Botconf 2015 : contrôler à distance un ordinateur totalement déconnecté du réseau, c’est possible !

La Botconf est une conférence internationale qui rassemblait, du 2 au 4 décembre, les experts et chercheurs spécialisés dans l’analyse de logiciels malveillants (malware) et des réseaux de machines zombies (botnet). L’occasion pour l’ANSSI de présenter l’article « Air-gap Limitations and Bypass Techniques » dans le cadre de sa première participation à l’évènement.

Publié le 16 Décembre 2015 Mis à jour le 16 Décembre 2015

Organisée depuis 2012 par « l’Alliance internationale de lutte contre les botnets », avec le soutien du CECyF (Centre expert contre la cybercriminalité français), de l’EC3 (European Cybercrime Centre) et du JRC (Centre commun de recherche de la Commission Européenne), la Botconf est le rendez-vous des experts du « roBot Network ».

Cette nouvelle édition de la conférence conviait plus de 270 participants pour échanger sur les dernières recherches traitant de ce sujet majeur.

En effet, les botnets constituent l’un des modes d’attaque les plus répandus de la cybercriminalité sur Internet en permettant de prendre le contrôle à distance d’ordinateurs « zombifiés » à des fins malveillantes.

Un poste isolé du réseau n’est pas pour autant hors d’atteinte

C’est dans le cadre de cet évènement que l’ANSSI présentait « Air-gap Limitations and Bypass Techniques », un article de José Lopes Esteves, Chaouki Kasmi et Philippe Valembois, qui expose des techniques inédites en matière de commande et contrôle (C&C) sur des postes protégés par des mesures d’ « Air Gap », une sécurité consistant à isoler physiquement le système de tout réseau informatique extérieur.

La méthode élaborée par les 3 chercheurs pour contrôler à distance un ordinateur déconnecté se fonde sur l’utilisation d’interférences électromagnétiques.
Face à cette agression, un code malveillant (malware) préalablement implanté sur le poste ciblé va être en mesure d’interpréter les variations d’exposition aux champs électromagnétiques parasites et de réagir en conséquence aux informations reçues par ce biais.

La barrière de l’« Air-Gap » franchie, l’ordinateur déconnecté du réseau est définitivement vulnérable et répondra sur commande aux ordres émis par l’émission de ces interférences électromagnétiques, qui devient alors un véritable canal de communication illégitime.

Avec la mise en place de cette technique efficace, le système, pourtant hypothétiquement isolé de tout réseau, va progressivement être compromis en profondeur et pourra dès lors être utilisé à des fins malveillantes.