Deux chercheurs en sécurité ont découvert une faille dans le protocole USB, qu'ils ont nommée BadUSB. Les détails de cette faille, qui seront dévoilés lors de la conférence Black Hat à Las Vegas, montrent qu'elle est très grave car pratiquement impossible à patcher, étant dans les parties les plus importantes de ce protocole.
Grâce à cette faille il est possible de modifier le firmware d'un périphérique quelconque comme un clavier, une souris, une clé, un disque dur... pour un faire un appareil capable d'exécuter des attaques sur un ordinateur dès qu'il est branché dessus.
De par la façon dont les périphériques USB fonctionnent sur un ordinateur, il serait impossible de détecter des appareils infectés ou de contrer ces attaques. Un malware ainsi installé peut pratiquement tout faire, renvoyer le trafic internet vers des machines espionnes en modifiant les DNS et surtout modifier le firmware d'autres périphériques USB pour se propager.

Pour augmenter la sécurité du protocole USB il faudrait mettre en place des systèmes de signature des firmwares qui seraient vérifiés à chaque branchement, une solution complexe à mettre en œuvre et qui impliquerait du jour au lendemain des mises à jour ou la mise au rebut de centaines de millions de périphériques.

Bien entendu le risque reste limité sur les périphériques en circulation mais il y a toujours à craindre qu'un fabricant d'appareils bon marché en installe un, volontairement ou à son insu sur des produits en usine.
Lien vers le billet original

On finit par ne plus avoir confiance en rien. Tout ca fini par me désabuser de l'informatique.

on se croirait en plein bouquin d'espionnage : le gentil visite l'appartement du méchant, lui remplace son clavier, sa souris, les cables de ses périphériques USB, et HOP !! les gentils ont un double de se que le méchant tape sur son clavier.
Tout ça en étant indécelable ...

Enfin ça c'est dans les livres, parce qu'en vrai l'espionnage français ça ressemble plutôt à l'affaire de Tarnac

@+

solution : nos bons vieux ports ADB.
"Avec Adébé, vous êtres en sécurité"

En faisant mousser cette découverte, Intel peut faire un bon buzz pour Thunderbolt en entreprise

Le plus inquiétant n'est pas cette faille mais ce que le grand public va en retenir, et qui va avoir de plus en plus peur que cela leur arrive, alors même que cette probabilité flirte avec zéro.

N'empêche qu'une fois cette faille rendue publique, je serai beaucoup moins chaud pour acheter des périphériques USB bas de gamme sur des sites comme DealExtreme comme j'ai l'habitude de le faire...

Ca va rendre service aux grandes marques ayant pignon sur rue, ce genre de truc.

Mettre du code malicieux dans une périphérique USB, ce n'est pas vraiment une nouveauté. Par contre on peut se demander pourquoi le code ou de hardware du host (i.e. le Mac ou le PC) autoriserait un clavier ou un disque dur à aller discuter avec une interface réseau ou à modifier un DNS... Probablement un problème de performance comme d'habitude...

Je sais pas si on peu appeler ça une faille vu la mémoire utilisé. Car à mon sens il n'y a aucune nouveauté à pourvoir reprogrammer une eprom. En plus qu'en je lis sur certain site que c'est pas donner à tous le monde de pouvoir le faire, je rigole un peu là car un programmateur se trouve très facilement sur ebay ou autre. En fait c'est juste une histoire de connaissance en programmation.

Ce n'est rien d'exceptionnel: tout ce qui est code peut etre decode

Aucun protocole n'est immunise: le protocole USB date de pres de 20 ans, depuis les puissances de calcul on ete mutipliees de facon exponnentielle, difficile de tout faire suivre de facon aveugle

broit

le grand public s'en fout, il se fera hacker et quand sa bande passante sera inexistante et tous ses peripheriques verolés il ira se plaindre à Darty où un incompetent lui conseillera de changer d'ordinateur. fin


effectivement, un probleme dans les noyaux des systèmes ou encore plus bas? ce serait etonnant quand meme...

M'en fous, ch´ui en Bluetooth !!!

Juste pour info comme quoi il est facile de pouvoir faire mumuse avec une clé usb, ça m'a pris 10s pour trouver ça: http://www.easytutoriel.com/flasher-reparer-cle-usb-memoire/ comme on peu voir, c'est accessible à tous, donc imaginez un peu ce que peu faire une personne mal intentionnée et ayant des notions en programmation

Ce message a été modifié par Laurent17lr - 1 Aug 2014, 10:24.

Pourquoi zéro ? Tu parles pour ta machine à laquelle personne ne passe aux alentours et qui n'a aucun périphérique USB relié à Internet. D'ailleurs, ta machine n'a pas accès à Internet du tout car il suffit qu'un ordinateur soit infecté pour infecter les autres. Aucun risque quoi.

Ce message a été modifié par zero - 1 Aug 2014, 11:08.

Le grand public s'en fout complètement comme ils se fout complètement de toutes les failles. Du moment que ça marche et que ça fait ce que veut l'utilisateur grand public...

Là tu rèves, il y en beaucoup qui s'amusent bien avec les failles.

Ce message a été modifié par zero - 1 Aug 2014, 11:12.

+1 c'est d'ailleurs très malheureux pour certains qui finissent piratés jusqu'à l'os (j'ai eu une amie dans ce cas, le PC entièrement vérolé, et pire son routeur aussi!)

En fait ce n'est pas la sécurité de l'USB qui est atteint, mais plutôt la démonstration de mauvaises implémentations de puces USB, ce qui pourrait arriver à n'importe quel autre protocole (une démo similaire avait été faite me semble-t'il avec une carte Ethernet en installant le malware directement sur celle-ci sans que l'OS puisse le savoir).

Le plus démonstratif c'est que maintenant, chaque petite puce périphérique est un ordinateur complet avec un firmware modifiable, de la memoire vive, et donc devrait être considéré de la même façon que l'ordinateur lui-même: le modèle de sécurité actuel ne correspond plus en rien à l'architecture technique de nos ordinateurs.

Ce message a été modifié par iAPX - 1 Aug 2014, 12:36.

Pourquoi "bon marché" ? Sous entendu "made in China" ?

L'être humain n'est pas forcément plus fiable

Facile de régler le problème, suffit de coller les devices USB avec de la colle forte dans les ports USB....



Oui, mais autour de moi, les mentalités commencent à changer. J'avise mes proches quand il y a des brèches de sécurité, avis de phishing et je reçois des demandes de leur part à propos des risques s'ils font ceci ou cela, mettent à jour tel ou tel OS, etc.

Bref, je considère que c'est mon (notre) devoir de bon citoyen d'informer à propos de risques. Certaines mentalités sont dures à changer par contre (ie: "Je n'ai rien à cacher, donc je me patch rien et ne mets pas de mot de passe du tout...")

Ce message a été modifié par Chriz - 1 Aug 2014, 21:38.

San Andreas lui s'en amuse bien

PS : je sors

@Chriz tu as édité, la citation n'est pas de moi, mais un texte que je reprenais dans mon message. Quoique je sois en accord avec ce qui y est écrit, à savoir que le grand-public, malheureusement, du moment que les actions de base fonctionnent, ne se préoccupent pas de leur sécurité, comme si ils ne bouclaient pas leur ceinture en voiture, ne vérifiaient pas leur pression de pneus (ah lol! heureusement c'est automatique sur la mienne), ni rien.

Cette faille dans des dispositifs fait pour échanger avec l'extérieur est très sérieuse, l'USB est touché sur certains composants, le Wifi pourrait l'être aussi et être aussi facilement attaquable (et là, sans accès physique), etc.

Hehe, tu connais beaucoup de marques informatique qui ne fabriquent pas en Chine ?

justement ... D'où ma question sur "bon marché". Supposons qu'il y ait plus de contrôles sur le matériel haut de gamme. Si la présence d'un firmware espion ne dégrade pas le fonctionnement, je ne vois pas pourquoi ou comment ça serait détecté. On peut imaginer, si le travail est baclé, que le firmware n'a pas la même signature, encore faut-il que ce soit vérifié.

Si quelqu'un qui connait l'industrie électronique peut éclairer ma lanterne...

Sauf erreur, lors des J.O. de Sotchi, les médias ont longuement glosé sur le fait que les clé USB publicitaires distribuée par les russes étaient en fait des clé espionnes qui transféraient le contenu des PCs vers des serveurs du KGB ou similaire. Les journalistes, notamment, étaient informé de ne surtout pas utiliser ces clés.
Sauf erreur donc, la brève présente un fait bien connu des experts mais pas encore mis aussi clairement sur la place publique.
En fait, je crois bien en avoir entendu parler bien avant Sotchi mais je suis incapable de retrouver où et quand.

Désolé!! J'ai corrigé!

Tiens, ça me rappelle une histoire de smartphone "WebOS" qui se faisait passer pour un iPhone via une pseudo signature USB…
Apple avait râlé, et s'était fait raillée pour ça, même si l'USB consortium avait fini par condamner la pratique de feu Palm…
c'était quelque part en 2009 …



L'USB Consortium n'a rien fait dans sa norme USB3 pour sécuriser son merdier.
Je ne sais pas ce qu'il en est de la sécurité de ThunderBolt, mais il y a une certification Apple/Intel il me semble… même si ça fait rager, monter les prix, ralentir les mises sur le marché de matos tout pourris à bas coût

+1

On peut aller meme plus loin et dépasser le cas de la sécurité pour aller sur celui du risque matériel que représente l'USB. Je n'arrête pas de le répéter, mais l'USB est une norme minimaliste, laxiste, bidouillee,… a laquelle on a ajoute des fonctions, comme dans un mikado, pour permettre de gérer des choses qui sont incohérentes, cela parce que l'USB est sur tous les PC et que son implémentation ne coute "rien" tout en permettant de faire des marges énormes pour le fabricant.

Ca fait depuis longtemps que l'on sait que le protocole USB permet des intrusions et que le laxisme de la norme représente un risque important non seulement en terme de sécurité, mais aussi en terme de problème matériel du fait des réalisations bâclées pour des appareils low cost.

Un des dangers principaux avec l'USB vient de périphériques comme les disques durs USB, et devices. Mais comme aujourd'hui on peut brancher une quantité de machines, dont certaines vraiment complexes et puissantes, les risques sont de plus en plus importants.

En fait une phrase de l'article resume très bien la position de l'organisme de normalisation de l'USB. cf Liz Nardozza:


Ceci dit, j'attend de voir ce que les chercheurs en question vont faire comme démonstration et ce qu'ils vont publier, car le principe dont ils parlent n'est pas nouveau et a été exploite depuis longtemps. Une des utilisations a été d'utiliser le firmware pour créer une clef sécurisée qui effaçait son contenu en cas d'accès non valide et d'utilisation sur une machine non autorisée. La réalisation que je connais de ce système date de 2004…

Finalement s'il y a une chose a retenir c'est ce que dit l'un des deux chercheurs, Nohl:


Et qui n'a jamais connecte une clef USB "publicitaire" ou un périphérique low cost sur son PC...



Heu le KGB n'existe plus

Ce dont ils parlaient c'était des clefs USB avec des virus dans la mémoire flash, un truc de base a la porte du scriptkiddies le plus nul. La on parle de réalisation dans le firmware de la clef c'est bien plus grave.

Les russes sont parmi les meilleurs en terme de piratage, mais aujourd'hui les plus actifs ce sont les israéliens et les chinois… derrière les américains qui battent tous le monde au niveau de l'échelle a laquelle ils pratiquent…
Mais sachant que les américains truffent les matériels complexes de portes dérobées, les chinois font de meme sur les composants plus simples.
De toute facon aujourd'hui on a pas le choix tout matériel informatique bas et moyen de gamme est chinois a 90% et tout matériel haut de gamme est americano-chinois!

L'iPad est donc Safe de ce point de vue

Tu rigoles mais c'est bien possible qu'on ai farfouillé dans ta machine sans que tu t'en rendes compte.