SOYEZ PRÊTS
Tous les signes sont là, si vous ne le voyez pas et si vous ne le vivez pas, c’est que vous n’avez pas à le vivre. Mais ça ne changera rien à ce qui va se produire sur terre. C’est irrémédiable, irrévocable et c’est maintenant. O.M.A.

6 août 2014

USB : découverte d'une vulnérabilité impossible à corriger

Des chercheurs allemands viennent de démontrer que tous les périphériques USB souffrent d’une énorme vulnérabilité, impossible à corriger à ce jour. Non sécurisé, le firmware du contrôleur peut en effet être reprogrammé pour une tâche malveillante.


L’universalité des connecteurs USB pourrait bien être son principal talon d'Achille. C'est en tout cas ce que révèle une expérience menée par deux chercheurs du Security Research Lab de Berlin (Allemagne), un laboratoire spécialisé dans la sécurité informatique. Après des mois de recherche, une énorme vulnérabilité qui touche l'ensemble des périphériques et des prises USB fut exploitée. Cette brèche repose sur le firmware de la puce du contrôleur. Celui-ci permet d'assurer la connexion entre l'hôte et le périphérique. Les chercheurs ont malheureusement constaté qu’il ne dispose d'aucune protection et peut être reprogrammé à volonté. Le fruit malicieux de leur investigation a reçu le nom évocateur de BadUSB.

Une fois réécrit, le contrôleur peut alors transformer une banale clé USB en un véritable arsenal nuisible. Une simple clé de stockage par exemple peut ainsi être considérée comme un clavier par l'ordinateur-hôte et assurer une connexion à un réseau de cybercriminels. Ces derniers pourraient alors saisir à distance des commandes pour aller encore plus loin dans leurs actions malveillantes. Dans le même esprit, un périphérique reprogrammé resté branché à un ordinateur éteint pourrait tout à fait contaminer ce dernier aussitôt sa mise sous tension, avant même le démarrage de l'OS… Dans cette situation, il n'y aurait aucune parade. Même la réinitialisation de l'ordinateur ne changerait pas la donne. 

Aucune protection possible

Cette énorme vulnérabilité provient en réalité des standards USB qui ont été attribués par l'USB Implementers Forum. Autrement dit, elle date des débuts de la technologie. Pour assurer son universalité, l'organisme a fait totalement l'impasse sur la sécurité. Ainsi, chaque firmware USB d'un périphérique reçoit un code de classification qui permet d'indiquer sa fonction (souris, clavier, clé, disque dur, smartphone…) à un contrôleur-hôte (ordinateur, smartphone, tablette…). Toutefois, rien n'empêche d'inscrire des informations qui ne correspondent pas à sa fonction. C’est exactement ce que les chercheurs sont parvenus à réaliser.

Le principal souci de cette vulnérabilité est qu'elle ne peut pas être détectée par les antimalwares et passe donc totalement inaperçue. En réalité, aucun système de protection ne permettrait de l'éviter, ni même de s'en débarrasser. Pour le moment, seules trois solutions hypothétiques pourraient atténuer sa portée.

Premièrement, ne brancher que des périphériques dont l'utilisateur est absolument certain de sa fiabilité. Mais comment l’être puisqu'il n'y a aucune possibilité de vérifier qu'un firmware a été reprogrammé ? Sinon, ajouter une signature numérique au firmware. Toutefois cette technique prendrait bien une décennie avant d'être répandue à l'ensemble des accessoires du marché. Enfin, réserver chaque prise USB à une seule classe de périphérique. Une méthode qui viendrait, certes, annihiler le côté universel de cette interface et revenir soudainement vingt ans en arrière. En somme, pour le moment, cette vulnérabilité reste dans l'impasse bien qu’elle ne semble pas encore avoir été exploitée pour nuire.

Les chercheurs allemands donneront plus de détails sur leur expérimentation le 7 août prochain, à la fin de la conférence Black Hat 2014, qui se tient depuis samedi 2 août à Las Vegas.