Une faille découverte dans le protocole USB, Réactions à la publication du 01/08/2014

[taz065]

Alors ça, ça veut dire que tu branches un disque dur d'une machine à l'autre et tu es ennuyé avec les autorisations par contre tu branches un souris et elle est peut discuter avec le coeur de ton système et faire ce qu'elle veut ?

Y a que moi que ça choque ?

l'os ne pourrait pas gérer ça tout seul ? si c'est une souris pas de raison qu'elle fasse autre chose qu'un boulot de souris, pareil pour un clavier ou quoi que ce soit. quand on branche juste une petite question sur le materiel et hop restriction à la base de ce qu'il peut faire.

[Lionel]

Attendez, ce sont des périphériques d'entrée ! comment voulez vous les bloquer à entrer des choses ? Il suffit de faire croire au système que le gars devant le clavier est en train d'exécuter quelque chose.
Tu n'as jamais changé de DNS sur ta machine ? Comment ? Avec ton clavier et ta souris. Donc si tu veux empêcher qu'on le fasse, OK mais ce ne sera plus possible même pour toi.

[taz065]

Ben is mais quand je change des dns ça m'ouvre des fenêtres partout et me demande des mots de passe tout le temps. on a même droit même à des vous êtes sur quand on vide la corbeille.... comprends vraiment pas pourquoi on ne peux pas bloquer à la base certains comportements grace à l'os.

Mais ce n'est pas grave.

[divoli]

Ben is mais quand je change des dns ça m'ouvre des fenêtres partout et me demande des mots de passe tout le temps. on a même droit même à des vous êtes sur quand on vide la corbeille.... comprends vraiment pas pourquoi on ne peux pas bloquer à la base certains comportements grace à l'os.

Mais ce n'est pas grave.

+1

Même sur PC, c'était craignos à l'époque de XP et antérieurs, mais depuis Vista et avec l'UAC, on ne peut rien modifier de sensible sans entrer un mot de passe, et de plus les périphériques sont scannés par des logiciels de sécurité. Donc je me demande si cet article n'est pas un peu trop alarmiste.

[Laurent17lr]

L'UAC n'intervient que pour des applications voulant un accès au niveau administrateur et aussi si un pilote dont la signature n'est pas reconnu par windows, mais les gens cliquent sur oui à la demande. C'est bien normal d'ailleurs, vous achetez un matériel et quoi de plus normal que de répondre oui si vous voulez profiter de votre matériel. Quant à la demande d'accès au niveau administrateur, combien savent ce que cela veut dire donc bien souvent ils cliquent oui aussi. Pour ce qui est du scan par un log de sécurité, il faut savoir que le dit logiciel scan la mémoire où l'utilisateur à accès, mais pas celle contenant le firmware et même si il voit quelque chose il ne pourra rien faire car cette mémoire ne peut-être réécrite que sous certaines conditions. Donc vous ne pourrez rien faire à par jeter purement et simplement votre matériel. Sauf si vous savez faire un flash firmware.

[Lionel]

Rappelez moi, avec quoi rentrez vous votre mot de passe administrateur ?
Je persiste à penser qu'un truc comme ça dans un clavier ferait très mal. Or, on peut aussi faire croire à une machine qu'une souris ou un disque dur externe a aussi une composante clavier.

[Pascal 77]

Rappelez moi, avec quoi rentrez vous votre mot de passe administrateur ?
Je persiste à penser qu'un truc comme ça dans un clavier ferait très mal. Or, on peut aussi faire croire à une machine qu'une souris ou un disque dur externe a aussi une composante clavier.

Sans compter qu'un malware bien étudié dans le smartphone que vous mettez à recharger sur la prise USB de votre ordinateur pourrait aussi permettre de petites choses désopilantes !

Ce message a été modifié par Pascal 77 - 2 Aug 2014, 09:13.

[SartMatt]

Ca fait depuis longtemps que l'on sait que le protocole USB permet des intrusions

Même dans le cas présent, la faille n'est absolument pas au niveau du protocole USB... Lire à ce sujet l'article de Korben, qui explique bien que le problème est simplement le fait que certains périphériques USB utilisent un firmware reprogrammable, ce qui permet par exemple d'y mettre un firmware qui va émuler un clavier USB, clavier qui va pouvoir envoyer des commandes à la machine, ou encore émuler une interface réseau, etc... http://korben.info/faut-il-vraiment-bouche...-au-ciment.html

Les chercheurs à l'origine de badUSB disent eux même qu'il n'y a pas de faille au niveau du protocole, qu'ils utilisent exactement tel qu'il est conçu : "We're exploiting the very way that USB is designed.".

Ce n'est donc pas vraiment une faille du protocole USB, et je ne vois pas pourquoi on pourrait pas faire ça aussi avec n'importe quel autre protocole, y compris le TB (on peut brancher un contrôleur réseau ou un clavier en TB, directement ou indirectement, donc on peut aussi faire un périphérique TB dont le firmware émulerait une carte réseau ou un clavier, etc...). C'est juste qu'économiquement ça serait pas intéressant à exploiter, les autres protocoles étant peu répandus...

Bref, je vois pas en quoi le protocole USB permettrait plus d'intrusions que n'importe quel autre protocole destiné à gérer des périphériques, si ce n'est par le fait qu'il est plus répandu, ce qui en fait forcément une cible privilégiée... Mais si tu as des sources, je suis preneur, comme d'hab...

Un des dangers principaux avec l'USB vient de périphériques comme les disques durs USB, et devices.

Les disques durs USB dangereux ?
Vas y, explique nous en quoi un disque dur USB est plus dangereux que n'importe quel autre type de disque dur, histoire qu'on rigole un peu...

[M_Marc]

Cela me rappel le base de la contevese sur la moyen mis en œuvre par la Nsa pour infecter écouter toute machine d intérêt. Il avait déjà été question de vecteurs utilisant l USB et micro/sons des machines .....

[r@net54]

Ca fait depuis longtemps que l'on sait que le protocole USB permet des intrusions

Même dans le cas présent, la faille n'est absolument pas au niveau du protocole USB... Lire à ce sujet l'article de Korben, qui explique bien que le problème est simplement le fait que certains périphériques USB utilisent un firmware reprogrammable, ce qui permet par exemple d'y mettre un firmware qui va émuler un clavier USB, clavier qui va pouvoir envoyer des commandes à la machine, ou encore émuler une interface réseau, etc... http://korben.info/faut-il-vraiment-bouche...-au-ciment.html

Les chercheurs à l'origine de badUSB disent eux même qu'il n'y a pas de faille au niveau du protocole, qu'ils utilisent exactement tel qu'il est conçu : "We're exploiting the very way that USB is designed.".

Ce n'est donc pas vraiment une faille du protocole USB, et je ne vois pas pourquoi on pourrait pas faire ça aussi avec n'importe quel autre protocole, y compris le TB (on peut brancher un contrôleur réseau ou un clavier en TB, directement ou indirectement, donc on peut aussi faire un périphérique TB dont le firmware émulerait une carte réseau ou un clavier, etc...). C'est juste qu'économiquement ça serait pas intéressant à exploiter, les autres protocoles étant peu répandus...

Bref, je vois pas en quoi le protocole USB permettrait plus d'intrusions que n'importe quel autre protocole destiné à gérer des périphériques, si ce n'est par le fait qu'il est plus répandu, ce qui en fait forcément une cible privilégiée... Mais si tu as des sources, je suis preneur, comme d'hab...

Un des dangers principaux avec l'USB vient de périphériques comme les disques durs USB, et devices.

Les disques durs USB dangereux ?
Vas y, explique nous en quoi un disque dur USB est plus dangereux que n'importe quel autre type de disque dur, histoire qu'on rigole un peu...

Ben pas la peine, tu nous fais déjà beaucoup rire avec ta réaction qui tente d'aller a l'encontre de l'information: le protocole USB permet des attaques redoutables et indécelables et cela depuis des années.

Ce message a été modifié par r@net54 - 3 Aug 2014, 23:57.

[SartMatt]

Ben pas la peine, tu nous fais déjà beaucoup rire avec ta réaction qui tente d'aller a l'encontre de l'information: le protocole USB permet des attaques redoutables et indécelables et cela depuis des années.

Sur la forme, comme d'hab, je constate que tu bottes en touche pour ne pas avoir à argumenter et sourcer tes affirmations...

Sur le fond, aller à l'encontre de "le protocole USB permet des attaques", ça serait dire "le protocole USB ne permet pas des attaques". C'est ce que je prétends ? Non, absolument pas.

Tout ce que je dis, c'est que, comme l'explique très bien Korben, cette attaque "badUSB" est possible avec n'importe quel protocole qui accepte les types de périphériques émulés par le firmware malicieux. Ce n'est en aucun cas spécifique à l'USB et ce n'est même pas un bug.

Donc à moins de se passer de ce type de périphériques où d'avoir un interface spécifique pour chaque type de périphérique, ce genre d'attaque est tout simplement inévitable.

Les chercheurs eux même le disent sur leur blog, le problème n'est pas le protocole, mais simplement le fait que plusieurs types de périphériques puissent être gérés et qu'un seul port puisse accueillir plusieurs périphériques : "This versatility is also USB’s Achilles heel: Since different device classes can plug into the same connectors, one type of device can turn into a more capable or malicious type without the user noticing." Toute interface externe offrant cette versatilité (et c'est le cas de toutes les interfaces externes actuelles, que ce soit directement ou indirectement) est donc potentiellement vulnérable.

La vrai faille, elle n'est pas dans l'USB, mais dans le fait que les constructeurs de périphériques ne blindent pas suffisamment leurs firmwares, ce qui empêcherait qu'un périphérique en qui on peut avoir confiance puisse être reprogrammé et vérolé. Mais ça, c'est pas un problème d'USB.


Accessoirement, le caractère "indécelable" de l'attaque et très discutable... Le principe de l'attaque est d'émuler plusieurs périphériques au sein d'un seul (c'est bien expliqué sur le blog des chercheurs : https://srlabs.de/badusb/ ). Sauf preuve du contraire (j'ose même pas te demander des sources, je connais ta réponse...), ces périphériques supplémentaires sont donc à priori bien visibles dans le gestionnaires de périphériques, comme à chaque fois qu'on utilise un périphérique USB composite*. Bien sûr, à ce stade il est déjà trop tard sur la machine en question... Mais ça veut quand même dire que face à un périphérique sur lequel on a des doutes, on a des moyens de vérification pour s'assurer qu'il n'est pas vérolé, en le branchant à un OS dédié à cette vérification. L'attaque est indécelable sans brancher l'appareil vérolé à un hôte USB, mais pas indécelable une fois branché.

Et ça veut aussi dire qu'il est possible de mettre au point une protection (mais qui rendra l'usage de périphériques plus contraignant) : lors du branchement il suffit de mettre un popup sur le système demandant de choisir quels sont les éléments qu'on veut activer. Windows gère par exemple déjà la désactivation d'un périphérique (par exemple, quand je branche mon smartphone au PC du taf pour le charger, j'ai demandé à ce que le périphérique MTP soit désactivé, donc le driver n'est pas chargé et le contenu du téléphone n'est pas accessible), il suffirait donc que ça soit l'état par défaut d'un périphérique lors de son premier branchement (sauf si c'est le seul clavier par exemple, puisqu'il faut bien un moyen de valider l'activation du périphérique ^^).


* si tu en as sous la main, le récepteur Logitech Unifying, est un bon exemple de périphérique composite. Quand on le branche, de base on voit au moins 3 périphériques : un composite, un clavier HID, une souris HID. Ensuite, pour chaque appareil Unifying effectivement activé, on voit en plus un "Logitech HID-compliant Unifying (mouse|keyboard)". Bref, pas bien dur de voir un périphérique qui émulerait un clavier...

[yponomeute]

Les chercheurs eux même le disent sur leur blog, le problème n'est pas le protocole, mais simplement le fait que plusieurs types de périphériques puissent être gérés et qu'un seul port puisse accueillir plusieurs périphériques : "This versatility is also USB’s Achilles heel: Since different device classes can plug into the same connectors, one type of device can turn into a more capable or malicious type without the user noticing." Toute interface externe offrant cette versatilité (et c'est le cas de toutes les interfaces externes actuelles, que ce soit directement ou indirectement) est donc potentiellement vulnérable.

Attention faux-ami. La traduction correcte serait plutôt « offrant cette polyvalence »

[yponomeute]

Un moyen pour exploiter cette faille a été rendu public http://www.wired.com/2014/10/code-publishe...ble-usb-attack/