première pour le nom de l'utilisateur, le format, etc., par exemple 79 caractères ; la deuxième pour le numéro de compte, la date d'expiration, la banque émettrice, etc., par exemple 40 caractères ; et la troisième souvent inutilisée), des cartes optiques avec codes-barres 1D (Code 39) ou 2D (codes QR), et des cartes à puce à contact galvanique. Les cartes à puce sans fil, la RFID et la NFC sont également utilisées. Les serrures peuvent être des serrures à clé mécaniques/magnétiques ou des serrures à combinaison mécaniques/électroniques. Des peintures d'invisibilité à base de nanotechnologies sont à l'étude pour rendre invisibles les appareils informatiques, les nœuds de capteurs et les caméras vidéo, empêchant ainsi le vol ou le vandalisme. Des alarmes périmétriques et volumétriques, basées sur de multiples capteurs et capables de déclencher des sons puissants (plusieurs décibels pour étourdir), des sons audibles uniquement par les animaux ou les adolescents, ou encore des sons inaudibles pour les forces de l'ordre, peuvent contribuer à la protection physique. Parmi les autres moyens de protection physique, on trouve des clôtures, des murs, des barbelés, des fossés, des champs de mines, des caméras de télévision, des webcams, la surveillance par satellite, des radars, des drones (UAS/Unmanned Aerial System, UAV/Unmanned Aerial Vehicle, VANT/Unmanned Aerial Vehicle), des détecteurs de pression, de tension, de température, de lumière, de son, de champ magnétique, etc., ainsi que du personnel spécialisé comme des gardes assermentés et armés, des policiers, des agents de sécurité, des gardes du corps pour personnes et robots, des animaux dressés (chiens, oiseaux, reptiles, insectes, requins) et même des robots de surveillance intensive.
Cybersécurité physique des cartes à puce/SIM :
Une carte SIM (Subscriber Identity Module) est un type de carte à puce émise par un opérateur de réseau. Il s’agit d’une puce ou d’un circuit intégré contenant des informations personnelles et des clés permettant à l’utilisateur de s’authentifier auprès d’un réseau ou d’une entité.
Les composants suivants sont intégrés à cette puce et interconnectés par des bus : un processeur, des mémoires (ROM, EPROM, Flash-E2PROM, FRAM, RAM), un module de communication série 1 bit à connexion galvanique et un module de communication sans fil pour les cartes à puce. Les cartes à puce JavaCard prennent en charge la plateforme de programmation Java et permettent le chiffrement DES/AES/RSA, le hachage SHA-1, la génération de clés asymétriques, etc. Leur coût et leur résistance aux intrusions physiques (accès non autorisé) présentent un compromis. Elles intègrent une mémoire protégée pour le stockage des données confidentielles et offrent des fonctionnalités cryptographiques telles que le hachage SHA-1, le chiffrement RSA/AES/3DES/IDEA, la génération de paires de clés asymétriques, etc. Les cartes SIM à connexion galvanique se connectent à un lecteur de cartes (CAD) via une liaison série 1 bit et reçoivent leur horloge et leur alimentation de ce dernier.
Elle se présente sous deux formats : (i) une carte SIM miniature à insérer dans un téléphone mobile/smartphone ; et (ii) une carte SIM au format carte de crédit/débit/carte d’identité pour une connexion galvanique ou sans fil. Les informations qu’une carte SIM peut stocker sont très variées : SMS/MMS, listes de contacts, numéros de compte, code PIN (numéro d’identification personnel), code PUK (clé de déblocage personnelle, un code à huit chiffres utilisé si l’utilisateur oublie son code PIN à quatre chiffres), IMSI (identifiant international d’abonné mobile), un identifiant personnel à 64 bits/15 chiffres du réseau et du pays du titulaire, ICC-ID (identifiant de carte à circuit intégré), un identifiant matériel à 18 chiffres plus un chiffre de contrôle, la valeur d’authentification de sécurité Ki, des informations chiffrées, etc. Bien que différents niveaux de sécurité puissent être définis en interne, il n’en demeure pas moins que le contenu protégé peut être physiquement accessible par des moyens malveillants.
Les principaux niveaux de protection contre l'accès sont les suivants : (1) Prévention des accès et utilisations non autorisés grâce à un code PIN de quatre à huit chiffres et un code PUK pouvant comporter jusqu'à neuf chiffres, mesures de sécurité locales n'impliquant pas le réseau. (2) Authentification de l'identité du client. Utilisation de l'algorithme d'authentification A3 et de l'algorithme de génération de clé de chiffrement A8. Ces deux algorithmes sont stockés sur la carte SIM. (3) Anonymat. Il consiste à envoyer un TMSI (Identité temporaire d'abonné mobile) au lieu d'un IMSI. (4) Chiffrement des informations transmises sans fil. Utilisation de l'algorithme de chiffrement A5 intégré au matériel, où une nouvelle clé de chiffrement Kc est utilisée pour chaque appel, et les clés Ki et Kc ne sont pas transmises sur le réseau. La protection physique implique l'utilisation de moyens physiques pour protéger les objets de valeur, les informations ou l'accès aux ressources restreintes. Les principaux domaines de la protection physique sont : (a) Attaques matérielles. Attaques contre les disques durs, les processeurs, les cartes à puce, etc. (b) Écoute clandestine. Attaques ciblant la surveillance des signaux émis ou échangés entre des dispositifs informatiques (émissions électromagnétiques d'ordinateurs, Bluetooth, etc.). (c) Attaques sur les interfaces physiques : exploitation des failles de sécurité des interfaces physiques des systèmes. (d) Protection de la localisation : protection du site où se trouve le matériel si celui-ci utilise GPS/Galileo/GLONASS/QZSS ou si les signaux générés sont triangulés. (e) Détection d'intrusion physique : détection des intrusions au niveau du site où se trouve le matériel.
Attaques physiques sur les cartes à puce. Contre-mesures.
On peut identifier les types d'attaques suivants contre la cybersécurité physique d'une carte à puce :
(1) Attaques invasives. Par définition, elles détruisent la puce, nécessitent un équipement sophistiqué et coûteux (microscope avec découpe laser) et sont efficaces lorsque l'on connaît très peu de choses sur la puce. Elles consistent à exposer la puce, à explorer/surveiller sa surface pour en extraire des informations, à interagir avec cette surface pour modifier la puce, à la rétroconcevoir, à analyser les informations collectées et à comprendre ses unités fonctionnelles. Une fois les données et les codes secrets obtenus, une nouvelle carte à puce peut être clonée. Les contre-mesures à ce type d'attaque consistent notamment à entourer la puce d'une substance opaque qui ne peut être séparée de celle-ci sans la brûler.
(2) Attaques non invasives (par canal auxiliaire). Plus simples, moins coûteuses et plus rapides à mettre en œuvre, elles ne détruisent pas la puce. Elles consistent à surveiller les caractéristiques d'exécution telles que le temps d'exécution, le niveau de rayonnement, la consommation d'énergie, etc. On observe le fonctionnement normal ou on provoque des défauts. Elles sont classées comme suit :
(i) Attaques passives. Elles consistent à surveiller les sorties de la puce, telles que le rayonnement électromagnétique, la consommation d'énergie, le temps d'exécution, etc.
(ii) Attaques actives. Elles consistent à injecter avec précision des données, des signaux d'horloge et de l'énergie dans la puce, puis à mesurer son comportement. Parmi les attaques actives, on peut citer :
(a) Les attaques par dysfonctionnement (glitch). Différentes méthodes sont utilisées, comme la génération d'une surtension abrupte, l'augmentation de la fréquence d'horloge, l'exposition de la puce à un champ électrique, à un froid intense, etc., dans le but de provoquer une erreur de calcul entraînant la fuite de données sensibles, comme une extraction de clés de chiffrement.
(b) Attaques temporelles. La méthode suivante est utilisée : générer un grand nombre de messages « chiffrez ce fichier avec votre clé secrète » et les envoyer à la carte à puce, mesurer le temps nécessaire pour effectuer les opérations et déduire la clé cryptographique à partir de ces mesures.
(b) Attaques par analyse de consommation. Cette technique consiste à tirer des conclusions sur le comportement interne de la puce à partir de mesures de sa consommation électrique. On sait que les différentes instructions machine consomment des quantités d'énergie différentes. Les bus internes consomment également de l'énergie lors du passage de l'état logique 0 à l'état logique 1 ; le nombre de bits modifiés sur le bus peut donc être estimé en mesurant la consommation. L'attaque est simple : une résistance est placée aux bornes de l'alimentation de la puce, un voltmètre haute résolution à fréquence d'échantillonnage élevée est également placé à ces bornes, et un ordinateur est utilisé pour enregistrer et analyser les signaux obtenus. Le bruit du compteur dans les mesures est moyenné sur un grand nombre de transactions. Deux types d'analyse de consommation permettent d'extraire les clés des cartes à puce/SIM : (i) SPA (Analyse de consommation simple). C'est la méthode la plus simple. (ii) DPA (Analyse de consommation différentielle). Cette méthode utilise des techniques statistiques.
Les contre-mesures à ces types d'attaques comprennent : (i) l'obfuscation, qui consiste à insérer de fausses instructions dans les sauts conditionnels ; (ii) l'entrelacement de plusieurs flux de contrôle, qui présente des difficultés pour les cartes à puce en raison de leurs ressources de calcul limitées ; (iii) la randomisation, qui consiste à générer un signal d'horloge interne en insérant des délais aléatoires dans l'horloge externe ; (iv) la proactivité, qui consiste à anticiper les attaques. Les cartes à puce doivent faire partie de l'architecture de sécurité globale d'un système. Cette architecture doit détecter les anomalies afin de minimiser les pertes, et la sécurité doit être régulièrement mise à jour ; (v) les capteurs environnementaux, qui permettent de détecter si un attaquant réduit le signal d'horloge pour mieux surveiller les calculs internes de la puce.
Des cyberattaques physiques directes contre les dispositifs informatiques constituent également une menace.
Actuellement, un attaquant peut endommager un appareil informatique, qu'il y ait un accès physique direct ou qu'il se trouve simplement à proximité. Les utilisateurs de systèmes informatiques ne sont pas toujours dignes de confiance. Voici quelques exemples de cyberattaques directes parmi les plus courantes :
(1) Écoute clandestine. L'écoute clandestine consiste à écouter secrètement les communications d'une autre entité ou personne. Il est donc nécessaire de protéger l'environnement d'utilisation d'un système informatique. On distingue deux types d'écoute clandestine :
(i) L'écoute passive. Elle consiste à surveiller les communications sans laisser de trace, par exemple à l'aide d'analyseurs de trafic filaires ou sans fil. Les techniques d'observation discrète impliquent l'installation de petites caméras vidéo ou webcams cachées, ou l'observation aux jumelles à travers les fenêtres, voire l'utilisation de la vision infrarouge pour voir dans l'obscurité. Les contre-mesures appliquées aux distributeurs automatiques de billets (DAB) comprennent la limitation de l'angle de vision des écrans, la protection des frappes et la modification de l'emplacement physique des touches après chaque pression. L'écoute clandestine peut être effectuée via des supports guidés et non guidés : (a) Via un câble coaxial ou une paire torsadée. Mesurer les fuites d'impulsions électriques. Couper le câble et créer une dérivation vers un fil secondaire. Dans le cas d'un câble Ethernet, déconnecter brièvement le câble principal et insérer un dispositif d'écoute passive. Les commutateurs de couche 2 comportent un port miroir permettant la surveillance des autres ports. (b) Câble à fibre optique. Courbez le câble et lisez la lumière qui s'en échappe à l'aide d'un capteur optique. Une autre méthode consiste à couper la fibre et à la reconnecter avec un répartiteur 80/20 ; 80 % du signal sont transmis et 20 % sont utilisés pour la surveillance. (c) Communications par satellite et micro-ondes. L'attaquant se positionne près du récepteur/de la victime pour intercepter ses communications. Parmi les contre-mesures contre l'écoute clandestine, on trouve : des détecteurs de déconnexion de câble, des détecteurs de réduction de puissance du signal, le chiffrement de bout en bout et des détecteurs de coupure de câble par réflectométrie. Pour contrer les contre-mesures : amplifier le signal afin de masquer la perte de signal et mener l'attaque la nuit, lorsqu'elle a moins de chances d'être détectée. L'écoute clandestine par surveillance des émissions énergétiques peut être classée selon le type de signal énergétique : (i) Rayonnement électromagnétique. Surveillance des écrans CRT, LED et LCD. Émissions de signaux provenant de serveurs. (ii) Émissions optiques. Les écrans à tube cathodique et à LED/LCD émettent des impulsions lumineuses détectables par des capteurs photosensibles, permettant ainsi la reconstitution à distance de l'image affichée. (iii) Émissions acoustiques : l'écoute des frappes au clavier à l'aide de microphones directionnels permet de reconstituer 78,8 % des frappes.
L'écoute du fonctionnement d'un processeur permet de révéler les instructions qu'il exécute.
Les enregistreurs de frappe logiciels sont introduits dans un ordinateur victime sous forme de logiciels malveillants et permettent la capture clandestine d'informations sensibles (tout ce qui est saisi, comme les mots de passe du BIOS et du système d'exploitation, les numéros de compte, etc.). Une contre-mesure consiste à utiliser des claviers virtuels éphémères, qui ne nécessitent pas de saisie au clavier mais simplement de sélectionner du texte à la souris et de valider ce qui s'affiche à l'écran. Les enregistreurs de frappe matériels (dotés d'une mémoire interne, ne nécessitant pas de pilotes système, intégrant une horloge interne, compatibles WPA2/WPA/WEP, générant des rapports par e-mail et se connectant à Internet sans fil) sont des dispositifs qui s'installent entre le clavier et l'ordinateur via des connecteurs USB ou PS/2. Ils capturent tout ce qui est saisi, comme les mots de passe, les touches et les numéros de compte, dans une mémoire flash. L'attaquant peut récupérer le dispositif physique ou celui-ci peut transmettre les données de manière autonome et sans fil, via Wi-Fi ou Bluetooth, sous forme chiffrée. Il peut capturer les mots de passe du BIOS, offrant ainsi un contrôle total sur la machine. Les enregistreurs de frappe matériels sont utilisés pour surveiller les courriels, la navigation web, les conversations instantanées et l'activité sur les réseaux sociaux des mineurs et des employés afin de suivre la productivité de ces derniers et de protéger les mineurs contre les pédophiles et autres prédateurs en ligne. Pour être légales, les entreprises doivent divulguer explicitement leur utilisation.
(ii) Écoute active. Cela implique de modifier ou de créer/fabriquer des communications falsifiées ; c'est le cas des attaques MITM.
(2) Tempest. Il s'agit d'une norme du gouvernement américain visant à limiter l'émission de signaux électromagnétiques/énergétiques véhiculant des informations sensibles depuis les équipements informatiques. Les zones de protection définies par la norme OTAN/SDIP-27 sont les suivantes : (i) Niveau A. Accès quasi immédiat. À une distance d'un mètre ; par exemple, une pièce adjacente. (ii) Niveau B. À une distance de vingt mètres ou un niveau d'atténuation similaire ; par exemple, à l'intérieur d'un bâtiment. (iii) Niveau C. À une distance de cent mètres ou une atténuation équivalente. Voici quelques contre-mesures contre les émissions électromagnétiques Tempest : (a) Blocage des émissions. Trois possibilités existent selon le type d'énergie émise : (i) Blocage de la lumière visible. Utiliser des pièces sans fenêtres ou recouvrir les fenêtres d'un matériau opaque ou unidirectionnel. (ii) Blocage des émissions acoustiques. (a) Utiliser des pièces revêtues de matériaux absorbant le son ou déployer des systèmes acoustiques sophistiqués capables de générer des signaux acoustiques de polarité opposée qui annulent le son/bruit d'origine. (iii) Blocage du rayonnement électromagnétique. Cela implique l'utilisation d'une cage de Faraday, c'est-à-dire l'encerclement de la pièce, du bâtiment ou de la carte à protéger avec un matériau métallique (plaques, grillage) ou des plastiques spéciaux capables de bloquer les signaux électromagnétiques. (b) Modification/masquage des émissions. Cela consiste à générer et à diffuser des signaux de bruit aléatoires (brouillage/interférences) afin que les signaux porteurs d'informations soient noyés dans le bruit. Ce procédé est similaire aux dispositifs de brouillage RF utilisés pour empêcher la couverture des téléphones portables dans les lieux de fête ou les bâtiments de police/militaires, ou pour empêcher le déclenchement d'une bombe par radiofréquence lors du passage d'un véhicule militaire.
(3) Techniques d'investigation numérique. Il s'agit d'identifier, de préserver, de récupérer, d'analyser et de présenter des preuves numériques (faits et opinions) concernant les informations présentes sur des supports de stockage numériques, en vue de procédures judiciaires ou d'amélioration de la sécurité. Les techniques d'investigation numérique peuvent être utilisées par des attaquants pour extraire des informations d'appareils informatiques (ordinateurs, smartphones, etc.). Elles permettent la récupération de fichiers supprimés, car la plupart des systèmes d'exploitation ne suppriment que les métadonnées d'un fichier et ne l'écrasent pas définitivement. Certains fichiers écrasés peuvent être récupérés grâce aux traces magnétiques qui peuvent subsister. Parmi les contre-mesures efficaces, on peut citer l'écrasement des fichiers en plusieurs passes avec des données aléatoires ou la destruction physique du disque (par le feu, à l'aide d'une perceuse, d'explosifs, etc.). Une attaque par démarrage à froid consiste à figer la mémoire vive (DRAM) d'un ordinateur en fonctionnement, à l'éteindre, à démarrer le système à l'aide d'un disque dur externe fonctionnel et à extraire la clé de chiffrement du disque depuis la mémoire vive. Par mesure de précaution, il est fortement déconseillé de stocker les clés de chiffrement en clair dans la mémoire vive.
(4) Supports de stockage externes amorçables (DVD, CD, clé USB). Un système d'exploitation amorçable stocké sur un support externe (DVD, CD, clé USB) permet de démarrer un ordinateur sans son disque dur. Des attaquants peuvent ainsi démarrer l'ordinateur à l'aide de ce support, contournant le système d'exploitation natif et tout mécanisme d'authentification, ce qui leur permet de lire et de modifier les données du disque dur. Voici quelques contre-mesures utiles pour protéger les données du disque dur en cas de vol d'un ordinateur portable : installer un mot de passe BIOS pour empêcher le démarrage sans ce mot de passe ; définir un mot de passe pour le disque dur ; chiffrer le disque dur ; ou installer des outils de sécurité pour désactiver l'ordinateur en cas de vol.
(5) Attaque contre la disponibilité. Par exemple, injection de signaux de brouillage/interférence pour empêcher l'ouverture d'une serrure à clé à l'aide d'un émetteur RF.
Considérations finales.
Aujourd'hui, la protection de l'accès à tous les types d'appareils informatiques est cruciale, tant du point de vue physique que numérique. Si nous y accédons via des réseaux, des claviers ou d'autres interfaces numériques, il est également possible d'accéder aux centres de données à l'aide de marteaux-piqueurs, de cloner des cartes SIM, de perturber des réseaux à l'aide de nœuds de capteurs, de voler ou de modifier le contenu d'ordinateurs, ou encore de pirater le contenu de cartes à puce par des techniques chirurgicales telles que le laser couplé à un microscope électronique, voire l'azote liquide.
Cet article s'inscrit dans le cadre des activités menées au sein du réseau thématique LEFIS.
Auteur:
Prof. Dr. Javier Areitio Bertolín – E.Mail :
Professeur à la Faculté d'ingénierie.
Directeur du groupe de recherche sur les réseaux et les systèmes. Université de Deusto
Bibliographie
Areitio, J. « Sécurité de l’information : réseaux, informatique et systèmes d’information ». Cengage Learning-Paraninfo. 2012.
Areitio, J. « Évolution des menaces et tendances en matière de sécurité des réseaux dans le contexte du Web ». Conectrónica Magazine. N° 142. Novembre 2010.
Areitio, J. « Identification et analyse de la protection des applications Web ». Conectrónica Magazine. N° 143. Janvier 2011.
Schneier, B. « Économie de la sécurité et de la confidentialité de l’information ». Springer. 2011.
Whitman, ME et Mattord, HJ « Principes de la sécurité de l’information ». Thomson. 2009.
Nicastro, FM « Gestion des correctifs de sécurité ». CRC Press. 2011.
Norman, TL « Analyse des risques et sélection des contre-mesures de sécurité ». CRC Press. 2009.
