Points clés
- Une intrusion physique dans les locaux peut avoir des conséquences numériques graves et durables — souvent plus difficiles à détecter qu'une intrusion logique
- Les quatre scénarios d'impact d'une intrusion physique : vol de données (disques, clés USB), installation d'implants (keyloggers, hardware backdoors), accès aux systèmes, destruction physique d'équipements
- Un implant matériel installé physiquement peut être indétectable par les outils de sécurité logicielle pendant des années
- Les journaux des systèmes de contrôle d'accès physique sont une source de preuves forensiques souvent inexploitée lors des investigations
Une intrusion physique dans les locaux d'une organisation ne se limite pas à l'exposition des dossiers papier ou au vol d'équipements. Elle peut produire des conséquences numériques graves et durables : installation d'implants matériels permettant une surveillance continue, extraction de données depuis des systèmes chiffrés en exploitant le cold boot attack, accès aux consoles de systèmes critiques qui seraient autrement inaccessibles depuis le réseau, ou sabotage physique d'équipements pour provoquer des pannes.
La particularité des compromissions à vecteur physique est leur difficulté de détection par les outils de sécurité logicielle : un keylogger hardware installé sur un poste de travail n'est pas visible par un antivirus, une modification du firmware d'un équipement réseau n'est pas détectée par un scan de vulnérabilités. Ces compromissions peuvent persister indéfiniment si l'équipement concerné n'est pas inspecté physiquement.
Les scénarios d'impact d'une intrusion physique
Les scénarios d'impact les plus documentés incluent : le vol de supports de stockage (disques durs, clés USB, sauvegarde sur bande) — direct et immédiat, avec un impact sur la confidentialité des données stockées ; l'installation d'implants matériels (keyloggers entre le clavier et le poste, intercepteurs réseau "Raspberry Pi" cachés derrière un switch) — permettant une surveillance continue à long terme ; l'accès direct aux consoles des serveurs — permettant de contourner les protections d'authentification réseau ; et la destruction physique (incendie, sabotage d'équipements) — impactant la disponibilité.
Les implants matériels méritent une attention particulière : ils sont documentés dans des contextes d'espionnage industriel et d'État. Bloomberg a publié en 2018 un article (très controversé dans l'industrie) sur de potentiels implants matériels dans des serveurs de centres de données — illustrant les préoccupations réelles sur ce vecteur d'attaque, indépendamment de la véracité des affirmations spécifiques de l'article.
La détection des intrusions physiques
La détection des intrusions physiques repose sur plusieurs couches : les contrôles d'accès (journaux des badges, caméras de surveillance) qui permettent de détecter les accès non autorisés, les alarmes anti-intrusion qui alertent en temps réel lors d'une entrée non autorisée, et les contrôles d'intégrité des équipements (vérification visuelle régulière des équipements critiques pour détecter des modifications physiques).
Le NIST SP 800-53 inclut des contrôles spécifiques sur la surveillance physique et la détection des intrusions physiques (contrôles PE — Physical and Environmental Protection). Ces contrôles recommandent notamment la surveillance vidéo des zones critiques, la vérification régulière des équipements, et la formation des personnels à signaler les anomalies physiques.
La forensique physique après un incident
Lors d'une investigation après un incident de sécurité, les journaux des systèmes de contrôle d'accès physique (qui était dans les locaux, quand, pour quelle durée) sont une source de preuves forensiques souvent inexploitée par les équipes de sécurité IT. La corrélation entre les journaux d'accès physiques et les journaux des systèmes informatiques peut révéler des coïncidences chronologiques permettant d'identifier la nature et l'origine d'une compromission.
L'un des cas d'intrusion physique les plus documentés de l'histoire des télécoms : une intrusion physique dans les systèmes d'Ericsson (fournisseur d'équipements de Vodafone Grèce) avait permis l'installation d'implants logiciels dans les équipements de commutation, activant la fonction de "lawful interception" (écoute légale) de manière non autorisée. La surveillance ciblait des membres du gouvernement grec, du Premier ministre et des ambassadeurs étrangers. La compromission, active pendant environ un an, a été découverte par accident lors d'une mise à jour logicielle. Elle illustre la convergence entre l'accès physique aux équipements et les conséquences numériques à long terme.
L'attaque Stuxnet ciblant les centrifugeuses iraniennes aurait été introduite dans le réseau isolé (air-gapped) de l'installation de Natanz via des clés USB introduites physiquement dans les installations. L'accès physique au réseau — impossible depuis Internet en raison de l'isolation — a été le vecteur initial de l'attaque. Stuxnet, une fois introduit, s'est propagé aux automates Siemens S7 contrôlant les centrifugeuses et a modifié leur fonctionnement de manière à les endommager tout en affichant des paramètres normaux aux opérateurs. Cette opération a démontré que l'air-gap (isolation physique) n'est pas une garantie absolue si la sécurité physique de l'accès est insuffisante.
TSMC, le plus grand fabricant de semi-conducteurs au monde, a subi une contamination par un variant du ransomware WannaCry introduite via un support physique (CD d'installation d'un logiciel fournisseur) connecté à des équipements de production. La contamination a paralysé des lignes de production à Taiwan, impactant la production de processeurs pour Apple et Nvidia. TSMC a estimé les pertes à 256 millions de dollars. L'incident illustre comment un support physique non contrôlé peut introduire une compromission dans un environnement de production critique.