Le Venezuela a récemment connu une
série de pannes d'électricité qui ont laissé 11 États du pays sans électricité. Dès le début de cet incident, le gouvernement de Nicholas Maduro a affirmé qu'il s'agissait d'
un acte de sabotage , rendu possible grâce à des attaques électromagnétiques et des cyberattaques contre la compagnie nationale d'électricité Corpoelec et ses centrales électriques. Au contraire, le gouvernement autoproclamé de Juan Guaido a simplement imputé l'incident à «l'
inefficacité [et] à l'échec du régime ».
Sans une analyse impartiale et approfondie de la situation, il est très difficile de déterminer si ces pannes sont le résultat d'un sabotage ou si elles sont toujours causées par un manque d'entretien. Néanmoins, les allégations de sabotage présumé soulèvent un certain nombre de questions intéressantes liées à la sécurité de l'information. De nombreux systèmes de contrôle des infrastructures critiques, telles que les centrales électriques, sont fermés et ne disposent donc pas de connexions Internet externes. Ainsi, la question se pose: les cyber-attaquants pourraient-ils accéder à des systèmes informatiques fermés sans se connecter directement à leurs ordinateurs? La réponse est oui. Dans ce cas, les ondes électromagnétiques peuvent être un vecteur d'attaque.
Comment «capturer» le rayonnement électromagnétique
Tous les appareils électroniques génèrent un rayonnement sous forme de signaux électromagnétiques et acoustiques. En fonction d'un certain nombre de facteurs, tels que la distance et les obstacles, les appareils d'écoute peuvent «capter» les signaux de ces appareils à l'aide d'antennes spéciales ou de microphones très sensibles (dans le cas des signaux acoustiques) et les traiter pour extraire des informations utiles. Ces appareils comprennent des moniteurs et des claviers, et en tant que tels, ils peuvent également être utilisés par des cybercriminels.
Si nous parlons de moniteurs, en 1985, le chercheur Wim van Eyck a publié le
premier document non classifié sur les risques de sécurité liés au rayonnement de tels appareils. Comme vous vous en souvenez, surveille ensuite les tubes à rayons cathodiques (CRT) utilisés. Ses recherches ont montré que le rayonnement du moniteur peut être «lu» à distance et utilisé pour reconstruire les images affichées sur le moniteur. Ce phénomène est connu sous le nom d'interception van Eyck, et en fait c'est l'
une des raisons pour lesquelles un certain nombre de pays, dont le Brésil et le Canada, considèrent les systèmes de vote électronique comme trop dangereux pour être utilisés dans les processus électoraux.
Équipement utilisé pour accéder à un autre ordinateur portable situé dans la pièce voisine. Source: Université de Tel AvivBien que les moniteurs LCD génèrent désormais beaucoup moins de rayonnement que les moniteurs CRT,
des recherches récentes ont montré qu'ils sont également vulnérables. De plus, des
experts de l'Université de Tel Aviv (Israël) l'ont clairement démontré . Ils ont réussi à accéder au contenu crypté sur un ordinateur portable situé dans la pièce voisine, en utilisant suffisamment d'équipement simple d'une valeur d'environ 3000 $, composé d'une antenne, d'un amplificateur et d'un ordinateur portable avec un logiciel spécial de traitement du signal.
D'un autre côté, les claviers eux-mêmes peuvent également être
sensibles à l'interception de leurs émissions. Cela signifie qu'il existe un risque potentiel de cyberattaques, dans lesquelles les attaquants peuvent récupérer les données d'enregistrement et les mots de passe en analysant les touches du clavier qui ont été enfoncées.
TEMPEST et EMSEC
L'utilisation de rayonnements pour extraire des informations a reçu sa première application pendant la Première Guerre mondiale et était associée à des fils téléphoniques. Ces techniques ont été largement utilisées pendant la guerre froide avec des appareils plus avancés. Par exemple, un
document déclassifié de la NASA de 1973 explique comment, en 1962, un agent de sécurité de l'ambassade des États-Unis au Japon a découvert qu'un dipôle dans un hôpital voisin avait été envoyé au bâtiment de l'ambassade pour intercepter ses signaux.
Mais le concept de TEMPEST en tant que tel commence à apparaître dès les années 70 avec les premières
directives radiologiques apparues aux USA . Ce nom de code fait référence à la recherche sur les émissions non intentionnelles (parasites) des appareils électroniques qui peuvent contribuer à la fuite d'informations classifiées. La norme TEMPEST a été créée
par la US National Security Agency (NSA) et a conduit à l'émergence de normes de sécurité qui ont également été
adoptées par l'OTAN .
Ce terme est souvent utilisé de manière interchangeable avec le terme EMSEC (sécurité des émissions), qui fait partie des normes
COMSEC (sécurité des communications) .
Protection TEMPEST
Diagramme d'architecture cryptographique rouge / noir pour le dispositif de communication. Source: David Kleidermacher
Tout d'abord, la sécurité TEMPEST est appliquée au concept de base de la cryptographie, connu sous le nom d'architecture rouge / noir (rouge / noir). Ce concept divise les systèmes en équipements «rouges», qui sont utilisés pour traiter les informations confidentielles, et équipements «noirs», qui transmettent des données sans tampon de confidentialité. L'un des objectifs de la protection TEMPEST est cette séparation, qui sépare tous les composants, séparant l'équipement "rouge" des filtres spéciaux "noirs".
Deuxièmement, il est important de garder à l'esprit le fait que
tous les appareils ont un certain niveau de rayonnement . Cela signifie que le niveau de protection maximal possible sera la protection complète de tout l'espace, y compris les ordinateurs, les systèmes et les composants. Cependant, cela serait extrêmement coûteux et peu pratique pour la plupart des organisations. Pour cette raison, des techniques plus précises sont utilisées:
- Évaluation de zonage : utilisée pour examiner le niveau de sécurité TEMPEST pour les espaces, les installations et les ordinateurs. Après avoir effectué cette évaluation, les ressources peuvent être dirigées vers les composants et les ordinateurs qui contiennent les informations les plus sensibles ou les données non chiffrées. Diverses autorités de régulation des communications, telles que la NSA aux États-Unis ou CCN en Espagne , certifient ces techniques.
- Zones protégées : une évaluation du zonage peut montrer que certains espaces contenant des ordinateurs ne répondent pas pleinement à toutes les exigences de sécurité. Dans de tels cas, une option consiste à protéger complètement l'espace ou à utiliser des armoires blindées pour ces ordinateurs. Ces armoires sont faites de matériaux spéciaux qui empêchent la propagation des radiations.
- Ordinateurs avec leurs propres certificats TEMPEST : parfois l'ordinateur peut être dans un endroit sûr, mais peut manquer d'un niveau de sécurité adéquat. Pour améliorer le niveau de sécurité existant, il existe des ordinateurs et des systèmes de communication qui ont leur propre certification TEMPEST, certifiant la sécurité de leur matériel et d'autres composants.
TEMPEST montre que même si les systèmes d'entreprise ont des espaces physiques pratiquement sûrs ou ne sont même pas connectés à des communications externes, il n'y a toujours aucune garantie qu'ils sont complètement sûrs. Dans tous les cas, la plupart des vulnérabilités des infrastructures critiques sont probablement liées à des attaques ordinaires (par exemple, des ransomwares), que nous avons
récemment signalées . Dans ces cas, vous pouvez simplement éviter de telles attaques à l'aide de mesures appropriées et de solutions
avancées de sécurité des informations
avec des options de protection avancées . La combinaison de toutes ces mesures de protection est le seul moyen d'assurer la sécurité des systèmes critiques pour l'avenir de l'entreprise ou même de tout le pays.