Régulièrement, la presse se fait l’écho d’applications mobiles qui récupèrent vos données personnelles à votre insu. Mais il existe une menace encore plus forte, mais qui reste très discrète : le piratage de composants électroniques intégrés dans les téléphones.
Une récente étude menée par des chercheurs de l’Université de Pittsburgh Swanson School of Engineering a révélé que le circuit spécialisé dans la génération d’images (GPU-Graphics Processing Unit) de certains smartphones Android, intégrant une puce Qualcomm Adreno, pouvait être utilisé pour espionner et récupérer des données personnelles.
Présentée en mars 2022 lors de la conférence ASPLOS en Suisse, une attaque reposant sur cette faille de sécurité matérielle permet de déduire différentes données d’identification (dont les logins et mots de passe) sans nécessiter de privilège système ni provoquer de changement notable dans le fonctionnement ou les performances de l’appareil. Le pire est que ce piratage passe inaperçu ! Google a confirmé qu’il publierait une mise à jour de sécurité Android dans le courant de l’année pour résoudre ce problème.
Effet domino
Les attaques visant le hardware ont d’abord été imaginées pour « le vol de données bancaires sur les puces de nos cartes bleues, détaille dans le journal du CNRS Lilian Bossuet, professeur à l’université Jean Monnet de Saint-Étienne et membre du laboratoire Hubert Curien. Ces approches sont à présent appliquées aux téléphones portables, dont les circuits sont mal protégés. La situation est cependant encore pire dans l’Internet des objets, où les appareils sont à la fois omniprésents et très peu, voire pas du tout, sécurisés. »
Ordinateurs, réseaux de communication, capteurs… Tous les appareils électroniques intégrant des processeurs. Il suffit qu’un composant physique soit compromis pour impacter les différentes couches de cybersécurité d’un système. L’effet serait dévastateur. Or, les puces modernes sont des dispositifs très complexes constitués de milliards de transistors. Leur compromission peut se faire à différentes étapes (conception, fabrication, assemblage, test), mais par contre la détection est très difficile.
Les modifications physiques apportées à un seul circuit intégré peuvent être bien cachées parmi le nombre de composants valides et peuvent fonctionner longtemps sans être détectées. Une vulnérabilité matérielle bien conçue peut donc passer inaperçue !
À l’occasion de la conférence Black Hat sur la sécurité à Las Vegas, en 2012, le chercheur Jonathan Brossard avait créé une backdoor baptisée Rakshasa qui remplace le Bios d’un ordinateur. Son programme malveillant pouvait compromettre le système d’exploitation au moment du démarrage sans laisser de traces sur le disque dur. Jonathan Brossard avait ainsi démontré que le backdooring permanent du matériel était possible.
Espionnage économique
La situation est d’autant plus inquiétante que les attaques matérielles concernent de multiples dispositifs : systèmes de contrôle d’accès, appareils de réseau, systèmes de contrôle industriel, systèmes de surveillance…
Outre l’intégration de portes dérobées (ou backdoor), ces attaques peuvent être utilisées pour de l’écoute clandestine, la génération d’erreurs entraînant l’arrêt d’une machine, le contournement des systèmes d’authentification informatique…
Autant de techniques mises à profit pour de l’espionnage économique ou perturber le bon fonctionnement d’industriels sensibles. Fin 2018, des usines chinoises avaient implanté des puces de surveillance et de contrôle du réseau sur des cartes mères fabriquées pour Supermicro. Quelques années plus tôt, des défaillances surprenantes de composants avaient été détectées chez des entreprises de défense telles que Raytheon, BAE, Northrop Grumman et Lockheed.
Le risque d’acquérir des composants matériels avec une porte dérobée est donc une réalité. Mais les Chinois ne sont pas les seuls à exploiter cette technique. La NSA a aussi demandé aux fabricants américains d’implanter une porte dérobée dans les produits exportés.
Mais comment se protéger face à toutes ces menaces ? « Pour des questions de performances, de nombreux processeurs partagent des zones de mémoire cache, où ils peuvent laisser des informations qui deviennent alors vulnérables. Il faut réfléchir à de nouvelles architectures qui permettent d’isoler physiquement les informations critiques. Mais renforcer la sécurité a forcément un coût. S’il est accepté pour des applications bancaires ou militaires, il sera plus difficile à tolérer pour des usages conventionnels ou domestiques », a prévenu Lilian Bossuet, dans le journal du CNRS.
Cet article se trouve dans le dossier :
Quels défis pour l'industrie française ?
- La sécurité des infrastructures industrielles reste trop vulnérable aux attaques
- Des virus de plus en plus sophistiqués
- Les réseaux industriels sont confrontés à de multiples attaques et… contraintes
- Haithem Gardabou : « En matière de cybersécurité, les industriels sont en train de rattraper leur retard »
- Attaques informatiques : le hardware devient une cible
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites
- L’Europe veut plus de sécurité dans les objets connectés
- Qu'est-ce que le métavers ?
- Philippe Fuchs : « Il ne faut être ni technophobe ni technophile par rapport au Métavers mais analyser sérieusement son intérêt et ses limites »
- Laval Virtual : les nouveaux horizons de la RA
- La réalité virtuelle en aide à la conception et à l’évaluation dans l’industrie
- Réalité et environnement virtuels : à quand leur acceptation comme outil de communication ?
- Industries : la formation en réalité virtuelle entre dans les habitudes
- La crise force l’industrie à la sobriété énergétique
- L'Etat et l'Europe au secours de l'industrie
- Prix de l’énergie : à qui la faute ?
- Europe énergétique : l'espoir d'une union ?
- Négawatt propose 50 mesures chiffrées de sobriété énergétique
- Les industriels français face à une situation énergétique "catastrophique"
- L’industrie circulaire, un modèle pour transformer l’industrie suivant les principes de l’économie circulaire
- Passer d'un modèle d'industrie linéaire à l'industrie circulaire, pourquoi est-ce une nécessité ?
- Repenser les modèles économiques pour pivoter vers une industrie circulaire
- Comment accélérer sa transition vers un modèle d’industrie circulaire ?
- Déprogrammer l’obsolescence grâce à l'écoconception
- Une plateforme de vente pour les stocks dormants de pièces de maintenance industrielle
- 5 secteurs industriels ciblés pour tenter de relocaliser
- Composants électroniques : « Il faut favoriser l’émergence d’un fournisseur européen de haut niveau »
- « Développer des outils de production modulaires et délocalisables »
- Penser l'après Covid-19 : vers quels modèles économiques se tourner ?#3 Entre relocalisation et résilience
- Rôle de la relocalisation sur le développement durable
- De la réalité virtuelle aux métavers : finalités et usages
- Faire carrière dans l'industrie en France : les entreprises recrutent
- L’intrapreneuriat dans l’industrie : un pari gagnant !
- Métiers et compétences : les nouveaux besoins de l’industrie
- Les enjeux de la réindustrialisation au regard de la situation actuelle
Dans l'actualité
- Pour contrer le cyberespionnage, la start-up Snowpack propose de cacher les informations dans des « flocons »
- CyberScore : des codes couleurs pour connaître le niveau de sécurité des sites
- Les failles de cybersécurité dites « 0-day » ne connaissent pas la crise
- Véhicules autonomes : les risques liés à la cybersécurité doivent être mieux pris en compte
- Une sécurité renforcée avec la biométrie digitale : mon oeil !
- L’Europe veut plus de sécurité dans les objets connectés
- Ingénieurs : quels sont les secteurs les plus créateurs d’emplois ?
- La sécurité des infrastructures industrielles reste trop vulnérable aux attaques
- Des virus de plus en plus sophistiqués
- Les réseaux industriels sont confrontés à de multiples attaques et… contraintes
- Haithem Gardabou : « En matière de cybersécurité, les industriels sont en train de rattraper leur retard »
- Surveiller le comportement des vaches grâce à des caméras et de l’IA
- Les enjeux géopolitiques et économiques de l’Open source
- Un réseau invisible pour ne pas être repéré par les pirates
Dans les ressources documentaires