Un chercheur indépendant sur la sécurité, Arrogo Triulzi, a dévoilé ce genre d'attaque à la conférence CanSecWest Security. Il dénomme cette technique le Jedi Packet Trick. Pour l'essentiel, ce code malveillant permet d'installer un réseau privé virtuel clandestin à l'intérieur du firewall pour attaquer le firmware de la carte réseau de la victime en utilisant également la mémoire du circuit graphique.
S'appuyant sur le mécanisme de diagnostic à distance peu connu présent dans certaines cartes de Broadcom, Triuzli a développé un moyen d'installer le firmware malveillant qui donne instruction aux paquets de transiter sur une autre carte, sans blocage du système d'exploitation. « Vous dupez l'OS en lui montrant que les paquets circulent entre deux cartes qui n'existent pas ». Le chercheur s'est refusé à dire avec quelle carte, il a réussi cette attaque, mais il a essayé sur deux cartes similaires, depuis 4 ans.
Cumuler Ethernet et mémoire graphique
Concrètement, il envoie des paquets spécifiques au firewall du réseau, lesquels ouvrent la carte réseau cible. Après la réception des paquets de retour, il installe le firmware malveillant sur le circuit mémoire graphique de l'ordinateur, en créant ainsi un tunnel d'accès protégé à l'intérieur du réseau. En ne pouvant pas utiliser la mémoire limitée de la carte réseau, le chercheur se repose sur la puce graphique qui dispose, elle, de beaucoup plus de mémoire. Deux autres chercheurs français provenant l'agence nationale de la sécurité des systèmes d'information (ANSSI), Yves-Alexis Perez et Loic Duflot, ont développé une attaque qui exploite une erreur dans la gestion à distance des cartes Broadcom NetXterme. Ce dernier a travaillé avec les deux ingénieurs pour résoudre le problème.
Ces annonces montrent que des formes d'attaques originales apparaissent et qu'elles peuvent se jouer des traditionnelles méthodes de détection, explique Colin Ames, ingénieur au laboratoire de recherche Attack à Santa Fe. « Cette chose est un truc effrayant, car elle fonctionne sur les petits éléments de l'ordinateur ». Le français Loic Duflot stigmatise les fabricants de matériels sur les questions de sécurité, spécialement ceux qui développent des firmwares comme l'Intel Active Management Techonology et Intelligent Plateforme Management Interface. « Aujourd'hui, le matériel supporte beaucoup trop de logiciel embarqué, avec les risques que cela comporte ». Pour étoffer ce propos, un post du blog Orange Business Services, montre que les constructeurs de cartes réseaux ont intégré un moyen de mettre à jour leur produit via le port Ethernet, sans avoir besoin des autorisations requis habituellement.
La carte réseau, nouvelle entrée pour les pirates
0
Réaction
Les pirates disposent d'un nouveau moyen d'accès pour s'immiscer dans les ordinateurs. Ils attaquent le firmware des cartes réseaux.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire