Le NCSC, l’agence de cybers\u00e9curit\u00e9 du Royaume-Uni rattach\u00e9e au GCHQ (l’\u00e9quivalent britannique de la NSA am\u00e9ricaine, qui s’occupe du renseignement \u00e9lectronique pour l’\u00c9tat), a sorti un bo\u00eetier qui s’intercale entre un ordinateur et son \u00e9cran pour bloquer les attaques transitant par le c\u00e2ble HDMI ou DisplayPort.<\/p>\n
e produit s’appelle SilentGlass, il se branche sans configuration, et il a \u00e9t\u00e9 pr\u00e9sent\u00e9 \u00e0 la conf\u00e9rence CYBERUK. Premi\u00e8re mondiale, dit-elle.<\/p>\n
Premi\u00e8re surprise pour qui n’y a jamais pens\u00e9 : le c\u00e2ble qui relie votre PC \u00e0 votre \u00e9cran ne sert pas qu’\u00e0 faire passer l’image. Il transporte aussi des donn\u00e9es dans les deux sens (r\u00e9glages de l’\u00e9cran, infos sur la r\u00e9solution, anti-copie sur les contenus prot\u00e9g\u00e9s), et il \u00e9met des ondes \u00e9lectromagn\u00e9tiques qui peuvent fuiter loin du bureau.<\/p>\n
En 2024, des chercheurs de l’Universit\u00e9 de la R\u00e9publique \u00e0 Montevideo ont montr\u00e9 qu’on pouvait reconstituer \u00e0 distance le texte affich\u00e9 sur un \u00e9cran rien qu’en captant le rayonnement \u00e9mis par le c\u00e2ble HDMI, avec un peu d’IA derri\u00e8re. C’est le principe de l’attaque TEMPEST, th\u00e9oris\u00e9e dans les ann\u00e9es 80 par les agences de renseignement, mais qui devient aujourd’hui accessible \u00e0 des attaquants disposant de moyens beaucoup plus modestes.<\/p>\n
SilentGlass se branche en s\u00e9rie sur le c\u00e2ble, comme un petit module qu’on intercale. Il regarde le trafic qui circule par le canal annexe du HDMI ou du DisplayPort (celui qui sert \u00e0 dialoguer entre PC et moniteur, en plus de l’image), et il bloque tout ce qui ne ressemble pas \u00e0 une communication d’\u00e9cran normale.<\/p>\n
L’id\u00e9e, c’est de couper la route \u00e0 des programmes malveillants qui passeraient leurs ordres en se faisant passer pour des commandes anodines de r\u00e9glage. La logique est celle d’un pare-feu, sauf que c’est pos\u00e9 entre l’unit\u00e9 centrale et l’\u00e9cran, l\u00e0 o\u00f9 personne ne pensait \u00e0 en mettre un.<\/p>\n
La fabrication est confi\u00e9e \u00e0 Goldilock Labs, une entreprise britannique de cybers\u00e9curit\u00e9, en partenariat avec Sony UK Technology Centre, l’usine galloise de Pencoed que Sony exploite depuis longtemps. C’est la premi\u00e8re fois que le NCSC met son nom sur un produit grand public.<\/p>\n
Le dispositif est d\u00e9j\u00e0 install\u00e9 sur des sites du gouvernement britannique, et l’agence vise d\u00e9sormais les op\u00e9rateurs d’infrastructures critiques (\u00e9nergie, transports, banques), les minist\u00e8res, les entreprises de d\u00e9fense, et plus largement toutes les organisations qui pensent \u00eatre dans la cible d’\u00c9tats \u00e9trangers. Le prix exact n’a pas \u00e9t\u00e9 annonc\u00e9, mais le NCSC parle d’un produit abordable pour son march\u00e9.<\/p>\n
Le produit r\u00e8gle une faille qui n’est pas anodine. La s\u00e9curit\u00e9 du c\u00e2ble vid\u00e9o est trait\u00e9e depuis trente ans comme un sujet de niche r\u00e9serv\u00e9 aux militaires, mais avec la multiplication des \u00e9crans connect\u00e9s, des bureaux partag\u00e9s et des cha\u00eenes d’approvisionnement o\u00f9 chaque c\u00e2ble a pu passer par dix mains avant d’arriver chez vous, le p\u00e9rim\u00e8tre s’est \u00e9largi.<\/p>\n
Pour un d\u00e9veloppeur dans une startup avec un MacBook et un \u00e9cran 27 pouces, l’int\u00e9r\u00eat est faible. Pour une salle de march\u00e9 bancaire ou un centre de surveillance vid\u00e9o, c’est tout autre chose.<\/p>\n
Vous l’avez compris, le NCSC sort ici un produit \u00e9tatique pour un risque que la plupart ignorent. Une agence de renseignement qui vend du mat\u00e9riel commercial, c’est quand m\u00eame nouveau, mais \u00e7a va dans le bon sens.<\/p>\n