Une nouvelle forme de bug menace la sécurité informatique

Des scientifiques ont lancé un avertissement contre une nouvelle menace en matière de sécurité informatique : des bugs peuvent être physiquement introduits dans les périphériques (souris, claviers ou microphones) dans le but de dérober des données.
Les chercheurs de l’université de Pennsylvanie spécialisée dans l’ingénierie et les sciences appliquées (School of Engineering and Applied Science) ont baptisé ces périphériques douteux « JitterBugs ».

Le terme « jitter » désigne à la fois la gigue (faible variation de la phase d’un signal pouvant provoquer des erreurs de transfert) et un grand état de nervosité. Ce nom reflète ainsi la manière dont les périphériques infectés transmettent les données volées en ajoutant des retards de traitement quasi-imperceptibles à chaque fois que l’utilisateur appuie sur une touche, tout en désignant la nervosité que pourraient inspirer ces bugs à tous les utilisateurs soucieux de protéger leurs données confidentielles.

Comme preuve du concept, les chercheurs du département informatique et sciences de l’information de Pennsylvanie ont, avec l’aide de l’étudiant en doctorat Gaurav Shah et du professeur Matthew Blaze, mis au point « sans trop de difficulté » un clavier fonctionnel de type JitterBug.

« Il s’agit d’un matériel espion. Un accès physique au clavier est indispensable pour y introduire un JitterBug, mais on pourrait très facilement dissimuler ce bug parmi les câbles à la vue de tous, ou bien remplacer simplement un clavier par une version modifiée« , indique Gaurav Shah.

« Nous n’avons pour l’instant aucune preuve que qui que ce soit ait eu recours aux JitterBugs, mais notre message est clair : si nous y sommes parvenus, d’autres personnes peu scrupuleuses y arriveront très certainement. »

La conception des JitterBugs présente d’importantes similitudes avec celle des enregistreurs de frappe, ou « keystroke loggers ». Un de ces enregistreurs avait été employé par le FBI pour recueillir des preuves contre le bookmaker Nicodemo Scarfo Jr. Mais contrairement aux enregistreurs de frappe qui peuvent être installés physiquement dans un ordinateur cible et récupérés ensuite, une simple installation suffit pour faire fonctionner le Jitterbug dans un clavier.

Le périphérique en lui-même envoie les informations collectées via n’importe quelle application logicielle interactive qui va corréler l’activité du clavier avec celle du réseau (messagerie instantanée, SSH ou applications de bureau distantes, par exemple). Le bug va alors transmettre les données volées en ajoutant des petits retards pratiquement indétectables à chaque fois que l’utilisateur appuie sur une touche.

Ce bug peut se manifester sous une forme bien particulière, que Matthew Blaze désigne comme une « Supply Chain Attack » et qui pourrait compromettre la production même des périphériques informatiques. Une telle attaque pourrait par exemple donner naissance à une multitude de claviers contaminés. Dans ce cas, les pirates mal intentionnés n’auraient qu’à attendre patiemment qu’une cible potentiellement intéressante achète l’un de ces claviers. Gaurav Shah estime que le JitterBug pourrait être facilement détecté et contré grâce à la voie qu’il utilise pour transmettre les données.

Si Gaurav Shah s’est contenté de présenter des moyens d’action simples pour lutter contre le JitterBug, ses premiers résultats indiquent clairement que l’usage de techniques cryptographiques pour dissimuler l’usage de voies codées avec une gigue peut s’avérer une approche prometteuse.

« En règle générale, on n’imagine pas que nos claviers et nos autres périphériques de saisie aient besoin d’être sécurisés. Mais notre recherche démontre clairement que pour sécuriser entièrement un système, il est essentiel de vérifier la fiabilité de ces périphérique, conclut Gaurav Shah. Mais à moins d’être particulièrement paranoïaques, les utilisateurs lambda n’ont aucune inquiétude à se faire. Aucun espion n’entrera chez eux par effraction pour installer des JitterBugs.«