Arsenal Red Team - Episode 1 : Le VideoGhost

Sécurité de l'information
Arsenal Red Team - Episode 1 : Le VideoGhost

Etes-vous sûr que les informations échangées lors du comité de direction n’ont pas fuité ? La porte était bien fermée… le système d’information est régulièrement audité, les échanges réseau sont monitorés par le SOC… les téléphones étaient éteints…mais avez-vous passé en revue le câblage du rétroprojecteur et de l’écran de la salle ?

Vous découvrirez comment notre auditeur a pu obtenir les slides de la réunion : VideoGhost

Et oui, bien qu’absolument rien ne puisse avoir attiré l’attention, un outil malveillant a pu être installé (ici nous l’avons positionné de façon visible pour l’illustration) :

Pour ce premier épisode des outils Red Team, nous avons choisi de vous présenter le VideoGhost.

Le VideoGhost peut être utilisé sur tout type d’écran disposant d’une connectique HDMI, VGA ou DVI.

Il se positionne en coupure entre le câble vidéo d’un équipement ou d’un poste de travail, et l’écran qui diffuse l’image. Sa mémoire lui permet de stocker les images capturées, et l’attaquant peut ensuite récupérer l’outil pour les consulter à sa guise.

La finalité du dispositif est de capturer les données sensibles diffusées, à l’insu de l’utilisateur.

Son fonctionnement est indépendant de la source (poste Windows, Mac ou Linux, équipement de visioconférence, écran d’affichage…), dès lors qu’une prise USB est accessible à proximité pour l’alimentation.

Le prérequis essentiel est d’avoir un accès physique au câblage de l’écran, avant l'arrivée de l'utilisateur ciblé. Toute personne ayant accès à la salle de réunion est alors en mesure de compromettre la sécurité des données affichées.

Ce dispositif étant purement matériel et connecté à aucune prise réseau, il est indétectable par l’ensemble des mécanismes de sécurité du Système d’Information. Les logiciels de sécurité (antivirus), les parefeux, les logs ou encore les politiques de sécurité empêchant le branchement des périphériques USB n’y verront alors aucun événement particulier. Toutes les informations confidentielles affichées lors de la réunion seront quand à elles discrètement enregistrées et exfiltrées par l’attaquant.

Pour récupérer les captures d’écran, il suffit de connecter l’enregistreur à l’embout USB fourni avec celui-ci et de brancher le tout sur l’ordinateur.

L’enregistreur vidéo apparaîtra comme un lecteur amovible, contenant les captures d’écran réalisées durant l’attaque :

Nos scénarios Red Team préférés peuvent être alors l’intervention d’un technicien pour le changement d’un câblage défectueux ou l’installation d’un nouveau matériel, ou même le technicien de surface qui passe le soir ou tôt le matin, et qui a libre accès aux salles de réunion ou aux postes de travail les plus sensibles du réseau.

Comment peut-on s’en protéger ?

Sans tomber dans un contexte de paranoïa extrême, des réflexes et des procédures simples sont à mettre en place. Nous retrouvons des bonnes pratiques du Système d’Information qui peuvent être appliquées ici :

  • Les accès doivent être contrôlés et tracés

L’accès au bâtiment ainsi qu’aux postes de travail et aux salles de réunion doit faire l’objet d’un contrôle strict. L’identité de toute personne extérieure à l’entreprise et devant intervenir dans les locaux doit être contrôlée, et cette dernière doit avoir ses droits d’accès restreints à son strict besoin (badge qui ne permet pas d’accéder à des zones non justifiées, et éventuellement sous surveillance d’un responsable ou d’une caméra)

  • Les équipements doivent être régulièrement contrôlés et les employés doivent être sensibilisés à ce type d’attaque

Une simple vérification régulière des entrées et des sorties sur les équipements mis à disposition peut éviter la présence d’outils malveillants non souhaitables : les ports USB, prises réseau, câbles vidéo, prises électriques ne doivent pas présenter d’équipements inconnus. Tout élément de ce type doit être remonté au responsable en charge de la sécurité physique et au RSSI en fonction de l’équipement découvert.

Cadre légal

L’utilisation de ce type de dispositifs doit s’inscrire dans un cadre strict. Son utilisation en dehors de ce cadre est illégale.

La CNIL précise que ce type d’outil peut, par exception, être installé sur les postes informatiques des salariés, mais uniquement :

  • S'il existe des impératifs forts de sécurité (lutte contre la divulgation de secrets industriels, par exemple) ;
  • Si cette installation s'accompagne d'une information spécifique des personnes concernées par ce type de surveillance.

Il est indispensable de consulter le comité d’entreprise et le CHSCT avant de mettre en place un système de contrôle de l’activité des employés. Si la procédure n’est pas respectée, l’entreprise risque jusqu'à 3 750 euros d’amende et/ou un an d’emprisonnement pour « délit d’entrave » (article L 263-2-2 du code du travail).

La CNIL précise, en outre, que la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 punit dorénavant de 5 ans d'emprisonnement et de 300 000 € d'amende l'utilisation, mais aussi la vente, de certains dispositifs de captation de données informatiques à l'insu des personnes concernées.

Jérémy L, Auditeur Sécurité, Advens