News

TrojPix : exfiltration de données depuis un système isolé à 8,1 Mbps via le câble vidéo

TrojPix exfiltre des données de systèmes isolés à 8,1 Mbps sur 208 mètres via pixels et émissions radio du câble vidéo. Analyse et contremesures.
Sara Amin
Marketing Student • Content & Writing Enthusiast

Un système isolé du réseau, sans connexion Internet, sans USB, sans imprimante connectée, représente l'état de sécurité maximal que la plupart des environnements à haute sensibilité peuvent atteindre. Cette isolation physique, l'air gap, est le dernier recours pour protéger les actifs les plus critiques : plans industriels, données de défense, codes sources sensibles. Des chercheurs de l'Université de Shandong ont démontré que ce dernier recours peut être contourné à l'aide d'un câble vidéo ordinaire, d'une modulation imperceptible de pixels d'écran, et d'un logiciel malveillant sans droits administrateur. La technique s'appelle TrojPix. Le débit mesuré : 8,1 Mbps. La portée maximale testée : 208 mètres.

Pour situer ces chiffres dans leur contexte : la plupart des techniques d'exfiltration par canal caché sur des systèmes isolés opèrent à quelques centaines de bits par seconde, voire quelques kilooctets par seconde dans les cas les plus performants. TrojPix atteint environ 1 mégaoctet par seconde. Un fichier de 100 Mo, représentant un volume de documents d'entreprise ou de code source substantiel, peut être transmis en moins de deux minutes sans que l'utilisateur devant l'écran ne perçoive quoi que ce soit d'anormal.

Le Mécanisme : Modulation de Pixels et Émissions Radioélectriques

Tous les câbles vidéo émettent des rayonnements électromagnétiques involontaires. C'est un phénomène physique connu depuis les années 1950 sous le nom d'émissions TEMPEST. La question que les chercheurs de Shandong se sont posée est la suivante : peut-on encoder des données dans ces émissions en contrôlant délibérément ce qui s'affiche sur l'écran, d'une manière imperceptible à l'utilisateur ?

La réponse est oui. TrojPix encode les données en modulant la valeur de pixels spécifiques à des fréquences calculées pour produire des émissions radioélectriques à des fréquences porteuses précises. La modulation est imperceptible : les variations de couleur appliquées à chaque pixel sont inférieures au seuil de détection de l'oeil humain, même dans des conditions d'affichage normales. L'écran continue d'afficher ce qu'il affichait normalement. Le câble vidéo, pendant ce temps, rayonne les données exfiltrées sous forme de signal radio qui peut être capté par un récepteur positionné à distance.

Le logiciel malveillant qui pilote TrojPix n'a pas besoin de droits administrateur. Il lui suffit d'un accès utilisateur standard pour contrôler les pixels affichés à l'écran via les API graphiques ordinaires du système d'exploitation. Aucune modification matérielle, aucun pilote supplémentaire, aucun accès à des registres système sensibles n'est requis. Le seul prérequis est que le logiciel malveillant soit déjà présent sur la machine cible, ce qui dans un scénario réaliste s'accomplit généralement par la chaîne d'approvisionnement logicielle ou par une clé USB introducte avant l'établissement de l'air gap.

Deux Modes de Dissimulation

TrojPix propose deux modes de camouflage visuel distincts selon le contexte d'utilisation.

Le premier mode simule un écran éteint. L'affichage passe en noir, donnant l'impression que l'écran est en veille ou éteint, pendant que la modulation de pixels continue d'encoder les données exfiltrées dans les émissions du câble. Un observateur dans la salle verrait un écran noir, situation banale dans un bureau où les stations de travail se mettent en veille. Ce mode est optimal quand l'exfiltration doit se produire en dehors des heures de travail ou quand aucun utilisateur n'est présent devant la machine.

Le second mode est stéganographique : la modulation est intégrée dans le contenu visuel affiché normalement. L'utilisateur devant la machine continue de voir son interface habituelle, ses documents ou son code, pendant que des pixels spécifiquement sélectionnés dans l'image affichée portent les données exfiltrées. Ce mode est adapté quand l'exfiltration doit se produire pendant une session active, sans interruption visible du travail de l'utilisateur.

Les chercheurs ont testé les deux modes sur neuf marques de moniteurs différentes et quinze câbles vidéo de types variés : HDMI, DisplayPort, DVI. Les performances varient selon le câble et le moniteur, mais tous les combinaisons testées ont produit des émissions mesurables et décodables à la réception.

Performances : 8,1 Mbps et 208 Mètres

Les deux chiffres principaux, 8,1 Mbps et 208 mètres, ont été mesurés dans des conditions différentes et ne sont pas simultanés : le débit maximal a été atteint à courte distance, et la portée maximale a été testée avec un débit plus réduit. Cela reste néanmoins une capacité exceptionnelle par rapport aux canaux cachés existants.

La comparaison avec TEMPEST-LoRa, présenté à la conférence CCS 2025, est instructive. TEMPEST-LoRa représente l'état de l'art précédent des canaux cachés à longue portée sur systèmes isolés : 87,5 mètres de portée, 21,6 kbps de débit. TrojPix double la portée et multiplie le débit par un facteur supérieur à 300. PIXHELL, publié en 2024, encodait des données dans les sons produits par les pixels de l'écran : une technique originale mais limitée à quelques bits par seconde et à une portée de quelques mètres.

L'écart de performance entre TrojPix et ses prédécesseurs s'explique par l'exploitation des câbles vidéo comme antennes. Un câble HDMI ou DisplayPort est un conducteur de plusieurs mètres, bien plus efficace comme antenne rayonnante qu'un écran ou un châssis de PC. En choisissant des fréquences porteuses adaptées à la longueur de ces câbles, TrojPix exploite des antennes déjà en place dans l'environnement cible sans avoir à en installer de nouvelles.

Le Matériel de Réception

Du côté récepteur, TrojPix n'exige pas d'équipement spécialisé difficile à se procurer. Un récepteur SDR (Software Defined Radio) de type RTL-SDR, disponible en ligne pour moins de trente euros, combiné à une antenne appropriée et au logiciel de décodage développé par les chercheurs, suffit à capter et décoder le signal. La configuration complète tient dans un sac à dos. Un acteur disposant d'un accès physique au bâtiment, un technicien de maintenance, un agent de nettoyage, un visiteur, peut déployer le récepteur dans une salle adjacente ou dans un couloir et commencer à recevoir les données exfiltrées sans que personne dans la salle sécurisée ne perçoive quoi que ce soit.

La portée de 208 mètres signifie également que le récepteur peut être positionné à l'extérieur du bâtiment dans certaines configurations. Un véhicule garé à proximité, ou un opérateur positionné dans un bâtiment voisin, entre dans la portée opérationnelle de TrojPix dans des conditions de câble et de moniteur favorables.

Contre-Mesures et Limites

Les chercheurs identifient trois contre-mesures principales contre TrojPix. La plus efficace est le remplacement des câbles cuivre par des câbles à fibres optiques. La fibre optique transmet les signaux vidéo sous forme de lumière plutôt que de courant électrique et n'émet pas de rayonnement électromagnétique exploitable. C'est une contre-mesure définitive contre TrojPix et contre toutes les variantes futures de cette technique, mais elle implique un investissement en infrastructure et n'est pas rétrocompatible avec tous les équipements.

La deuxième contre-mesure est le blindage TEMPEST. Des câbles et des boîtiers certifiés TEMPEST sont conçus pour minimiser les émissions électromagnétiques involontaires. Ils sont déjà requis dans certains environnements gouvernementaux et militaires, mais leur déploiement dans des environnements industriels ou de recherche privés est rare en raison de leur coût élevé.

La troisième contre-mesure est la prévention de l'infection initiale. TrojPix requiert qu'un logiciel malveillant soit préalablement installé sur la machine cible. Sans cette infection initiale, la technique ne peut pas être activée. La sécurité des systèmes isolés commence donc par un contrôle rigoureux de tout ce qui peut y être introduit : logiciels, mises à jour, supports de stockage amovibles, et accès physique.

Il est important de noter que TrojPix est une recherche académique publiée avec une divulgation responsable. Les chercheurs de Shandong n'ont pas publié leur logiciel de démodulation ni les détails de fréquence complets qui permettraient à un acteur malveillant de répliquer immédiatement l'attaque. Mais la démonstration de faisabilité est désormais dans le domaine public, et les acteurs disposant des ressources techniques nécessaires peuvent en principe reconstruire la technique à partir des informations publiées.

Les Scénarios d'Attaque Réalistes

Évaluer la menace TrojPix de manière réaliste exige de distinguer deux types d'environnements. Les systèmes vraiment isolés, comme les réseaux de contrôle de centrales nucléaires ou les systèmes de classification militaire, font déjà l'objet de mesures TEMPEST dans la plupart des pays qui en détiennent. Pour ces environnements, TrojPix représente une menace incrémentale dans un paysage de risques déjà géré par des politiques de blindage et de câblage spécifiques.

La menace la plus concrète concerne les environnements qui se croient protégés par l'isolation physique sans avoir déployé les mesures TEMPEST correspondantes : salles de recherche et développement industriel, laboratoires pharmaceutiques, bureaux d'études dans les secteurs de la défense et de l'aéronautique, mais aussi des environnements moins attendus comme les salles de délibéré judiciaire ou les bureaux d'avocats gérant des dossiers hautement sensibles. Ces environnements ont souvent été isolés du réseau informatique standard précisément parce que les organisations ont évalué que leur contenu justifiait une protection supplémentaire, mais sans avoir envisagé le vecteur électromagnétique.

Implications pour les Politiques de Sécurité Physique

TrojPix modifie le périmètre de ce qui doit être considéré comme un canal d'exfiltration potentiel dans les environnements à haute sensibilité. Jusqu'à présent, la politique standard pour les salles sécurisées incluait le contrôle des ports USB, la désactivation du Wi-Fi et du Bluetooth, l'interdiction des téléphones mobiles, et parfois la vérification des imprimantes et des fax. TrojPix ajoute les câbles vidéo à cette liste.

La recommandation des chercheurs de Shandong pour les câbles à fibres optiques est techniquement correcte mais implique des changements d'infrastructure non triviaux. Une approche intermédiaire consiste à déployer des moniteurs directement dans les locaux sécurisés et à limiter la longueur des câbles vidéo au strict minimum nécessaire, réduisant la longueur de câble disponible comme antenne et donc la portée et le débit des émissions exploitables. Les câbles blindés certifiés TEMPEST, bien que coûteux, offrent une atténuation significative sans nécessiter de remplacement complet de l'infrastructure d'affichage.

Il convient de rappeler que TrojPix requiert une infection préalable par un logiciel malveillant sur la machine cible pour fonctionner. La chaîne d'approvisionnement logicielle et le contrôle des supports de stockage amovibles restent les contrôles les plus importants pour les systèmes isolés : ils empêchent l'infection initiale sans laquelle TrojPix est inopérant. Les organisations qui maintiennent des procédures strictes de vérification des logiciels installés sur leurs systèmes isolés et qui n'autorisent aucun support amovible non vérifié ont une protection efficace contre ce vecteur spécifique, indépendamment des mesures de blindage électromagnétique.

TrojPix dans le Contexte de l'Évolution des Canaux Cachés

La technique TrojPix s'inscrit dans une progression documentée de recherche sur les canaux cachés électromagnétiques qui remonte aux années 1950. La surveillance TEMPEST originale, développée par la NSA et ses équivalents dans d'autres pays, ciblait exactement ce type d'émissions involontaires de l'équipement électronique. L'objectif était défensif : comprendre ce qu'un adversaire pouvait déduire des émissions radioélectriques d'un équipement de traitement de l'information, pour concevoir des blindages appropriés.

Ce qui a changé avec TrojPix par rapport aux techniques TEMPEST classiques, c'est la direction du contrôle : au lieu d'observer passivement des émissions involontaires, le logiciel malveillant contrôle activement ces émissions en modifiant ce qui est affiché sur l'écran. Les émissions TEMPEST classiques sont le résultat de l'activité normale de l'équipement. TrojPix transforme l'écran en émetteur radio délibéré en manipulant son contenu. Cette distinction est fondamentale : les contre-mesures TEMPEST conçues pour atténuer les émissions passives s'appliquent également aux émissions actives de TrojPix, mais le niveau de risque est différent. Une émission passive révèle ce qui est traité. Une émission active transmet ce que le logiciel malveillant décide d'envoyer, à un débit choisi par l'attaquant.

L'évolution du domaine depuis PIXHELL en 2024 vers TrojPix en 2026 illustre le rythme d'amélioration dans cette catégorie de recherche. PIXHELL utilisait les fréquences audio produites par les pixels de l'écran pour encoder des données : quelques bits par seconde, une portée de quelques mètres, nécessitant un microphone très proche de l'écran cible. TrojPix exploite les émissions électromagnétiques du câble vidéo : 8,1 Mbps, 208 mètres, avec un équipement de réception abordable. Si cette progression se maintient sur les prochaines années, les canaux cachés par émissions électromagnétiques pourraient atteindre des débits et des portées rendant leur utilisation pratique dans des scénarios d'espionnage industriel ou de défense réalistes.

Modèle de Menace Réaliste et Acteurs Concernés

Pour évaluer si TrojPix est une menace pertinente pour une organisation spécifique, il faut considérer deux questions distinctes : est-ce que des acteurs ayant la motivation et les capacités de déployer cette technique existent, et est-ce que l'organisation concernée détient des actifs suffisamment précieux pour justifier cet investissement ?

Sur la première question : les services de renseignement étatiques de plusieurs pays disposent depuis des années de capacités TEMPEST offensives classifiées. La publication de TrojPix par des chercheurs universitaires signifie que la technique est désormais dans le domaine public, et que des acteurs moins sophistiqués que les services de renseignement peuvent en principe la développer. La barrière technique principale, le développement du logiciel de modulation et du logiciel de démodulation, est maintenant documentée dans la littérature académique. La barrière d'équipement pour le récepteur est très faible : un SDR RTL-SDR coûte moins de trente euros.

Sur la seconde question : les actifs qui justifient l'investissement dans une attaque TrojPix sont ceux qui sont maintenus dans des systèmes délibérément isolés parce que leur valeur est suffisamment haute pour justifier cette isolation. Plans de développement de technologies militaires ou de défense, formules pharmaceutiques sous brevet, code source de systèmes de contrôle industriel critiques, données de renseignement opérationnel, résultats de recherche fondamentale à haute valeur commerciale. Une organisation qui maintient des systèmes isolés a, par définition, déjà évalué que ces systèmes détiennent des actifs qui méritent cette protection particulière.

Intégration de TrojPix dans les Politiques de Sécurité Existantes

Pour les organisations qui disposent déjà de politiques de sécurité pour les systèmes isolés, l'intégration de la menace TrojPix ne nécessite pas une refonte complète de ces politiques. Elle nécessite une extension spécifique : l'ajout du câble vidéo à la liste des vecteurs d'exfiltration physique qui font l'objet d'une évaluation et de mesures de protection.

Les politiques existantes couvrent généralement : les ports USB (désactivés ou contrôlés), les interfaces réseau (désactivées), les ports série et parallèles (désactivés), les interfaces sans-fil (désactivées ou absentes physiquement). Ces politiques restent pertinentes et nécessaires. TrojPix ne remplace pas ces vecteurs, il s'y ajoute. La liste des vecteurs à couvrir devrait maintenant inclure explicitement : câbles vidéo (fibre optique ou blindage TEMPEST pour les environnements à haute sensibilité), longueur minimale des câbles vidéo (réduire la longueur réduit la surface d'antenne), et positionnement des moniteurs (éloigner les câbles vidéo des fenêtres et des zones accessibles depuis l'extérieur du périmètre sécurisé).

La surveillance des anomalies d'affichage peut également servir de détection. Un logiciel malveillant activant le mode "écran éteint" de TrojPix crée un événement ACPI ou une modification du profil d'alimentation du moniteur qui peut être détecté par des outils de surveillance de l'état du système. Un écran qui entre dans un état "éteint" logiciel pendant que la machine reste active, en dehors des politiques normales de mise en veille définies par l'administrateur, est une anomalie comportementale détectable sans équipement spécial.

Évaluation du Risque Résiduel

Pour une organisation qui a évalué sa posture face à TrojPix et qui ne peut pas déployer immédiatement des câbles à fibres optiques ou un blindage TEMPEST certifié, l'évaluation du risque résiduel doit tenir compte de plusieurs facteurs atténuants. Premièrement, TrojPix requiert une infection préalable : un système isolé dont l'intégrité logicielle est vérifiée régulièrement, et sur lequel aucun support amovible non autorisé ne peut être connecté, n'est pas exposé à cette technique. La première ligne de défense reste la prévention de l'infection initiale.

Deuxièmement, la portée opérationnelle de TrojPix, bien que remarquable par rapport aux techniques précédentes, reste physiquement contrainte. Un récepteur doit être physiquement positionné dans un rayon de 208 mètres du câble vidéo cible. Dans un bâtiment avec un contrôle d'accès physique robuste, cette contrainte représente un risque opérationnel pour l'attaquant : maintenir un récepteur actif pendant suffisamment longtemps pour exfiltrer des volumes de données significatifs nécessite soit un accès persistant au périmètre physique, soit la complicité d'un insider. La sécurité physique des bâtiments qui hébergent des systèmes isolés est donc une mesure indirectement efficace contre TrojPix.

Troisièmement, l'exfiltration active via TrojPix consomme des ressources CPU pour la génération de la modulation de pixels. Sur des systèmes avec une surveillance des ressources, une activité CPU inhabituelle sans processus légitime identifié peut servir d'indicateur indirect. Cette détection est peu fiable en pratique car la consommation peut être masquée, mais elle représente une possibilité supplémentaire de détection dans les environnements où la surveillance des ressources est déjà en place.

Comment Defendis peut vous aider

Les acteurs étatiques, les outils d'accès distant distribués sur mesure et les techniques d'exfiltration physique représentent des menaces que les seuls outils de protection de poste ne suffisent pas à contenir. Defendis surveille en continu la surface d'attaque exposée de votre organisation : services accessibles sur Internet, identifiants compromis circulant dans les marchés clandestins, et indicateurs de compromission associés aux groupes documentés dans cet article. Quand un acteur hostile cible votre secteur ou que des données propres à votre organisation apparaissent dans un nouveau canal d'exfiltration, votre équipe reçoit le signal avant que l'attaquant ait pu agir. Découvrez comment la détection précoce change les résultats d'un incident, ou demandez un briefing personnalisé pour votre organisation.

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.