Les ondes cachées

Bonjour/Bonsoir,

Je viens vous parler ce soir d’une nouvelle menace pour nos appareils : les ondes cachées. En effet, après l’utilisation de ces ondes pour la partie exfiltration des données dans le ver BadBIOS (rappelons que c’était en 2013 tout de même, la technique était novatrice. Le principe de l’exfiltration était alors de sortir les données via des ondes cachées inaudibles par nos oreilles par les haut-parleurs de la tour vers un microphone très puissant.), une société nommée SilverPush vend désormais des services de re-targetting publicitaire. On va expliciter son fonctionnement rapidement pour se rendre compte de la fourberie de ce système.
1. L’entreprise créé un spot publicitaire avec des ondes cachées au milieu de ce spot
2. Vous regardez le spot publicitaire (on va pas se mentir, votre téléphone portable n’est pas loin de vous !)
3. Votre téléphone perçoit les ondes et exécute les commandes associées
4. Vous revisitez le site de l’entreprise du spot publicitaire, il va vous proposer le produit du spot.

Là, l’exemple était publicitaire, imaginez qu’on reprenne le concept, mais cette fois-ci du côté des malveillants :
1. Les personnes malintentionnées construisent des ondes cachées en utilisant une faille 0Day pour obtenir l’accès de l’appareil en administrateur afin d’installer un ver verrouillant le téléphone et demandant de l’argent pour le déverrouiller.
2. Ils piratent un studio de production cinématographique (C’est possible, rappelez-vous de Sony Pictures Entertainement en 2014 !) et insèrent dans un film les fameuses ondes cachées.
3. Le film est regardé mondialement, des milliers d’appareils se verrouillent.
4. Les personnes malveillantes gagnent un pactole et une réputation

Bon ce qui faut savoir aussi, c’est que la technologie publicitaire est déjà utilisée par SilverPush. Cela fait bientôt plus de 6 mois qu’ils vendent cette technologie. Une bonne chose est tout de même sortie, la FTC (CF : https://fr.wikipedia.org/wiki/Federal_Trade_Commission ) s’y intéresse activement comme le montre ce document : [EN] https://cdt.org/files/2015/10/10.16.15-CDT-Cross-Device-Comments.pdf . Enfin, les moyens à mettre en œuvre serait énormes. Mais, il est toujours bon de s’informer dessus.

LOG OFF