Qu’est-ce qu’une attaque de «méchante femme de chambre» et que nous apprend-elle?

Vous avez sécurisé votre ordinateur avec un cryptage de disque puissant et un logiciel de sécurité. C’est sûr, tant que vous le gardez à portée de vue. Mais, une fois qu’un attaquant a un accès physique à votre ordinateur, tous les paris sont ouverts. Rencontrez l’attaque de la «mauvaise femme de chambre».

Qu’est-ce qu’une attaque «Evil Maid»?

C’est souvent répété en cybersécurité: une fois qu’un attaquant a un accès physique à votre appareil informatique, tous les paris sont ouverts. L’attaque de la «méchante femme de chambre» est un exemple – et pas seulement théorique – de la façon dont un attaquant peut accéder à un appareil sans surveillance et le compromettre. Considérez la «méchante bonne» comme un espion.

Lorsque les gens voyagent pour affaires ou pour le plaisir, ils laissent souvent leur ordinateur portable dans les chambres d’hôtel. Maintenant, que se passerait-il s’il y avait une «mauvaise femme de chambre» travaillant dans l’hôtel – une personne de ménage (ou une personne déguisée en femme de ménage) qui, au cours de son nettoyage normal de la chambre d’hôtel, utilisait son accès physique à l’appareil pour le modifier et le compromettre?

Maintenant, ce n’est probablement pas quelque chose dont la personne moyenne doit s’inquiéter. Mais c’est une préoccupation pour des cibles de grande valeur comme les employés du gouvernement voyageant à l’étranger ou les cadres préoccupés par l’espionnage industriel.

Ce ne sont pas que des «mauvaises filles»

Le terme d’attaque «méchante» a été inventé pour la première fois par la chercheuse en sécurité informatique Joanna Rutkowska en 2009. Le concept d’une «méchante» femme de chambre ayant accès à une chambre d’hôtel est conçu pour illustrer le problème. Mais une attaque de «méchante femme de chambre» peut désigner toute situation dans laquelle votre appareil laisse votre vue et un attaquant y a physiquement accès. Par exemple:

• Vous commandez un appareil en ligne. Pendant le processus d’expédition, une personne ayant accès au colis ouvre la boîte et compromet l’appareil.
• Les agents aux frontières à une frontière internationale emmènent votre ordinateur portable, votre smartphone ou votre tablette dans une autre pièce et le rapportent un peu plus tard.
• Les agents des forces de l’ordre emmènent votre appareil dans une autre pièce et le rendent plus tard.
• Vous êtes un cadre de haut niveau et vous laissez votre ordinateur portable ou un autre appareil dans un bureau auquel d’autres personnes pourraient avoir accès.
• Lors d’une conférence sur la sécurité informatique, vous laissez votre ordinateur portable sans surveillance dans une chambre d’hôtel.

Il existe d’innombrables exemples, mais la combinaison de touches est toujours que vous avez laissé votre appareil sans surveillance – hors de votre vue – là où quelqu’un d’autre y a accès.

Qui a vraiment besoin de s’inquiéter?

Soyons réalistes ici: les attaques de méchantes maid ne sont pas comme de nombreux problèmes de sécurité informatique. Ils ne sont pas une préoccupation pour la personne moyenne.

Les ransomwares et autres logiciels malveillants se propagent comme une traînée de poudre d’un appareil à l’autre sur le réseau. En revanche, une attaque de femme de chambre perverse nécessite qu’une personne réelle fasse tout son possible pour compromettre votre appareil spécifiquement – en personne. C’est du spycraft.

D’un point de vue pratique, les attaques de maid maid sont une préoccupation pour les politiciens voyageant à l’étranger, les cadres de haut niveau, les milliardaires, les journalistes et d’autres cibles précieuses.

Par exemple, en 2008, des responsables chinois peuvent avoir secrètement accédé au contenu de l’ordinateur portable d’un responsable américain lors de négociations commerciales à Pékin. Le fonctionnaire a laissé son ordinateur portable sans surveillance. Comme le dit l’article de l’Associated Press de 2008, «Certains anciens responsables du commerce ont dit à l’AP qu’ils faisaient attention à garder les appareils électroniques avec eux à tout moment pendant les voyages en Chine.»

D’un point de vue théorique, les attaques de méchantes maid sont un moyen utile de penser et de résumer une toute nouvelle classe d’attaques contre laquelle les professionnels de la sécurité doivent se défendre.

en d’autres termes: vous n’avez probablement pas à craindre que quelqu’un compromette vos appareils informatiques lors d’une attaque ciblée lorsque vous les laissez hors de votre vue. Cependant, quelqu’un comme Jeff Bezos a certainement besoin de s’inquiéter à ce sujet.

Comment fonctionne une attaque Evil Maid?

Une attaque de maid maléfique repose sur la modification d’un appareil de manière indétectable. En inventant le terme, Rutkowska a démontré une attaque compromettant le chiffrement du disque système TrueCrypt.

Elle a créé un logiciel pouvant être placé sur une clé USB amorçable. Tout ce qu’un attaquant aurait à faire est d’insérer la clé USB dans un ordinateur hors tension, de l’allumer, de démarrer à partir de la clé USB et d’attendre environ une minute. Le logiciel démarrerait et modifierait le logiciel TrueCrypt pour enregistrer le mot de passe sur le disque.

La cible retournait alors dans sa chambre d’hôtel, allumait l’ordinateur portable et saisissait son mot de passe. Désormais, la méchante bonne pouvait revenir et voler l’ordinateur portable – le logiciel compromis aurait enregistré le mot de passe de décryptage sur le disque, et la méchante femme de chambre pouvait accéder au contenu de l’ordinateur portable.

Cet exemple, illustrant la modification du logiciel d’un appareil, n’est qu’une approche. Une attaque perverse peut également impliquer l’ouverture physique d’un ordinateur portable, d’un ordinateur de bureau ou d’un smartphone, la modification de son matériel interne, puis sa fermeture.

Les attaques de méchantes maid n’ont même pas besoin d’être aussi compliquées. Par exemple, disons qu’une personne de ménage (ou une personne se faisant passer pour une personne de ménage) a accès au bureau d’un PDG d’une entreprise Fortune 500. En supposant que le PDG utilise un ordinateur de bureau, le «mal» nettoyant pourrait installer un enregistreur de touches matériel entre le clavier et l’ordinateur. Ils pourraient ensuite revenir quelques jours plus tard, saisir l’enregistreur de touches matériel et voir tout ce que le PDG tapait pendant que l’enregistreur de frappe était installé et enregistrait les frappes.

L’appareil lui-même n’a même pas besoin d’être compromis: disons qu’un PDG utilise un modèle d’ordinateur portable spécifique et laisse cet ordinateur portable dans une chambre d’hôtel. Une femme de chambre maléfique accède à la chambre d’hôtel, remplace l’ordinateur portable du PDG par un ordinateur portable qui ressemble à un logiciel compromis et s’en va. Lorsque le PDG allume l’ordinateur portable et entre son mot de passe de cryptage, le logiciel compromis «téléphone à la maison» et transmet le mot de passe de cryptage à la mauvaise femme de chambre.

Ce qu’il nous apprend sur la sécurité informatique

Une attaque de maid méchante met en évidence à quel point l’accès physique à vos appareils est dangereux. Si un attaquant a un accès physique non supervisé à un appareil que vous laissez sans surveillance, vous ne pouvez pas faire grand-chose pour vous protéger.

Dans le cas de l’attaque initiale de la méchante maid, Rutkowska a démontré que même quelqu’un qui suivait les règles de base pour activer le cryptage du disque et éteindre son appareil chaque fois qu’il le laissait seul était vulnérable.

En d’autres termes, une fois qu’un attaquant a un accès physique à votre appareil en dehors de votre vue, tous les paris sont ouverts.

Comment pouvez-vous vous protéger contre les attaques de la mauvaise femme de chambre?

Comme nous l’avons souligné, la plupart des gens n’ont pas vraiment besoin de se préoccuper de ce type d’attaque.

Pour se protéger contre les attaques de méchantes maid, la solution la plus efficace consiste simplement à garder un appareil sous surveillance et à s’assurer que personne n’y a physiquement accès. Lorsque les dirigeants des pays les plus puissants du monde voyagent, vous pouvez parier qu’ils ne laissent pas leurs ordinateurs portables et smartphones traîner sans surveillance dans des chambres d’hôtel où ils pourraient être compromis par les services de renseignement d’un autre pays.

Un appareil peut également être placé dans un coffre-fort verrouillé ou dans un autre type de coffre-fort pour s’assurer qu’un attaquant ne peut pas accéder à l’appareil lui-même, même si quelqu’un peut être capable de crocheter la serrure. Par exemple, alors que de nombreuses chambres d’hôtel ont un coffre-fort intégré, les employés de l’hôtel ont généralement des clés principales.

Les appareils modernes sont de plus en plus résistants à certains types d’attaques perverses. Par exemple, Secure Boot garantit que les périphériques ne démarreront normalement pas sur des lecteurs USB non approuvés. Cependant, il est impossible de se protéger contre tous les types d’attaques perverses.

Un attaquant déterminé avec un accès physique pourra trouver un moyen.

---

Chaque fois que nous écrivons sur la sécurité informatique, nous trouvons utile de revoir une bande dessinée xkcd classique sur la sécurité.

Une attaque de bonne méchante est un type d’attaque sophistiqué auquel une personne moyenne est peu susceptible de faire face. À moins que vous ne soyez une cible de grande valeur susceptible d’être la cible d’agences de renseignement ou d’espionnage d’entreprise, il y a beaucoup d’autres menaces numériques à craindre, y compris les ransomwares et autres attaques automatisées.