Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Les détails d'une importante faille USB sont désormais publics

Plug & Decay
Logiciel 3 min
Les détails d'une importante faille USB sont désormais publics
Crédits : Jeffrey Hamilton/Digital Vision/ThinkStock

Les détails d’une inquiétante faille de l’USB sont désormais accessibles à tous. Démontrée lors de la dernière conférence Black Hat, elle permet de corrompre n’importe quel périphérique USB pour lui faire embarquer des malwares pratiquement indétectables. Devant le manque de réaction de l’industrie, certains chercheurs en ont eu assez d’attendre.

Cacher des malwares dans le firmware d'une clé USB

Le chercheur Karsten Nohl, de chez SR Labs, avait fait la démonstration de cette faille dans une petite pièce il y a deux mois. Nommée BadUSB, ses implications étaient particulièrement conséquentes : la possibilité d’infecter une clé USB par exemple pour lui faire intégrer un code capable ensuite de s’exécuter de manière automatique par la machine sur laquelle elle est reliée. Une version beaucoup plus grave en quelque sorte des anciens problèmes liés au fichier autorun.inf sous Windows.

 

Les travaux de Nohl étaient restés secrets car la faille a le potentiel de faire de grands dégâts. Et pour cause : par sa nature même, elle bloque la possibilité de détecter les malwares ainsi embarqués par les solutions de sécurité. La seule parade est que les constructeurs prennent au sérieux la faille et agissent pour que les nouveaux périphériques USB ne puissent plus être infectés. Et pour les existants ? C’est bien là tout le problème.

Les constructeurs sous pression 

Deux chercheurs, Adam Caudill et Brandon Wilson, se sont lancés sur la piste de BadUSB et sa rétroingénierie. Ils sont parvenus à retrouver plusieurs méthodes d’exploitation de la faille et ont publié leurs résultats sur GitHub, donc en accès libre. Durant la conférence Derbycon, qui s’est tenue il y a une semaine à Louisville (Kentucky), ils ont expliqué leur geste : « Nous pensons que tout ceci devrait être public. Ce ne devrait pas être gardé caché. Nous publions donc tout ce que nous avons ». Et d’expliquer que puisque SR Labs n’a pas souhaité montrer les détails de la faille, les entreprises impliquées n’ont pas pu la considérer sérieusement.

 

Interrogé par Wired, Adam Caudill précise : « Si cela doit être corrigé, nous avons besoin de plus qu’une présentation à la Black Hat. Si les seules personnes qui peuvent le faire sont celles ayant de gros budgets, les constructeurs ne feront jamais rien. Vous devez prouver au monde que c’est utilisable, que n’importe qui peut le faire… Ce qui impose une pression aux constructeurs pour qu’ils corrigent le vrai problème ».

Mettre à jour les périphériques existants ? Difficile 

Nohl avait initialement refusé de partager les détails de sa faille car il estimait qu’en l’état, la corriger était impossible : comment flasher les firmwares des centaines de millions de clés USB existant sur le marché ? Les constructeurs devraient se pencher sur le problème, créer de nouveaux firmwares pour des modèles qui ne sont plus vendus depuis bien longtemps, avertir les utilisateurs, leur faire prendre conscience du danger et les amener à changer le firmware : rien de bien simple en somme.

 

Et c’est d’ailleurs ce grand danger qui a empêché Adam Caudill et Brandon Wilson de publier l’intégralité des méthodes d’exploitation découvertes. Actuellement, ils travaillent sur un processus masqué dans le firmware capable d’infecter à la volée tous les fichiers entrant et sortant de la clé avec des malwares. Il suffirait donc de brancher la clé pour déclencher une infection généralisée d’une machine.

122 commentaires
Avatar de Rozgann Abonné
Avatar de RozgannRozgann- 04/10/14 à 07:17:33

Donc si je comprends bien, ça concerne potentiellement tous les OS, ordinateur comme mobile ? Dans la pratique, il faut que l'OS puisse exécuter le code du virus, donc ça touchera certainement principalement Windows, mais c'est sérieux comme faille.

Avatar de calimero1 INpactien
Avatar de calimero1calimero1- 04/10/14 à 07:19:06

Périphérique USB c'est vague quand même. La souris programmable que j'ai dans la main possède aussi de la mémoire de stockage!

Ca serait, selon moi, plus simple de changer le parc de machines plutôt que le parc de périphériques.
N'importe comment cela parait être une mission impossible.

Avatar de calimero1 INpactien
Avatar de calimero1calimero1- 04/10/14 à 07:21:20

Je lance l'idée sur kickstarter => le hub usb pare feu

Avatar de Pr. Thibault INpactien
Avatar de Pr. ThibaultPr. Thibault- 04/10/14 à 07:22:22

L'OS ne pourrait-il tout simplement pas vérifier le contenu du firmware avant de l'exécuter ? Ce serait le rôle de l'antivirus, et il me semble que Windows contient un antivirus par défaut depuis Windows 8 au moins.

Avatar de JoePike INpactien
Avatar de JoePikeJoePike- 04/10/14 à 07:27:34

Pr. Thibault a écrit :

L'OS ne pourrait-il tout simplement pas vérifier le contenu du firmware avant de l'exécuter ? Ce serait le rôle de l'antivirus, et il me semble que Windows contient un antivirus par défaut depuis Windows 8 au moins.

:non:
Je ne pense pas c'est trop tard
Il y a quelques années on avait regardé ça et la seule solution que nous avions trouvé était d'interdire ( ou controller) les périph USB sur les postes de travail
on avait implémenté STORMSHIELD
et il y est encore ( pas la même version hein ? :D )

Avatar de calimero1 INpactien
Avatar de calimero1calimero1- 04/10/14 à 07:28:11

Pr. Thibault a écrit :

L'OS ne pourrait-il tout simplement pas vérifier le contenu du firmware avant de l'exécuter ? Ce serait le rôle de l'antivirus, et il me semble que Windows contient un antivirus par défaut depuis Windows 8 au moins.

A priori windows n'accède pas au firmware.
Quand tu flashe un périphérique tu utilise un utilitaire dédié. Je vois pas comment l'OS pourrait vérifier que le firmware est le bon (je te raconte pas la taille de la banque de donnée) sans que le code s'execute en amont.
Le pire reste le demarrage d'un PC/smartphone avec la clé déjà branchée.

Avatar de anonyme_5308cee4763677866e1421efa4474f79 INpactien

PCI, vous avez vu la news sur le spyware de la police installé dans un programme de logiciel de filtrage parental ?
https://www.eff.org/deeplinks/2014/09/computercop-dangerous-internet-safety-soft...

Avatar de HarmattanBlow INpactien
Avatar de HarmattanBlowHarmattanBlow- 04/10/14 à 07:40:29

Nohl avait initialement refusé de partager les détails de sa faille car il estimait qu’en l’état, la corriger était impossible : comment flasher les firmwares des centaines de millions de clés USB existant sur le marché ? Les constructeurs devraient se pencher sur le problème, créer de nouveaux firmwares pour des modèles qui ne sont plus vendus depuis bien longtemps, avertir les utilisateurs, leur faire prendre conscience du danger et les amener à changer le firmware : rien de bien simple en somme.

Je ne comprends pas, c'était au contraire une aubaine pour tous les fabricants : une belle annonce catastrophiste entre le réchauffement climatique et une décapitation au moyen-orient pour inciter tout le monde à racheter des clés USB.

Avatar de leo21fr INpactien
Avatar de leo21frleo21fr- 04/10/14 à 07:43:17

Serait-il possible d'avoir des informations techniques pour détecter si une clé USB contient cette faille ?
Quel logiciel utiliser ? A quelle adresse mémoire chercher ?

Avatar de calimero1 INpactien
Avatar de calimero1calimero1- 04/10/14 à 07:46:34

HarmattanBlow a écrit :

Je ne comprends pas, c'était au contraire une aubaine pour tous les fabricants : une belle annonce catastrophiste entre le réchauffement climatique et une décapitation au moyen-orient pour inciter tout le monde à racheter des clés USB.

En fait je ne comprend pas l'intérêt de changer les firmware des periphs existants. A partir du moment où on peut flasher, c'est que le périph est vulnérable.
Je pense que la prochaine génération sera inviolable.
Pour le matos existant c'est pas un code malveillant sur une page internet qui va infecter
une clé. Je pense qu'il faut un logiciel specialisé pour infecter, voire un acces physique.
Plus que jamais je n'accepte pas debrancher le matos des autres sur mes machines.

Il n'est plus possible de commenter cette actualité.
Page 1 / 13
  • Introduction
  • Cacher des malwares dans le firmware d'une clé USB
  • Les constructeurs sous pression 
  • Mettre à jour les périphériques existants ? Difficile 
S'abonner à partir de 3,75 €