Dave Humphress et Joe Loughry, respectivement
universitaire et un ingénieur chez Lokheed-Martin,
viennent de publier un rapport technique traitant de «
l’écoute optique des équipements informatique ». En d’autres
termes, ces deux experts ont cherché à savoir si les diodes
électroluminescentes qui égaillent les faces avant des outils informatiques
battent la mesure des données qui y transitent. « Je vois, donc j’écoute
», c’est une version moderne du code morse optique utilisé dans la
Royale, une version binaire du Hellschreiber, une
interprétation lumineuse des écoutes Tempest. La
réponse est sans appel : oui, les données transmises par bon nombre de DCE
(périphériques de communication) « modulent » les diodes témoins servant à
afficher l’état de fonctionnement de l’appareil.
Allez, ne paniquons pas. Les arbres de
noël des baies de routeurs gibabit ne laissent rien
filtrer, pas plus que les LED des disques durs … ils « parlent » trop
vite pour que le rythme de modulation puisse être fidèlement reproduit par le
témoin optique. En revanche, tout ce qui
travaille à moins de 19 Kb/s souffre
d’une faille plus que potentielle. Les ports série « rapides » situés sur
les faces arrières de certains commutateurs, les brins Wan
des routeurs d’agence, les modems, les codex, les appliances
de services d’impression, les enregistreurs « données » de PABX…
tous n’en meurent pas, mais beaucoup en sont frappés. Et nos deux
chercheurs d’imaginer des méthodes de piratage et d’attaque en « covert channel » exploitant le
filon : fibres optiques placées à un endroit judicieux, paire de jumelles dans
le bureau de Jules-de-chez-Smith-en-face… la
palme revenant à un détournement hilarant de la diode « Caps Lock » d’un portable IBM qui rythme d’un
staccato aussi indiscret que volubile tout ce qui transite par le port série de
la machine piégée. Comment se prémunir contre ce genre d’écoute ? Deux
solutions sont suggérées : La première envisage une modification radicale de la
conception des équipements en question, ergo un changement du parc à court
terme. La seconde nécessite une maîtrise technique approfondie des outils
bureautiques de base, et plus particulièrement de la paire de ciseaux et du
rouleau de ruban adhésif opaque. L’esthétique des baies risque de prendre
un coup de vieux, et il sera certainement très difficile au RSSI de justifier,
tout en gardant son sérieux, l’achat de 30 rouleaux de « Scotch » imputé
au budget « Sécu, IDS et Firewalls
».