En bref

  • Des chercheurs de l'Université de Shandong ont développé TrojPix, une technique permettant d'exfiltrer des données depuis des ordinateurs air-gapped en exploitant les émissions radio d'un câble vidéo.
  • La technique atteint un débit de 8,1 Mbps sur 208 mètres, même à travers des murs en béton, sans droits administrateur ni modification matérielle.
  • Les organisations s'appuyant sur l'isolation physique doivent renforcer leurs contrôles de détection de malwares et évaluer les normes TEMPEST pour leurs environnements les plus sensibles.

Une nouvelle technique d'exfiltration invisible à l'oeil nu

Des chercheurs de l'Université de Shandong et du Quan Cheng Laboratory ont présenté TrojPix, une technique innovante d'attaque par canal caché permettant de voler des données depuis des systèmes dits « air-gapped », c'est-à-dire des ordinateurs physiquement isolés de tout réseau. L'étude est présentée lors du 35e USENIX Security Symposium, l'une des conférences académiques les plus prestigieuses en cybersécurité, et a été relayée par The Hacker News le 6 juillet 2026.

Le principe de TrojPix repose sur une idée aussi ingénieuse que déstabilisante : en modifiant de façon imperceptible les valeurs de certains pixels affichés à l'écran — notamment le bit de poids faible (LSB) du canal bleu — un logiciel malveillant peut contrôler de manière déterministe les émissions électromagnétiques (EM) rayonnées par le câble vidéo reliant l'ordinateur à son moniteur. Ces émissions, infimes et invisibles à l'oeil nu, encodent les données à exfiltrer sous forme de signaux radio que n'importe quel récepteur radio commercial peut capter à distance.

La performance annoncée est sans précédent dans cette catégorie d'attaques : TrojPix atteint un débit de pointe de 8,1 Mbps, soit une amélioration d'environ 27 fois par rapport aux techniques précédentes de référence. À ce rythme, un fichier de 100 Mo peut être transféré en moins de deux minutes. Le rayon d'action validé atteint 208 mètres, et les tests ont démontré que les émissions traversent des cloisons en béton, ce qui signifie qu'un attaquant n'a pas besoin d'être en ligne directe de visée avec le système cible.

Ce qui rend TrojPix particulièrement inquiétant pour les environnements haute sécurité, c'est la légèreté des prérequis côté attaquant. Le malware nécessite uniquement un accès au niveau utilisateur standard, sans droits administrateur ni modification matérielle de la machine. Il fonctionne entièrement en mode user-space. La modification des pixels à l'écran est si subtile qu'elle échappe à la perception humaine et à la plupart des contrôles logiciels de surveillance d'affichage.

La technique s'inscrit dans une longue lignée de recherches sur les attaques par canaux électromagnétiques visant les systèmes air-gapped. On se souvient notamment de PIXHELL, présentée en 2024, qui utilisait le bruit généré par les pixels d'un écran LCD pour encoder des données acoustiques. Avant cela, des chercheurs avaient exploité les émissions des disques durs (Diskfiltration), les LED d'activité réseau (AirHopper, LED-it-GO), ou encore les ventilateurs de refroidissement (FanSMiTTer). TrojPix se distingue par un débit et une portée nettement supérieurs à toutes ces variantes connues.

Il convient néanmoins de replacer la menace dans son contexte opérationnel réel. TrojPix est un canal d'exfiltration, non un vecteur d'intrusion initial. Pour que l'attaque fonctionne, un acteur malveillant doit d'abord compromettre la machine air-gapped et y installer le logiciel malveillant. Cette étape initiale reste la plus difficile dans les environnements véritablement isolés, qui disposent généralement de contrôles d'accès physiques stricts, d'une politique stricte sur les supports amovibles et d'une surveillance renforcée. La technique est donc principalement pertinente pour des acteurs étatiques ou APT sophistiqués visant des cibles très haute valeur.

La présentation de cette recherche au USENIX Security Symposium valide scientifiquement le vecteur et impose aux défenseurs de systèmes air-gapped — typiquement les réseaux industriels critiques (ICS/SCADA), les systèmes de commandement militaire, les environnements nucléaires ou les centres de recherche sensibles — de reconsidérer leurs modèles de menace. Des contre-mesures existent : le blindage électromagnétique (cage de Faraday) autour des postes sensibles, la détection d'anomalies sur les valeurs affichées à l'écran, ou encore le recours à des câbles vidéo blindés de haute qualité réduisant les émissions parasites. Ces mesures sont coûteuses mais représentent la seule protection efficace contre cette classe d'attaque.

La divulgation responsable a été respectée par les chercheurs, permettant à la communauté de la défense de préparer les contre-mesures avant une éventuelle exploitation malveillante. La cadence croissante de ces publications académiques — plusieurs nouvelles techniques air-gap chaque année — suggère que des acteurs malveillants investissent massivement dans ce domaine, raccourcissant inexorablement le délai entre la recherche académique et l'exploitation opérationnelle.

Un tournant dans la menace contre les infrastructures isolées

Les systèmes air-gapped représentent le dernier rempart physique de sécurité pour les infrastructures les plus critiques au monde : centrales nucléaires, réseaux électriques, systèmes de contrôle du trafic aérien, bases de données renseignement, et développement d'armes. La prémisse fondamentale de l'air-gap — « sans connexion réseau, pas d'exfiltration de données » — a été progressivement érodée par une accumulation de recherches académiques. TrojPix représente l'évolution la plus menaçante à ce jour, car elle combine une portée longue, un débit élevé et une discrétion quasi totale.

Du point de vue des entreprises françaises et européennes opérant des systèmes OT (Operational Technology) dans des secteurs régulés comme l'énergie, l'eau ou les transports, cette recherche doit alerter les RSSI. La directive NIS2 impose aux opérateurs d'importance vitale (OIV) et aux entités essentielles de maintenir des mesures techniques proportionnées aux risques. Une menace comme TrojPix doit être intégrée dans les analyses de risque et les exercices de red team pour les environnements industriels critiques.

Pour les équipes sécurité, la publication de cette recherche constitue une opportunité de renforcer les politiques de sécurité physique. L'ANSSI recommande depuis plusieurs années l'application de normes TEMPEST (Transient Electromagnetic Pulse Emanation Standard) pour les environnements sensibles, normes qui couvrent précisément ce type d'émissions parasites. La mise à jour des plans de sécurité pour intégrer TrojPix dans le périmètre de menaces évaluées est désormais recommandée.

La frontière entre recherche académique publiée et arsenal offensif étatique est souvent mince. Les nations qui s'appuient sur des systèmes air-gapped pour protéger leurs secrets les plus sensibles doivent intégrer ces évolutions dans leurs stratégies de cyberdéfense à long terme, en planifiant dès aujourd'hui les investissements nécessaires dans les infrastructures de blindage électromagnétique.

Ce qu'il faut retenir

  • TrojPix permet d'exfiltrer des données depuis un système air-gapped à 8,1 Mbps via les émissions radio du câble vidéo, sans droits admin ni modification hardware.
  • La portée de 208 mètres et la traversée de murs en béton rendent la technique opérationnellement viable pour des attaquants APT sophistiqués.
  • Les organisations avec des systèmes air-gapped critiques doivent mettre à jour leurs analyses de risque et évaluer le recours à un blindage électromagnétique TEMPEST.

Un système air-gapped est-il encore une protection suffisante en 2026 ?

L'isolation physique reste une couche de défense essentielle, mais elle ne peut plus être considérée comme une garantie absolue. Des techniques comme TrojPix démontrent qu'un attaquant disposant d'un accès initial à la machine peut exfiltrer des données sans connexion réseau. Pour les environnements critiques, l'air-gap doit être complété par des contrôles stricts sur les supports amovibles, une surveillance physique renforcée, des normes TEMPEST pour le blindage électromagnétique, et une politique zero-trust pour les accès physiques.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact