Depuis près de 80 ans, les gouvernements et les agences de renseignement savent que les ordinateurs divulguent des secrets non seulement par le piratage, mais aussi par la physique même de leur fonctionnement. Aujourd’hui, deux législateurs américains bipartites demandent une enquête sur la vulnérabilité des Américains ordinaires à cette technique d’espionnage vieille de plusieurs décennies – connue sous le nom de TEMPEST ou attaques par canal secondaire – et si les entreprises technologiques devraient être obligées de renforcer leurs défenses.
La physique de l’espionnage
Les ordinateurs émettent des ondes radio, du son et des vibrations en tant que sous-produit de leur fonctionnement normal. Ces signaux, bien que non intentionnels, peuvent être interceptés et déchiffrés par des adversaires expérimentés pour révéler des données privées. Il ne s’agit pas d’une menace hypothétique : le gouvernement américain en est conscient depuis les années 1940 et protège activement ses propres informations classifiées à l’aide d’installations blindées appelées SCIF (Sensitive Compartmented Information Facilities).
L’inquiétude est désormais que le public reste largement non protégé. Le sénateur Ron Wyden et le représentant Shontel Brown ont récemment envoyé une lettre au Government Accountability Office (GAO) exigeant un examen de l’ampleur de cette menace, de la faisabilité des contre-mesures et des options politiques potentielles, notamment en obligeant les fabricants à intégrer la sécurité dans leurs produits.
Une faiblesse connue de longue date
The core problem isn’t new. Les premières expériences menées aux Bell Labs ont montré que les machines de cryptage émettaient suffisamment d’énergie électromagnétique pour divulguer des indices cryptographiques à toute personne disposant du bon équipement. Un rapport déclassifié de la NSA de 1972 a confirmé que des ordinateurs classifiés pouvaient transmettre des signaux détectables jusqu’à un demi-mile, exposant potentiellement des données sensibles.
Des recherches plus récentes démontrent que cela reste possible aujourd’hui. Les chercheurs ont construit des appareils pour moins de 300 dollars capables d’extraire des données d’ordinateurs situés à quelques mètres à l’aide d’émanations électromagnétiques, ou même d’écouter les frappes au clavier via les vibrations acoustiques captées par un téléphone portable.
Pourquoi c’est important maintenant
Alors que l’aspect pratique d’attaques secondaires généralisées fait l’objet de débats, les législateurs affirment que la menace s’accroît. À mesure que la technologie de surveillance s’améliore et devient moins chère, elle se répercutera des agences de renseignement sur les pirates informatiques parrainés par l’État, les forces de l’ordre et, à terme, les criminels.
Wyden note spécifiquement que l’espionnage industriel constitue un risque important : les entreprises développant des technologies d’importance stratégique sont déjà des cibles. Le manque de sensibilisation du public ou d’exigences des fabricants laisse les Américains vulnérables, potentiellement pour les années à venir étant donné le temps nécessaire pour repenser les produits pour une plus grande sécurité.
Est-ce un risque réel pour la plupart des gens ?
Les experts ne sont pas d’accord sur l’urgence de cette menace pour l’utilisateur moyen. Même si les attaques par canal secondaire sont possibles, elles sont techniquement difficiles. Les chercheurs en sécurité de l’Electronic Frontier Foundation pensent qu’ils concernent principalement le personnel de la sécurité nationale ou les entreprises engagées dans l’espionnage industriel à enjeux élevés.
De plus, les appareils modernes deviennent plus efficaces, réduisant ainsi les rayonnements involontaires. L’évolution vers le cloud computing complique encore davantage les attaques, car les centres de données sont plus difficiles à surveiller.
Cependant, la montée en puissance des outils d’IA capables d’extraire les signaux du bruit pourrait faciliter ces attaques. Et les appareils « intelligents » – haut-parleurs, téléviseurs, commandes industrielles – peuvent encore être vulnérables.
La voie à suivre
Le gouvernement américain dispose de plusieurs leviers pour résoudre ce problème : la FCC pourrait réglementer les émissions radio, la FTC pourrait considérer la publicité laxiste en matière de sécurité comme trompeuse, et les agences pourraient simplement partager davantage de renseignements. D’ici là, l’ampleur de nos fuites silencieuses de données reste incertaine.
En résumé : les techniques d’espionnage vieilles de plusieurs décennies restent un risque potentiel, en particulier pour les cibles de grande valeur. Le débat est désormais de savoir si le gouvernement devrait intervenir pour imposer de meilleures mesures de sécurité sur les appareils grand public.
