Stéphanie Blanchet Hoareau,
Responsable Communication & Marketing chez Bertin IT
BadUSB, la menace cachée dans le hardware de nos chères petites clés
Indétectable et ‘impatchable’, la faille de sécurité BadUSB révélée par deux chercheurs de SRLabs lors du Black Hat 2014 se terre dans les confins du hardware et place sous la menace des milliards de périphériques. Au centre des inquiétudes, la très usitée clé USB.
La clé USB, Universal Serial Killer
Ce petit objet si banal qu’on le croirait volontiers inoffensif est bien connu pour être un vecteur d’infection via les fichiers malveillants qu’il peut receler. Il a notamment servi d’agent de transmission à deux vers particulièrement redoutables, Conficker (2008) et Stuxnet (2010).
Les attaques par clés USB tirent le plus souvent parti de propriétés facilitatrices de Windows. L’exécution automatique (autorun) à l’insertion de la clé peut tout aussi bien provoquer l’installation d’un pilote que celle d’un maliciel contenu dans l’appareil. De même, la lecture automatique (autoplay) peut lancer l’application nécessaire à l’ouverture d’un type de fichier, mais aussi permettre à un virus stocké sur la clé d’exploiter une vulnérabilité de cette application (p.ex. exploit d’une faille d’Adobe Reader à la lecture d’un PDF). Un scan d’antivirus ou un reformatage constituent généralement des parades efficaces.
Une nouvelle famille d’attaques sous le radar des défenses traditionnelles
Dans le cas de BadUSB, la menace ne réside pas dans la mémoire flash du support mais au cœur même du firmware qui contrôle son fonctionnement.
Karsten Nohl et Jacob Lell (SRLabs) ont en effet découvert que bon nombre de périphériques USB, bien au-delà de nos chères petites clés, n’exigent pas de signature cryptographique lors de la mise à jour de leur micrologiciel, laissant le champ libre à une reprogrammation malicieuse. Un appareil ainsi corrompu peut se faire passer pour n‘importe quel autre (clavier, disque dur externe, etc.) et prendre le contrôle de l’ordinateur, installer un virus qui se propagera aux autres périphériques USB, exfiltrer des données, espionner l’utilisateur…
Cette nouvelle famille d’attaques échappe aux défenses traditionnelles, la plupart des antivirus étant capables de détecter l’injection d’un malware classique via une clé USB, mais non d’accéder au firmware pour déterminer si celui-ci a été dénaturé. De surcroît, un reset du périphérique ou le formatage de la clé ne parviennent pas à supprimer le firmware qui conserve donc toute sa nocivité.
La moitié des périphériques USB vulnérables… mais lesquels ?
En novembre, une nouvelle étude de SRLabs indiquait que la moitié seulement des microcontrôleurs USB diffusés sur le marché seraient sujets à la faille, sans pouvoir dresser une liste des périphériques sûrs… Non seulement des disparités s’observent au sein d’une même marque (p.ex. certaines puces de Genesys Logic sont sécurisées, d’autres non), mais les fabricants de périphériques ont tendance à changer de fournisseurs de composants électroniques, d’un modèle à un autre, voire pour un même produit, au gré de l’offre et de la demande.
C’est ce que révèle une étude de Richard Harman présentée à la conférence Shmoocon de janvier 2014. On y découvre, par exemple, que le fabricant de clés USB Kingston Digital utilise les microcontrôleurs de six fournisseurs différents. On en compte quatre chez Silicon Power, trois chez Trend Micro… Impossible de déterminer a priori si le firmware contenu dans un appareil appartient à la catégorie protégée, à moins de démonter le dispositif.
Quelles solutions ?
Corriger cette faille demanderait à repenser totalement la façon dont sont conçus les périphériques USB. Pour cela, les fabricants de composants devraient sécuriser la mise à jour de leurs firmwares de manière à empêcher toute reprogrammation illicite.
Une solution côté système d’exploitation réside dans l’implémentation de mécanismes de liste blanche n’autorisant que certains périphériques USB (un seul clavier, une seule souris, …) authentifiés sur la base de critères spécifiques tels que la classe, l’identifiant du vendeur et le numéro de série. Le contrôle d’accès à base de rôles empêchant l’escalade de privilèges et le cloisonnement des environnements (p.ex. Internet vs. réseau corporate) permettent de confiner l’attaque sur la machine victime, sans possibilité de contaminer un réseau.
Bertin IT [lien vers ‘http://bertin-it-information.com’] propose des technologies de très haute sécurité mettant en œuvre cette défense en profondeur.
En savoir plus dans le livre blanc de Bertin IT : « BadUSB, une faille imparable ? »
