VoltSchemer : Exploitation du bruit de tension pour attaquer les chargeurs sans fil

1. Introduction

La charge sans fil, dont la norme Qi est l'archétype, promet commodité et sécurité accrue en éliminant les connecteurs physiques. Son marché croît à un TCAC de 25,8 %. Cependant, cet article, « VoltSchemer », brise la bulle de sécurité perçue en exposant des vulnérabilités critiques. La découverte fondamentale est que des interférences électromagnétiques intentionnelles (IEMI), introduites sous forme de bruit de tension par une alimentation compromise, peuvent se propager dans le système et détourner le canal de communication en bande entre le chargeur et l'appareil. Cela permet à un attaquant de prendre le contrôle complet de chargeurs sans fil du commerce (COTS) sans aucune modification physique, permettant une série d'attaques puissantes.

2. Contexte et travaux connexes

2.1. Charge sans fil et norme Qi

La charge sans fil Qi utilise le couplage inductif entre les bobines émettrice (Tx) et réceptrice (Rx). La communication pour le contrôle (par ex., besoins en puissance, signaux FOD) est réalisée par modulation en bande du signal porteur d'alimentation, contrairement à la charge filaire qui dispose de lignes de données séparées. Le Wireless Power Consortium (WPC) impose des protocoles de sécurité comme la détection d'objet étranger (FOD) pour éviter l'échauffement d'objets métalliques.

2.2. Attaques antérieures sur les systèmes de charge

Les recherches précédentes (par ex., MACTANS, Juice Jacking) se concentraient sur la charge filaire, exploitant les lignes de données USB pour installer des logiciels malveillants ou injecter des frappes clavier. La charge sans fil était considérée comme plus sûre en raison de l'absence de voie de données directe. VoltSchemer remet fondamentalement en cause cette hypothèse en attaquant le canal d'alimentation et de communication lui-même.

3. Modèle de menace et aperçu de l'attaque

3.1. Capacités de l'attaquant

L'attaquant doit contrôler l'adaptateur secteur AC-DC alimentant le chargeur sans fil. Il peut s'agir d'une borne de charge publique malveillante, d'une prise intelligente compromise ou d'un adaptateur trafiqué. Aucune modification du chargeur ou de l'appareil n'est requise.

3.2. Principe central de l'attaque : Injection de bruit de tension

L'attaquant injecte un bruit de tension soigneusement conçu ($V_{noise}(t)$) dans la ligne d'alimentation continue. Ce bruit se couple dans les circuits du chargeur via des interférences électromagnétiques (CEM), modulant finalement le champ magnétique généré par la bobine Tx. Puisque la communication Qi repose sur la modulation de ce même champ, l'attaquant peut injecter des paquets de contrôle malveillants, en se faisant passer pour le chargeur ou l'appareil.

4. Vecteurs d'attaque VoltSchemer

4.1. Injection de commandes vocales inaudibles

En modulant le signal d'alimentation, l'attaquant peut générer des signaux acoustiques à partir des composants internes du chargeur (bobines, condensateurs) à des fréquences ultrasonores. Ceux-ci peuvent être démodulés par le microphone d'un smartphone pour exécuter des commandes vocales sur les assistants vocaux (par ex., Siri, Google Assistant) sans que l'utilisateur en ait conscience.

4.2. Endommagement d'appareil par surcharge/surchauffe

L'attaquant peut forger des paquets de communication Qi pour ordonner au chargeur de délivrer une puissance excessive au-delà des limites négociées par l'appareil, risquant d'endommager la batterie ou les circuits par surtension ou stress thermique.

4.3. Contournement de la détection d'objet étranger (FOD)

Il s'agit de l'attaque la plus critique. L'attaquant peut envoyer de faux signaux FOD « tout est clair » au chargeur alors qu'un objet métallique (par ex., une clé, une pièce de monnaie ou une carte NFC) se trouve sur le socle de charge. Le chargeur, trompé en croyant qu'aucun objet étranger n'est présent, continue de fonctionner à pleine puissance, induisant des courants de Foucault dangereux qui peuvent chauffer l'objet jusqu'à des températures d'ignition ou démagnétiser/fondre des objets de valeur.

5. Détails techniques et modèle mathématique

5.1. Propagation du signal et couplage CEM

Le bruit de tension injecté $V_{noise}(t)$ se propage via le bus continu. Les composants non idéaux (traces, condensateurs) agissent comme des antennes, couplant ce bruit dans les circuits analogiques et de commutation sensibles du chargeur. Le couplage peut être modélisé comme une fonction de transfert parasite $H_{coupling}(f)$ : $$V_{induced}(f) = H_{coupling}(f) \cdot V_{noise}(f)$$ où $V_{induced}(f)$ est le bruit apparaissant sur les nœuds critiques.

5.2. Modulation du signal d'alimentation pour la communication en bande

La communication Qi utilise la modulation par déplacement d'amplitude (ASK). L'appareil Rx module la charge pour créer des variations d'amplitude sur la tension de la bobine Tx. Le bruit induit par l'attaquant $V_{induced}(t)$ peut imiter cette modulation. Pour injecter un bit '1', l'attaquant superpose une composante fréquentielle spécifique pour provoquer une chute d'amplitude détectable. Le profil de bruit requis doit correspondre à la structure des paquets Qi (préambule, en-tête, message, somme de contrôle).

6. Configuration expérimentale et résultats

6.1. Appareils testés et taux de réussite

Les auteurs ont démontré avec succès les trois attaques sur 9 chargeurs Qi COTS parmi les 9 les plus vendus, de marques comme Belkin, Anker et Samsung. Ce taux de réussite de 100 % souligne la prévalence de la vulnérabilité.

6.2. Métriques de performance clés et observations

Description du graphique (imaginaire) : Un diagramme à barres montrerait un « Taux de réussite de l'attaque par modèle de chargeur » proche de 100 % pour tous. Un graphique linéaire tracerait la « Température de l'objet induite en fonction du temps » lors de l'attaque de contournement FOD, montrant une montée rapide à plus de 280 °C pour une clé de maison, démontrant le risque d'incendie. Un autre diagramme illustrerait la chaîne de signal : Alimentation malveillante → $V_{noise}$ injecté → Carte du chargeur (couplage CEM) → Modulation de la bobine Tx → Champ magnétique malveillant → Appareil/Objet cible.

Les expériences ont confirmé la capacité à injecter des paquets Qi valides, à forcer un mode haute puissance continu et à chauffer des objets étrangers à des niveaux dangereux en quelques minutes.

7. Cadre d'analyse et étude de cas

Cadre pour évaluer la sécurité des chargeurs sans fil :

1. Analyse de l'intégrité du signal : Auditer l'étage d'entrée d'alimentation pour sa sensibilité aux CEM conduites. Mesurer le taux de réjection de l'alimentation (PSRR) des circuits intégrés critiques du chargeur.
2. Fuzzing du protocole de communication : Injecter systématiquement des motifs de bruit de tension malformés et hors spécifications pour tester la robustesse de l'analyseur de protocole Qi sur le microcontrôleur du chargeur.
3. Surveillance des canaux auxiliaires : Surveiller les canaux auxiliaires non intentionnels (acoustique, thermique, puissance) pendant le fonctionnement normal pour établir une base de référence, puis détecter les anomalies lors des simulations d'attaque.

8. Contre-mesures et stratégies d'atténuation

• Niveau matériel : Mettre en œuvre un filtrage et un blindage robustes à l'entrée d'alimentation continue. Utiliser des topologies de convertisseur de puissance isolées. Intégrer une authentification de paquets basée matériel pour les commandes critiques (par ex., état FOD, contrôle de puissance).
• Niveau micrologiciel/protocole : Ajouter des codes d'authentification de message (MAC) ou des signatures numériques aux paquets Qi, comme suggéré par les auteurs. Implémenter des vérifications de cohérence (par ex., recouper les demandes de puissance avec les capteurs thermiques).
• Sensibilisation des utilisateurs : Éviter d'utiliser des chargeurs sans fil publics et non fiables pour des appareils de valeur. Être attentif à un échauffement inhabituel pendant la charge.

9. Applications futures et axes de recherche

• Élargissement de la cible : Étudier des attaques similaires par bruit de tension sur d'autres systèmes inductifs (par ex., lecteurs RFID, charge sans fil pour véhicules électriques).
• Génération d'attaques améliorée par IA : Utiliser l'apprentissage par renforcement pour découvrir les formes d'onde de bruit optimales pour différents matériels de chargeur, à l'instar des attaques adverses en apprentissage automatique appliquées au matériel.
• Évolution des normes : Faire pression sur le WPC pour qu'il impose des améliorations de sécurité dans les futures spécifications Qi, en intégrant potentiellement des protocoles cryptographiques légers adaptés au contrôle en temps réel et basse consommation.
• Outillage défensif : Développer des cadres de test automatisés pour les fabricants afin d'évaluer la résilience de leurs chargeurs face aux attaques de type VoltSchemer.

10. Références

1. Zhan, Z., Yang, Y., Shan, H., Wang, H., Jin, Y., & Wang, S. (2024). VoltSchemer: Use Voltage Noise to Manipulate Your Wireless Charger. arXiv preprint arXiv:2402.11423.
2. Wireless Power Consortium. Qi Wireless Power Transfer System Specification.
3. Clark, S., et al. (2013). MACTANS: Injecting Malware into iOS Devices via Malicious Chargers. USENIX Security.
4. Zhang, K., et al. (2021). Learning to Listen: A Neural Network for Inaudible Voice Recognition. IEEE S&P.
5. NIST. (2020). Guidelines for Managing the Security of Mobile Devices in the Enterprise (SP 800-124 Rev. 2).

11. Analyse d'expert et revue critique