RSA Conference, San Francisco. Le risque d’espionnage industriel ne se limite pas à l’action d’un groupe de pirates installant à distance un APT sur vos systèmes. Ce sont aussi des attaques physiques destinées à accéder en personne au terminal mobile d’un collaborateur en déplacement, le temps de le piéger. Cela se passe le plus souvent dans une chambre d’hôtel, lors du passage de la frontière ou durant une conférence à l’étranger.

Ryan Lackey, co-fondateur de CryptoSeal, a abordé quelques techniques et bonnes habitudes destinées à renforcer la sécurité des terminaux professionnels à l’étranger. Il n’y a rien de particulièrement nouveau en soit, et Lackey se propose de compiler également vos astuces afin d’enrichir ce corpus de bonnes pratiques. Il s’agit d’un projet personnel et il promet de verser le tout dans le domaine libre.

Son exposé met notamment en lumière une pratique semble-t-il courante d’attaquer en réinitialisant le BIOS des machines et en apportant des modifications physiques (remplacement de composants). Il rappelle à ce titre la mésaventure survenue au chercheur en sécurité H.D. Moore lors d’un voyage en Chine l’an dernier (BIOS réinitialisé et signes de manipulations physiques), et reconnaît que lui aussi, en 2010, a observé une remise à jour du BIOS de son laptop lors d’un déplacement.

Ses préconisations sont les suivantes :

• Réduire au maximum les terminaux emportés lors des déplacements (si une tablette, voire un simple smartphone, peut faire l’affaire lors d’un déplacement de courte durée, éviter de prendre l’ordinateur par simple habitude)
• Réduire au maximum la quantité de données présentes localement sur les terminaux. Préférer le téléchargement des données strictement nécessaires via VPN une fois arrivé à destination. Cela n’empêchera certes pas une attaque dans la chambre d’hôtel mais évitera d’offrir trop d’information si les autorités obligent le collaborateur à fournir son mot de passe à la douane.
• Conserver au maximum le terminal avec soi (bien que ce soit en pratique quasi-impossible 24/24). A défaut le stocker éteint dans le coffre fort de la chambre d’hôtel comme pis-aller.
• Les auto-collants de détection d’ouverture sont trop simples à neutraliser par un attaquant expérimenté pour être considérés une solution valable.
•  Préférer l’approche du Département de l’Énergie américain, qui « badigeonne » aléatoirement de peinture l’ensemble des composants. Tout composant neuf sera immédiatement visible au retour, et reconstituer le bon motif avec la bonne peinture  sur le bon composant est une tâche largement plus complexe et plus longue pour l’attaquant.
• A défaut, prendre une photo des composants avant le départ et la comparer à l’état de la machine au retour. Il suggère que cette opération peut être automatisée en stockant les photos-témoins sur un serveur central et en utilisant un logiciel de reconnaissance d’image pour comparer les clichés avant-après (Ryan Lackey dit travailler à un prototype de la sorte).
• Contrôler le checksum des firmwares au retour (pas uniquement celui du BIOS, mais aussi ceux des différents disques, lecteurs et autres composants PCI. Lire à ce sujet notre article sur les portes dérobées matérielles, qui utilisent notamment le firmware du lecteur de DVD PCI pour se sauvegarder)
• Si possible dédier des matériels spécifiques aux déplacements et les isoler convenablement à leur retour sur le réseau, avant de les écraser.
• Attention aux chargeurs électriques de l’ordinateur, batteries et autre câbles, qui peuvent eux aussi être piégés.

D’autres techniques de protection plus originales encore sont également mentionnées par notre confrère CNET : de la carte SD emballée dans du plastique alimentaire et conservée dans la bouche lors du passage d’une frontière (véridique !) à la caméra vidéo miniature placée dans la chambre afin de surveiller l’ordinateur (et qui révèle effectivement une équipe de deux opérateurs venant siphonner le disque dur, dans un hôtel européen).

Et vous, quelles sont vos astuces de sécurité lors de vos déplacements ?