Definition

Attaque Evil Maid

Une attaque de type Evil Maid (ou serveur malveillant) est un exploit de sécurité qui cible un terminal informatique ayant été physiquement éteint et laissé sans attention. Une telle attaque est caractérisée par la capacité de l’attaquant à accéder physiquement à sa cible à plusieurs reprises, à l’insu de son propriétaire.

Une attaque de type Evil Maid peut se dérouler la sorte :

Scène 1 : un directeur financier participe à une conférence. Se rendant à un dîner pour échanger avec des pairs, il laisse son ordinateur portable dans sa chambre d’hôtel, confiant dans la sécurité des données d’entreprise qu’il contient parce que son disque dur est chiffré.

Scène 2 : un membre malveillant du personnel de l’hôtel – un espion en réalité – observe le directeur financier alors qu’il quitte sa chambre.

Scène 3 : ce membre du personnel s’introduit dans la chambre du directeur financier et démarre son ordinateur à partir d’un bootloader compromis présent sur une clé USB. Il installe alors un outil de capture des frappes clavier pour collecter la clé de chiffrement du directeur financier, puis éteint l’ordinateur.

Scène 4 : de retour, le directeur financier met en route son ordinateur. Ne suspectant rien, il saisit son mot de passe et déverrouille le disque dur.

Scène 5 : le lendemain matin, alors que le directeur financier prend son petit-déjeuner, l’espion est de retour dans la chambre et utilise la clé de chiffrement.

Le but d’une telle attaque peut être de dérober et de revendre la clé de chiffrement, ou d’altérer le logiciel de l’ordinateur sur site – mais quelle que soit la raison de l’attaque, l’ordinateur a été touché deux fois par une personne non autorisée sans que la moindre alarme ne se déclenche.

Si elle a donné à ce type d’attaque un nom qui retient l’attention, la chercheuse polonaise Joanna Rutkowska, a démontré avec succès en 2009 que même le chiffrement de disque complet ne suffit à protger un ordinateur portable lorsqu’un attaquant peut avoir un accès physique à l’appareil. Depuis, le terme de « evil maid » est communément utilisé pour décrire des scénarios dans lesquels l’attaquant accède à plusieurs reprises à l’appareil de sa victime.

Cette définition a été mise à jour en novembre 2014

Pour approfondir sur Menaces, Ransomwares, DDoS