Une petite lampe LED qui clignote sur un appareil électronique peut révéler des informations confidentielles. Des chercheurs de l’université Cornell et de l’université Ben-Gourion du Néguev ont mis au point une méthode pour dérober des clés secrètes qui sécurisent les communications, les transactions et les données sensibles. Il leur suffit de filmer cette LED à une distance de 16 mètres et d’analyser les variations de sa lumière.
Cette méthode est basée sur une faille qui révèle involontairement des informations aux pirates informatiques à partir d’un élément physique du système. Il s’agit d’une attaque par canal latéral qui exploite les caractéristiques du système qui ne sont pas directement liées à la sécurité. Par exemple, la consommation d’énergie, le son, le champ électromagnétique ou le temps d’un appareil peuvent être utilisés pour déduire des données secrètes.
Dans ce cas, les chercheurs ont observé la lumière émise par la LED connectée à l’alimentation électrique de l’appareil. Cette lumière change légèrement d’intensité et de couleur selon les signaux numériques qui la traversent. Ces signaux contiennent les clés secrètes qui servent à chiffrer les données. En enregistrant ces changements, les pirates informatiques peuvent reconstituer ces clés.
Les chercheurs ont appelé cette méthode “cryptanalyse vidéo” et ont réussi à la mettre en œuvre dans plusieurs scénarios. Par exemple, ils ont piraté une caméra de sécurité connectée à Internet et ont filmé la LED d’un lecteur de carte à puce à 16 mètres. Ils ont ensuite récupéré la clé secrète de 256 bits en traitant les images.
Le chercheur principal Ben Nassi a expliqué à Arts Technica que cette méthode ne nécessite pas d’accès physique à l’appareil ni de matériel spécialisé. “Vous pouvez utiliser des appareils courants comme un smartphone pour appliquer l’attaque”, a-t-il dit. “Et si vous piratez une caméra vidéo connectée à Internet, vous n’avez même pas besoin d’être sur place.”
Cette découverte montre que les systèmes numériques peuvent être vulnérables à des attaques par canal latéral qui exploitent des éléments apparemment anodins. Les chercheurs recommandent aux concepteurs de systèmes de prendre en compte ces risques et de protéger les LED contre ce type d’espionnage.