La semaine du 14 août 2022, un article de blog de Microsoft écrit par Raymond Chen raconte une anecdote qu’il a entendue de la part un de ses collègues en charge du support Windows XP. Celui-ci avait reçu un message d’un fabricant de PC commentant que certains modèles de PC portable crashaient lorsqu’ils jouaient le clip vidéo “Rythm Nation” de Janet Jackson.

Trouvant cela curieux, une enquête a été menée, et s’en est suivi des crashs de plusieurs ordinateurs de différentes marques. Il est même arrivé que des PCs à proximité de ceux jouant la vidéo crashent !

Est-elle vraiment une icône au point d’en faire crasher des ordinateurs ?

Que s’est-il passé ?

Après investigation, la cause des crashs a été identifiée. La musique du clip vidéo atteignait des fréquences de résonnance de certains disques durs datant du début des années 2000. La résonance est un phénomène physique par lequel le son produit par un objet vibre à la même fréquence que les ondes sonores d’un autre objet. Cela peut donner lieu à une augmentation de l’amplitude. Mais pourquoi cela perturbe-t-il un disque dur ?

Il se trouve que de par sa conception, un disque dur ne peut pas lire ou écrire des informations sur un plateau qui se déplace à cause de vibrations, de ce fait, il doit attendre que l’oscillation s’arrête avant d’effectuer toute action. Donc, lorsque la musique arrive à faire vibrer le disque dur, cela stoppe ses activités. On peut qualifier l’exploitation de cette vulnérabilité comme une attaque par canaux auxiliaires provoquant un déni de service (DOS).

A noter que la vulnérabilité a été répertoriée dans une CVE le 17 août 2022 sous la réference CVE-2022-38392.

Quel risque pour aujourd’hui ?

Le risque d’exploitation de cette vulnérabilité est aujourd’hui très faible. En effet, les disques durs impactés ne représentent que quelques modèles tournant à 5400 tr/min sortis aux alentours de 2005. Les disques durs récents ne sont pas touchés. De plus, les fabricants ayant remarqué le souci ont “corrigé” le problème en rajoutant un filtre audio sur leurs ordinateurs.

Donc rassurez-vous, vous pouvez toujours profiter du talent musical de Janet :).

MAIS, il est important de savoir que ce type d’attaque existe en dehors de ce cas précis. On peut citer notamment le cas d’un test d’alarme incendie à Bucarest dont le son a fait crasher le datacenter de la banque ING en 2016. Cela a provoqué une interruption de service de 10h ainsi que la destruction de nombreux disques durs !

Nous pouvons donc toujours nous poser des questions sur les applications que nous utilisons au quotidien, mais il ne faut également pas négliger l’impact qu’à le matériel physique sur la sécurité.

Sources