ETHERLED : une méthode pour voler des données grâce aux LED des cartes réseau !
Le chercheur israélien Mordechai Guri a fait la découverte d'une nouvelle méthode pour exfiltrer des données en utilisant les voyants lumineux des cartes réseau. Baptisée ETHERLED, cette trouvaille est à la fois étonnante et ingénieuse !
Grâce à la méthode ETHERLED, les voyants clignotants présents sur les cartes réseau sont transformés en signaux morse qui peuvent être décodés par un attaquant ! Pour capturer ces signaux, il faut être tout de même équipé, car il faut une caméra qui visualise en direct les voyants lumineux de la carte réseau de l'ordinateur cible. Ensuite, ces signaux sont traduits en binaire pour reconstituer les informations.
Cette méthode pour voler les informations s'applique sur les réseaux air-gapped, c'est-à-dire lorsque l'ordinateur est sur un réseau totalement isolé (car il est très sensible, par exemple). Puisqu'il est isolé et qu'il n'a pas d'accès à Internet, il est plus difficile pour les attaquants de l'atteindre à moins d'utiliser des méthodes adaptées, comme celle-ci. Le schéma ci-dessous illustre un exemple, où l'on se croirait presque dans James Bond avec le drone qui est là pour capturer les signaux morse de la carte réseau ! 😉
Même si le système est isolé dans un réseau air-gapped, Mordechai Guri affirme que si un attaquant parvient à infecter l'ordinateur cible avec un logiciel malveillant, il peut faire en sorte de remplacer le pilote de la carte réseau par une version malveillante qui modifie la couleur de la LED et la fréquence de clignotement : comme il l'a fait avec la méthode ETHERLED. Même s'il prend l'exemple d'un ordinateur, cette méthode peut fonctionner avec d'autres périphériques équipés de cartes réseau Ethernet : imprimantes, NAS, routeurs, etc. Il faut garder à l'esprit que sans l'infection initiale, c'est-à-dire le logiciel malveillant sur l'ordinateur cible qui va permettre de modifier le pilote de la carte réseau, cette méthode ne peut pas être utilisée.
Selon les voyants allumés sur la carte réseau et la couleur des voyants allumés, cela permet d'obtenir l'information en binaire : 00, 01 ou 10. En s'appuyant sur la méthode du morse, il faut inclure également des temps de pause entre les signaux. Même si cela peut sembler une éternité pour traduire une information, d'après le chercheur en sécurité, le temps nécessaire pour divulguer des mots de passe grâce à ETHERLED varie entre 1 seconde et 1,5 minute, selon la méthode d'attaque utilisée. Autre exemple, le temps nécessaire varie entre 2,5 secondes et 4,2 minutes pour les clés privées Bitcoin, et entre 42 secondes et une heure pour les clés RSA de 4096 bits.
Après avoir lu cet article, vous ne regarderez plus les LEDs des cartes réseau de la même façon ! 😉
