Les conférences ‘Black Hat‘ et ‘DefconDEFCON est la convention hacker la plus connue à travers le monde. Elle est tenue chaque année à Las Vegas, aux États-Unis. La première convention DEF CON s'est déroulée en juin 1993. Le public de cette convention est pour la plupart composé de profess...‘ n’ont pas encore donné leur coup d’envoi mais les premières vulnérabilités qui seront présentées en détail lors de ces événements se dévoilent en avant première.
Les chercheurs allemands Karsten Nohl et Jakob Lell ont découvert un vecteur d’attaque bien plus fourb, le firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... des périphériques USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More.
Les deux chercheurs en sécurité comptent mettre en avant les risques potentiels liés à la connectique USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More, ils sont parvenus à créer un logiciel malveillant (malware) capable d’infecter le firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... du contrôleur USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More
USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More: Usual Suspect Bus ?
Si les périphériques USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More étaient déjà considérés comme une menace dés lors qu’ils pouvaient servir au stockage et à la diffusion de malwaresUn logiciel malveillant de l'anglais malware est un logiciel développé dans le but de nuire à un système informatique. Les Virus et les Vers sont les deux exemples de logiciels malveillants les plus connus., une attaque via un firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... modifié est beaucoup plus inquiétante.
En effet, si la plupart des antivirus sont capables de détecter un malware classique tentant d’infecter l’ordinateur via une clef USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More branchée, rares sont ceux capables de détecter une attaque venant du firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... de ce même matériel.
De la même façon, ce type de malware semble plus difficile à éliminer puisqu’un reformatage du périphérique en question ne supprime pas le firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor..., qui reste donc toujours dangereux.
Wired rappelle également que la plupart des périphériques USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More ne disposent pas de protection au niveau du firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... et acceptent sans broncher un firmwareEn informatique, un micrologiciel ou firmware en anglais est un logiciel qui est intégré dans un composant matériel (en anglais hardware). Le micrologiciel peut résider: - Dans une mémoire non volatile, donc stockant le programme et les données même lor... venant d’une source autre que son constructeur.
Effets d’annonce
Cette vulnérabilité, qui répond à la délicate appellation de ‘BadUSB’, sera présentée plus en avant lors de la conférence Black Hat qui aura lieu à Las Vegas du 2 au 7 août 2014.
Selon Ars Technica, plusieurs démonstrations sont annoncées par les chercheurs.
L’une d’entre elle permettra de montrer comment une clef USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More peut se faire passer pour un clavier aux yeux de l’ordinateur et ensuite taper automatiquement des portions de code dans une invite de commande.
Une autre démontrera comment une simple clef peut se faire passer pour une carte réseauCarte d'extension qui permet de connecter un ordinateur à un réseau. et forcer l’utilisateur à avoir recours à un DNSDNS ou Domain Name Systems leur rôle est de traduire les adresses Web libellées en toutes lettres, comme secunews.org, en adresses IP (Internet Protocol), exprimées sous la forme de quatre groupes de chiffres séparés par des points. spécifique qui le redirige vers des sites malveillants.
Le spectre de Bad BiosBasic Input/Output System (BIOS), Programme contenu dans la ROM de la carte mère qui s'exécute au démarrage de l'ordinateur et active les périphériques de base (lecteur de disquette, disque dur, sourie, clavier ...) pour pouvoir démarrer un système d'e...
Seule solution ?
Refuser en bloc tous les périphériques USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More.
Un peu extrême certes, mais pour l’instant le peu de détails révélés autour de cette vulnérabilité empêche de réfléchir à des pistes pour se prémunir.
Il faudra également voir comment cette attaque peut être exploitée dans un scenario réel, il y a en effet un écart entre une failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... théorique mais impraticable en réalité et un exploitDans le domaine de la sécurité informatique, un exploit (prononcer exploite et non exploi) Le mot provenant de exploitation de faille informatique (et non pas du fait de réaliser un quelconque exploit extraordinaire), c'est un programme permettant à un ind... viable.
Ars Technica rappelle ainsi le cas BadBios, une vulnérabilité identifiée par le consultant en sécurité Dragos Ruiu.
Le nom donné à Bad USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More fait évidemment référence à cette étude de Dragos Ruiu dont les conclusions n’ont toujours pas été vérifiées par d’autres équipes de chercheurs, mais qui restent théoriquement plausibles selon certains chercheurs.
Le site Wired, qui a eu la primeur de l’information, s’interroge sur l’éventuel utilisation de cette failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …....
[quote]Matt Blaze, un professeur d’informatiqueLe mot informatique désigne l'automatisation du traitement de l'information par un système, concret (machine) ou abstrait. Dans son acception courante, l'informatique désigne l'ensemble des sciences et techniques en rapport avec le traitement de l'infor... de l’université de Pennsylvanie, n’hésite pas à évoquer la possibilité que la failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... soit déjà exploitée par la NSALa NSA ou CSS ou National Security Agency ou Central Security Service, ou Agence de sécurité nationale/Service central de sécurité) sont des organismes gouvernementaux des États-Unis, responsables de la collecte et de l'analyse de toutes formes de communi..., il rappelle l’existence de Cottonmouth, un programme de piratage de l’agence, dévoilé par Edward Snowden fin 2013.[/quote]
L’une des caractéristiques de ce dernier est d’utiliser un câble USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More dont la connectique est modifiée par la NSALa NSA ou CSS ou National Security Agency ou Central Security Service, ou Agence de sécurité nationale/Service central de sécurité) sont des organismes gouvernementaux des États-Unis, responsables de la collecte et de l'analyse de toutes formes de communi..., mais le fonctionnement précis du système n’est pas détaillé.
[quote]Je ne serais pas surpris si certaines des découvertes de Nohl et Lell se trouvaient déjà dans le catalogue de la NSALa NSA ou CSS ou National Security Agency ou Central Security Service, ou Agence de sécurité nationale/Service central de sécurité) sont des organismes gouvernementaux des États-Unis, responsables de la collecte et de l'analyse de toutes formes de communi..., conclut Matt Blaze.[/quote]
Alerté par les deux chercheurs, l’USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More Implementers Forum, le consortium qui gère le développement l’USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More, a tiré une conclusion assez évidente de cette situation.
Il faut se méfier, en premier lieu, de la machine à laquelle on connecte un périphérique externe pour éviter toute infection.
Un constat valable en théorie, mais en pratique, la failleEn informatique, une faille de sécurité désigne un comportement inattendu du concepteur d'un système. Une fois la faille exploitée, cela provoque généralement un déni de service du système (programme informatique, noyau du système d'exploitation, …... relevée ici sème le doute auprès de l’utilisateur, qui ne peut jamais vraiment savoir si son appareil a été infecté, et cela demande une réflexion différente.
[quote]Dans cette nouvelle façon de penser, vous ne pouvez plus faire confiance à un appareil USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More , même s’il ne contient pas de virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More.
La confiance doit venir du fait qu’il n’a jamais été en contact avec quoi que ce soit de malveillant, explique Karsten Nohl.
Vous devez donc considérer qu’un périphérique USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More est infecté dès qu’il entre en contact avec un ordinateur potentiellement dangereux, et le jeter.
C’est une démarche incompatible avec la façon dont nous utilisons les périphériques USBUniversal Serial Bus Bus externe qui prend en charge l’installation Plug-and-Play Avec un bus USB, vous pouvez connecter et déconnecter des unités sans arrêter ou redémarrer votre ordinateur. Sur un même port USB, vous pouvez connecter jusqu’à 127 un... More aujourd’hui. [/quote]
Paranoïa ou malware ultra sophistiqué ?
Les paris restent ouverts.
La présentation prévue par les chercheurs allemands semble en tout cas être en mesure de présenter un proof of conceptUne preuve de concept ou POC ou Proof of concept (en anglais) est une réalisation courte et ou incomplète d'une certaine méthode ou idée pour démontrer sa faisabilité. La preuve de concept est habituellement considérée comme une étape importante sur l... More de l’attaque.
Si les conclusions de l’étude menée par Karsten Nohl et Jakob Lell se confirment, alors la balle sera dans le camp des constructeurs, qui devront sécuriser leurs firmwares face à ce type de menaces.
Clic pour accéder au site officiel du Black Hat 2014 (anglais)
