InformatiquePiratages

BadUSb, une Faille découverte dans le firmware des périphériques USB

Les conférences ‘Black Hat‘ et ‘Defcon‘ n’ont pas encore donné leur coup d’envoi mais les premières vulnérabilités qui seront présentées en détail lors de ces événements se dévoilent en avant première.

Les chercheurs allemands Karsten Nohl et Jakob Lell ont découvert un vecteur d’attaque bien plus fourb, le firmware des périphériques USB.

Les deux chercheurs en sécurité comptent mettre en avant les risques potentiels liés à la connectique USB, ils sont parvenus à créer un logiciel malveillant (malware) capable d’infecter le firmware du contrôleur USB

USB: Usual Suspect Bus ?

Si les périphériques USB étaient déjà considérés comme une menace dés lors qu’ils pouvaient servir au stockage et à la diffusion de malwares, une attaque via un firmware modifié est beaucoup plus inquiétante.

En effet, si la plupart des antivirus sont capables de détecter un malware classique tentant d’infecter l’ordinateur via une clef USB branchée, rares sont ceux capables de détecter une attaque venant du firmware de ce même matériel.

De la même façon, ce type de malware semble plus difficile à éliminer puisqu’un reformatage du périphérique en question ne supprime pas le firmware, qui reste donc toujours dangereux.

Wired rappelle également que la plupart des périphériques USB ne disposent pas de protection au niveau du firmware et acceptent sans broncher un firmware venant d’une source autre que son constructeur.

Effets d’annonce

Cette vulnérabilité, qui répond à la délicate appellation de ‘BadUSB’, sera présentée plus en avant lors de la conférence Black Hat qui aura lieu à Las Vegas du 2 au 7 août 2014.

Selon Ars Technica, plusieurs démonstrations sont annoncées par les chercheurs.

L’une d’entre elle permettra de montrer comment une clef USB peut se faire passer pour un clavier aux yeux de l’ordinateur et ensuite taper automatiquement des portions de code dans une invite de commande.

Une autre démontrera comment une simple clef peut se faire passer pour une carte réseau et forcer l’utilisateur à avoir recours à un DNS spécifique qui le redirige vers des sites malveillants.

Le spectre de Bad Bios

Seule solution ?

Refuser en bloc tous les périphériques USB.
Un peu extrême certes, mais pour l’instant le peu de détails révélés autour de cette vulnérabilité empêche de réfléchir à des pistes pour se prémunir.

Il faudra également voir comment cette attaque peut être exploitée dans un scenario réel, il y a en effet un écart entre une faille théorique mais impraticable en réalité et un exploit viable.

Ars Technica rappelle ainsi le cas BadBios, une vulnérabilité identifiée par le consultant en sécurité Dragos Ruiu.

Le nom donné à Bad USB fait évidemment référence à cette étude de Dragos Ruiu dont les conclusions n’ont toujours pas été vérifiées par d’autres équipes de chercheurs, mais qui restent théoriquement plausibles selon certains chercheurs.

Le site Wired, qui a eu la primeur de l’information, s’interroge sur l’éventuel utilisation de cette faille.

[quote]Matt Blaze, un professeur d’informatique de l’université de Pennsylvanie, n’hésite pas à évoquer la possibilité que la faille soit déjà exploitée par la NSA, il rappelle l’existence de Cottonmouth, un programme de piratage de l’agence, dévoilé par Edward Snowden fin 2013.[/quote]

L’une des caractéristiques de ce dernier est d’utiliser un câble USB dont la connectique est modifiée par la NSA, mais le fonctionnement précis du système n’est pas détaillé.

[quote]Je ne serais pas surpris si certaines des découvertes de Nohl et Lell se trouvaient déjà dans le catalogue de la NSA, conclut Matt Blaze.[/quote]

Alerté par les deux chercheurs, l’USB Implementers Forum, le consortium qui gère le développement l’USB, a tiré une conclusion assez évidente de cette situation.

Il faut se méfier, en premier lieu, de la machine à laquelle on connecte un périphérique externe pour éviter toute infection.

Un constat valable en théorie, mais en pratique, la faille relevée ici sème le doute auprès de l’utilisateur, qui ne peut jamais vraiment savoir si son appareil a été infecté, et cela demande une réflexion différente.

[quote]Dans cette nouvelle façon de penser, vous ne pouvez plus faire confiance à un appareil USB , même s’il ne contient pas de virus.

La confiance doit venir du fait qu’il n’a jamais été en contact avec quoi que ce soit de malveillant, explique Karsten Nohl.

Vous devez donc considérer qu’un périphérique USB est infecté dès qu’il entre en contact avec un ordinateur potentiellement dangereux, et le jeter.

C’est une démarche incompatible avec la façon dont nous utilisons les périphériques USB aujourd’hui. [/quote]

Paranoïa ou malware ultra sophistiqué ?

Les paris restent ouverts.

La présentation prévue par les chercheurs allemands semble en tout cas être en mesure de présenter un proof of concept de l’attaque.

Si les conclusions de l’étude menée par Karsten Nohl et Jakob Lell se confirment, alors la balle sera dans le camp des constructeurs, qui devront sécuriser leurs firmwares face à ce type de menaces.

Clic pour accéder au site officiel du Black Hat 2014 (anglais)

Laisser un commentaire