La e-cigarette est-elle une menace réelle pour les entreprises et les administrations ?

ecig usbUne fois n’est pas coutume sur ce blog, je vais causer un peu de sécurité… non, je ne vais pas vous parler d’un éventuel risque sanitaire, ni de résistances trop basses, ni de batteries qui explosent, je vais vous causer de sécurité informatique. Hier sur Twitter, l’ami Skhaen postait un article de Jester qui mérite que l’on s’y attarde un peu. J’ai beau me méfier du bonhomme, le scénario qu’il déroule dans cet article n’est pas crétin. Je précise que la vape n’est pas mon métier et que j’ai l’habitude de me faire traiter de paranoïaque, mais que généralement, ça ne dure jamais bien longtemps. Cet article aurait probablement eu sa place sur l’un des mes autres sites, mais puisque ce dernier concerne directement les utilisateurs de cigarettes électroniques, il a probablement plus sa place ici. J’espère cependant ne pas vous assener de termes trop barbares, l’objectif étant ici de vous sensibiliser aux bonnes pratiques, particulièrement si vous avez pris l’habitude de recharger votre e-cigarette sur votre machine professionnelle, dans le privé, ou pire, dans une administration.

Le contexte

Si vous n’étiez pas sur une autre planète ces derniers mois, vous avez probablement entendu parler des révélations d’Edward Snowden, ce contractant de la NSA qui a apporté les preuves du programme de surveillance globale des communications sur Internet par les USA. Par delà les programmes désormais identifiés de surveillance « passive », la NSA, le GCHQ (GB), l’Unité 8200 (Israel), et surtout la Chine (et probablement d’autres, dont la France, l’Allemagne et la Russie) disposent de programmes de sécurité offensive. En Chine, c’est la PLA (People Liberation Army, ou Armée de Libération du Peuple), active depuis 1999. Son unité dédiée à la cyberguerre porte le nom d’Unité 61398.

Si l’espionnage massif est rendu possible, c’est qu’il existe une multitude de techniques permettant à des tiers non habilités de s’introduire sur des réseaux et dans des machines, que ces derniers soient connectés à Internet, ou pas. Mais l’espionnage n’est que le moindre mal. Les techniques, elles, font tout autant appel à des logiciels que des matériels.

Sécurité offensive

Nous avons ces dernières années été spectateurs d’attaques informatiques sans communes mesures avec ce que pourrait mettre en oeuvre un pirate isolé, ne laissant planer aucun doute sur le fait qu’elles étaient l’oeuvre d’Etats. Ce fut par exemple le cas du virus Stuxnet, création des américains et des israéliens, qui ciblait la centrale nucléaire de Natanz en Iran. Ce fut également très probablement le cas de l’opération Aurora qui a ciblé des grandes entreprises américaines en Chine et qui avait provoqué la colère de Google. La France a également connu des intrusions très inquiétantes, à l’image de celle d’Areva… pendant 2 années !

Infecter, espionner, neutraliser

Les programmes offensifs d’Etats sont basés sur le triptyque infection/espionnage/neutralisation. L’infection est une étape préliminaire, une condition préalable à l’action suivante, qu’il s’agisse d’extraction de données à des fins d’espionnage, ou d’actions un peu moins discrètes, comme une attaque visant à neutraliser ou détruire un système informatique, ou un équipement industriel. L’infection de milliers, de millions de machines, permet la constitution de ce que l’on appelle un Botnet, un réseau de machines infectées (que l’on appelle des machines zombies) qui ouvrent une connexion vers la machines du « pupetmaster », le marionnettiste, c’est à dire du pirate qui prend le contrôle de ces machines afin de mener une action malveillante. Ce n’est pas du tout de la science fiction, c’est comme ça que procèdent depuis des années les pirates pour mener des attaques par dénis de service (DoS), consistant à saturer de requêtes une cible pour la rendre indisponible. Cette technique possède le double avantage de mettre à disposition une masse considérable de ressources de l’assaillant et de concourir à le rendre difficilement traçable.

Enfin, il faut être conscient que de nos jours, il n’est plus un seul conflit armé ou économique ne comprenant pas son volet cyber. Quand il s’agit de faire la guerre, l’homme se montre d’une créativité sans égale, c’est triste, mais l’histoire est malheureusement là pour nous le rappeler.

Mais quel rapport avec la cigarette électronique ?

Il ne vous aura pas échappé que pour recharger vos e-cigarettes, il vous est proposé un chargeur avec un connecteur USB, connecteur que vous branchez naturellement sur votre ordinateur pour recharger votre e-cigarette. Vous avez probablement pris l’habitude, pour beaucoup, de brancher cet objet anodin sur votre ordinateur personnel, comme sur celui qui est mis à disposition par votre entreprise, sur votre lieu de travail. Ces objets, comme la majorité des accessoires un peu geeks que l’on branche sur nos machines sans même se poser de question, sont fabriqués à 99% en Chine. La Chine a plusieurs fois démontré sa capacité, sa volonté, à occuper le terrain de la guerre électronique. Premier pays producteur de composants électroniques, elle est en outre à une place privilégiée pour jouer de sales tours au reste du monde… mais elle n’est pas la seule.

Imaginez maintenant un instant l’opportunité que peuvent représenter ces chargeurs et batteries de e-cigarettes, distribués dans le monde par dizaines, centaines de millions, pour devenir des chevaux de Troie matériels, en vue d’infecter des systèmes qui ne sont pas même connectés au Net, comme un barrage, une centrale nucléaire, le réseau interne d’une administration sensible… Combien d’entre nous ont pris l’habitude de connecter les batteries de leur e-cigarette sur un port USB de leur ordinateur pour la recharger ?

Plus c’est insignifiant et petit, mieux ça franchit les lignes de défense.

La menace USB

Les clés USB sont un support de choix pour stocker, transporter puis exécuter du code malicieux sur un système cible vulnérable (Symlink Race et autres joyeusetés). C’est justement l’une des techniques qui a été exploitée pour infecter les centrifugeuses de la centrale nucléaire de Natanz en Iran. Une clé USB aurait probablement été à l’origine de l’infection initiale du SCADA de la centrale. Les SCADA étant par définition des systèmes sensibles déployés en environnement industriel, le risque est énorme car il aurait pu engendrer la destruction de la cible et des pertes humaines. Une fois de plus, nous ne sommes pas dans de la science fiction mais devant une menace bien réelle, parfaitement identifiée par les états. En France, le rapport Bockel de 2012 sur la Cyberdéfense y fait on ne peut plus clairement allusion. Pour l’ancien directeur de la CIA Michael Hayden, Stuxnet « est la première attaque majeure de cette nature qui parvient à entraîner des destructions physiques affectant une infrastructure importante (…). Quelqu’un a franchi le Rubicon. Je ne veux pas dire que nous allons assister aux mêmes conséquences, mais, d’une certaine manière, nous sommes un petit peu en août 1945 ».

Préconisation

Jester, en déroulant son scénario aux relents de paranoïa extrême pour un profane, a raison. Et son billet dépasse de loin les pratiques d’utilisation de la seule cigarette électronique. Si vous êtes DSI, les chargeurs de e-cigarettes USB doivent être considérés comme une menace potentielle, bien réelle, comme n’importe quel objet doté d’un support USB. De notre côté utilisateurs de e-cigarettes, nous devons garder en tête que ces objets n’ont rien à faire connectés à un ordinateur personnel et encore moins professionnel.

Partager cet article :

Twitter Facebook Google Plus mail

13 comments

    1. Faut pas psychoter, je pense qu’il y a une bonne part de FUD dans le dump de Jester.
      C’est surtout une question de principes généraux de sécu. La vuln LNK est en outre patchée dans windows depuis 2010.
      A tout hazard j’ai avec dumpé un chargeur d’ego Joyetech et rien à signaler.

      1. Oui, il faut éviter le FUD autour de cette vulnérabilité et expliquer quelles en sont les exploitations possibles. Une information tronquée est aussi dangereuse et biaisée que pas d’information du tout.

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *