Les attaques sur l’équipement matériel exploitent les failles microarchitecturales des composants pour forcer l’accès à des informations inaccessibles autrement. Des techniques logicielles sont également utilisées pour monter des attaques qui modifient la mémoire physique ou les valeurs internes du processeur.
Les vulnérabilités matérielles ainsi que les attaques dont elles font l’objet ne font pas autant l’actualité que les brèches retentissantes exploitant les failles dans les applications. Pourtant le risque est aussi élevé de voir un réseau informatique pénétré via une vulnérabilité matérielle dans un ordinateur, un routeur ou n’importe quel appareil connecté. Les circuits intégrés sont à la base du fonctionnement de tout l’écosystème informatique, les ordinateurs et les serveurs bien entendu, mais aussi les dispositifs sensibles et de sécurité, tels que les appareils médicaux, les systèmes de commande et de contrôle industriels, les systèmes de gestion de l’énergie ou les appareils et dispositifs militaires…
De plus, l’avènement des objets connectés étend considérablement le périmètre ainsi que le nombre de vulnérabilités potentielles. De plus en plus impliqué dans les applications critiques pour la sécurité, l’IoT traîne derrière lui ses propres défis en matière de sécurité. Ces appareils deviennent des cibles pour différents types d’attaques physiques, qui sont exacerbées par leur diversité et leur accessibilité, via des protocoles réseau défaillants par exemple.
Prendre le contrôle en élevant ses privilèges
En fait, tout appareil informatique exécutant du code est susceptible de constituer un vecteur d’attaque, que ce soit à travers des failles de conception, ou dans les protocoles et les codes qu’il exécute. Des défauts qui permettent aux attaquants de prendre le contrôle d’un système en élevant leurs privilèges ou en exécutant du code. Par ailleurs, la sortie de Windows 11 a remis la question de la sécurité matérielle, c’est-à-dire des mécanismes de sécurité enfouis dans les puces, ou gravés en dur, au premier plan.
En 2005, le Defense Science Board du ministère américain de la Défense a publié un rapport dans lequel il exprimait publiquement son inquiétude quant à la dépendance de l’armée américaine vis-à-vis des circuits intégrés fabriqués à l’étranger. De plus, avec la nouvelle tendance des attaquants à s’en prendre aux chaînes d’approvisionnement, le danger est encore plus grand, car le périmètre à défendre s’étend jusqu’aux partenaires, aux clients et aux fournisseurs.
Spectre et Meltdown, des failles emblématiques
En 2018, deux failles de sécurité majeures dans les processeurs, baptisées Meltdown et Spectre ainsi que leurs variants, ont été divulguées par une équipe de chercheurs en sécurité chez Google. Capables d’ouvrir aux attaquants des voies d’accès sans autorisation à des informations sensibles en mémoire, Meltdown et Spectre représentaient une nouvelle catégorie d’attaques microarchitecturales qui utilisent les fonctions d’optimisation des performances des processeurs pour exploiter les mécanismes de sécurité intégrés. Ces deux exploits sont représentatifs des types de vulnérabilités relatives aux processeurs.
Meltdown exploite la fonction d’exécution out-of-order des processeurs, ou exécution dans le désordre, ce qui a pour effet de briser la stricte séparation des processus entre les applications et la mémoire système. En fait, il exploite le mapping mémoire partagé entre l’espace contenant le noyau dans la mémoire virtuelle et l’espace utilisateur. Ce qui revient à abolir toute séparation entre les informations, normalement inaccessibles du noyau, et permet aux attaquants d’accéder aux informations contenues dans le noyau.
Quant à Spectre, il rompt la séparation entre les applications en exploitant les mécanismes de prédiction de branchement et d’exécution spéculative. En fait, le processeur essaye de deviner les prochains branchements et exécute le code afférent en avance pour gagner du temps. Du point de vue de la sécurité, l’exécution spéculative, qui peut alors accéder à la mémoire et aux registres utilisateur, implique l’exécution d’un programme de manière éventuellement incorrecte. Ce qui ouvre la porte à l’exécution de codes malicieux, sans que le système ne réagisse.
Bios et micrologiciels, les voies royales
Parmi les possibilités à la disposition des attaquants, les techniques relatives aux micrologiciels ou firmwares sont aussi anciennes que la cyberdélinquance. Les chercheurs d’ESET ont annoncé fin décembre 2018 qu’ils avaient découvert le premier exemple de rootkit basé sur l’UEFI. Un groupe connu sous les noms divers d’APT28, Sofacy, Fancy Bear et Sednit avait récemment frappé en utilisant ce rootkit. Rappelons qu’un rootkit est un maliciel qui se lance au démarrage de l’ordinateur et en prend le contrôle avec les privilèges d’administrateur.
Certains, comme Scranos, découvert en 2019, affichent une liste impressionnante de capacités… de nuisance, notamment la possibilité de voler des identifiants de connexion, des informations sur les comptes de paiement, l’historique de navigation et les cookies de suivi. Scranos peut également souscrire des abonnements à des services comme YouTube, afficher des publicités et même télécharger et exécuter des charges utiles. L’une des principales caractéristiques de l’attaque est sa persistance de démarrage, ce qui lui permet de prendre le contrôle du système de la victime avec les privilèges de l’administrateur.
Sécuriser la chaîne de traitement matérielle
L’informatique étant une chaîne de traitement, les vulnérabilités ne concernent pas seulement les ordinateurs (processeur, mémoire, adaptateurs, Bios…), elle s’étend à tout appareil faisant partie de la chaîne. Il peut s’agir de routeurs ou de points d’accès sans fil, d’appliances de pare-feu, de cartes mémoire externes, de ROM ou des appareils connectés, qu’ils soient des IoT industriels ou des objets connectés domestiques, et des SoC (System on a chip).
Le meilleur moyen de se prémunir de telles vulnérabilités est de mettre à jour régulièrement les appareils. Certes, dans des environnements de production qui ne souffrent d’aucune coupure de service, ces mises à jour peuvent être reportées ou simplement, et dangereusement, “oubliées ”.
Une récente attaque illustre très bien ce à quoi s’exposent les entreprises qui n’ont pas mis en place une stratégie de mises à jour des appareils.
Une stratégie de mises à jour s’impose
En juin 2021, un nouveau botnet, composé de routeurs MikroTik non patchés, a fait son apparition. Surnommé Mēris (Mēris voulant dire peste en letton) par les chercheurs en sécurité qui l’ont signalé pour la première fois, ce botnet IoT a lancé de nombreuses attaques DDoS HTTP et HTTP/S au niveau des applications, et ce contre plusieurs cibles dans le monde, notamment Krebs On Security et Yandex. Selon les chiffres cités, il existe environ 250 000 routeurs MikroTik non corrigés, qui peuvent donc potentiellement être compromis et embrigadés dans des botnets DDoS comme Mēris.
En fin de compte, quel que soit le type de vulnérabilité exploitée, logicielle ou matérielle, le but reste le même : pénétrer par effraction, se déplacer latéralement dans le système informatique et dérober les données et les informations sensibles. Pour faire face à ces attaques, une stratégie de mises à jour, combinée aux solutions de détection et de réponse aux attaques, constituent des solutions de départ. Car en définitive, le combat contre les attaques cyber est une lutte sans fin.
